المادة 1. نطاق هذا القانون الاتحادي
ينظم هذا القانون الاتحادي العلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات الاتحاد الروسي(يشار إليها فيما بعد أيضًا بالحرجة البنية التحتية للمعلومات) لغرض تشغيله المستقر عندما يتعرض لهجمات الكمبيوتر.
المادة 2. المفاهيم الأساسية المستخدمة في هذا القانون الاتحادي
لأغراض هذا القانون الاتحادي، يتم استخدام المفاهيم الأساسية التالية:
1) نظام التحكم الآلي - مجموعة من البرامج والأجهزة المصممة للتحكم في المعدات التكنولوجية و (أو) الإنتاج (المحركات) والعمليات التي تنتجها، وكذلك للتحكم في هذه المعدات والعمليات؛
2) أمن البنية التحتية الحيوية للمعلومات - الحالة الأمنية للبنية التحتية الحيوية للمعلومات، مما يضمن عملها المستقر عند تنفيذها ضد هجمات الكمبيوتر؛
3) كائن مهم من البنية التحتية الحيوية للمعلومات - كائن من البنية التحتية الحيوية للمعلومات التي تم تعيينها لإحدى فئات الأهمية والتي تم تضمينها في سجل الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
4) هجوم الكمبيوتر - التأثير المستهدف للبرامج و (أو) الأجهزة والبرامج على كائنات البنية التحتية الحيوية للمعلومات، وشبكات الاتصالات المستخدمة لتنظيم تفاعل هذه الكائنات، من أجل تعطيل و (أو) إيقاف عملها و (أو) خلق تهديد لأمن كائنات المعلومات المعالجة هذه؛
5) حادث كمبيوتر - حقيقة انتهاك و (أو) إنهاء عمل كائن البنية التحتية الحيوية للمعلومات، وشبكة الاتصالات المستخدمة لتنظيم تفاعل هذه الكائنات، و (أو) انتهاك أمن المعلومات التي تتم معالجتها بواسطة مثل هذا الكائن، بما في ذلك ما حدث نتيجة لهجوم على الكمبيوتر؛
6) البنية التحتية الحيوية للمعلومات - كائنات البنية التحتية الحيوية للمعلومات، وكذلك شبكات الاتصالات المستخدمة لتنظيم تفاعل هذه الأشياء؛
7) كائنات البنية التحتية الحيوية للمعلومات - أنظمة المعلومات وشبكات المعلومات والاتصالات، الأنظمة الآليةإدارة موضوعات البنية التحتية الحيوية للمعلومات؛
8) موضوعات البنية التحتية الحيوية للمعلومات - الهيئات الحكومية, وكالات الحكومةوالكيانات القانونية الروسية و (أو) أصحاب المشاريع الفردية، الذين لهم حق الملكية أو الإيجار أو غيرهما من الناحية القانونيةتمتلك أنظمة المعلومات وشبكات المعلومات والاتصالات وأنظمة التحكم الآلي العاملة في مجال الرعاية الصحية والعلوم والنقل والاتصالات والطاقة والمصارف وغيرها من المجالات السوق الماليمجمع الوقود والطاقة بالمنطقة الطاقه الذريهوالدفاع والصواريخ والفضاء والتعدين والصناعات المعدنية والكيميائية والكيانات القانونية الروسية و (أو) رواد الأعمال الأفراد الذين يضمنون تفاعل هذه الأنظمة أو الشبكات.
المادة 3. التنظيم القانونيالعلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات
1. يتم تنظيم العلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات وفقًا لدستور الاتحاد الروسي والمبادئ والقواعد المعترف بها بشكل عام قانون دوليوهذا القانون الاتحادي والقوانين الفيدرالية الأخرى والقوانين المعيارية الأخرى المعتمدة وفقًا لها الأفعال القانونية.
2. مميزات تطبيق هذا القانون الاتحادي على شبكات الاتصالات الاستخدام الشائعيتم تحديدها بموجب القانون الاتحادي الصادر في 7 يوليو 2003 N 126-FZ "بشأن الاتصالات" والأفعال القانونية التنظيمية للاتحاد الروسي المعتمدة وفقًا له.
المادة 4. مبادئ ضمان أمن البنية التحتية الحيوية للمعلومات
مبادئ ضمان أمن البنية التحتية الحيوية للمعلومات هي:
1) الشرعية؛
2) الاستمرارية والشمولية لضمان أمن البنية التحتية الحيوية للمعلومات، والتي يتم تحقيقها، من بين أمور أخرى، من خلال تفاعل الهيئات الفيدرالية المعتمدة قوة تنفيذيةومواضيع البنية التحتية الحيوية للمعلومات؛
3) أولوية منع الهجمات الحاسوبية.
المادة 5. نظام الدولة لكشف ومنع وإزالة عواقب هجمات الكمبيوتر موارد المعلوماتالاتحاد الروسي
1. يعد نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها مجمعًا واحدًا موزعًا جغرافيًا، بما في ذلك القوات والوسائل المصممة لاكتشاف عواقب الهجمات الحاسوبية ومنعها والقضاء عليها والرد عليها حوادث الكمبيوتر. بغرض في هذه المقالةتُفهم موارد المعلومات في الاتحاد الروسي على أنها أنظمة المعلومات وشبكات المعلومات والاتصالات وأنظمة التحكم الآلي الموجودة على أراضي الاتحاد الروسي، في البعثات الدبلوماسيةو/أو المكاتب القنصليةالاتحاد الروسي.
2. تشمل القوى التي تهدف إلى اكتشاف عواقب الهجمات الحاسوبية ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر ما يلي:
1) الأقسام والمسؤولون في الهيئة التنفيذية الاتحادية المخولين في مجال ضمان سير العمل نظام الدولةاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي؛
2) منظمة أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، لضمان تنسيق أنشطة مواضيع البنية التحتية الحيوية للمعلومات بشأن قضايا اكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية والاستجابة لحوادث الكمبيوتر (المشار إليها فيما بعد بمركز التنسيق الوطني لحوادث الكمبيوتر)؛
3) الأقسام والمسؤولون في مواضيع البنية التحتية الحيوية للمعلومات الذين يشاركون في اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر وفي الاستجابة لحوادث الكمبيوتر.
3. الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر هي أدوات تقنية وبرامج وأجهزة وأدوات كشف أخرى (بما في ذلك البحث عن علامات هجمات الكمبيوتر في شبكات الاتصالات المستخدمة لتنظيم كائنات التفاعل الخاصة بالمعلومات المهمة البنية التحتية) والوقاية والقضاء على عواقب هجمات الكمبيوتر و (أو) تبادل المعلومات اللازمة لمواضيع البنية التحتية الحيوية للمعلومات عند اكتشاف ومنع و (أو) إزالة عواقب هجمات الكمبيوتر، وكذلك وسائل التشفيرحماية هذه المعلومات.
4. ينفذ مركز التنسيق الوطني لحوادث الكمبيوتر أنشطته وفقًا للوائح المعتمدة من قبل الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب هجمات الكمبيوتر على موارد المعلومات الخاصة بالحكومة ومنعها والقضاء عليها الاتحاد الروسي.
5. يقوم نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي بجمع وتجميع وتنظيم وتحليل المعلومات التي تصل إلى هذا النظاممن خلال وسائل تهدف إلى اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر، والمعلومات التي يتم توفيرها من قبل موضوعات البنية التحتية الحيوية للمعلومات والهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، وفقًا لـ قائمة المعلومات وبالطريقة التي تحددها الهيئة التنفيذية الفيدرالية المخولة لضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، وكذلك المعلومات التي قد يتم توفيرها من قبل الهيئات والمنظمات الأخرى التي لا تخضع للبنية التحتية الحيوية للمعلومات، بما في ذلك الهيئات والمنظمات الأجنبية والدولية.
6. تنظم الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها، بالطريقة التي تحددها تبادل المعلومات حول حوادث الكمبيوتر بين الأشخاص البنية التحتية الحيوية للمعلومات، وكذلك بين موضوعات البنية التحتية الحيوية للمعلومات و الهيئات المعتمدة الدول الأجنبيةوالمنظمات الدولية والدولية غير الحكومية و المنظمات الأجنبيةالقيام بأنشطة في مجال الاستجابة لحوادث الكمبيوتر.
7. يتم توفير المعلومات التي تشكل أسرار الدولة أو غيرها من الأسرار التي يحميها القانون من نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي وفقًا لتشريعات الاتحاد الروسي.
المادة 6. صلاحيات رئيس الاتحاد الروسي وهيئاته سلطة الدولةالاتحاد الروسي في مجال ضمان أمن البنية التحتية الحيوية للمعلومات
1. يحدد رئيس الاتحاد الروسي ما يلي:
1) الاتجاهات الرئيسية سياسة عامةفي مجال ضمان أمن البنية التحتية الحيوية للمعلومات؛
2) هيئة اتحاديةالسلطة التنفيذية، المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي؛
3) الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها؛
4) إجراءات إنشاء ومهام نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
2. تحدد حكومة الاتحاد الروسي ما يلي:
1) مؤشرات معايير أهمية كائنات البنية التحتية الحيوية للمعلومات وأهميتها، وكذلك إجراءات وتوقيت تصنيفها؛
2) إجراءات ممارسة سيطرة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات؛
3) إجراءات إعداد واستخدام موارد شبكة الاتصالات الموحدة للاتحاد الروسي لضمان عمل الأشياء المهمة للبنية التحتية الحيوية للمعلومات.
3. الهيئة التنفيذية الفيدرالية المخولة بضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي:
2) يوافق على إجراءات الاحتفاظ بسجل للأشياء المهمة للبنية التحتية الحيوية للمعلومات ويحتفظ بهذا السجل؛
3) الموافقة على نموذج إرسال المعلومات حول نتائج تخصيص إحدى الفئات ذات الأهمية لكائن البنية التحتية الحيوية للمعلومات أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات؛
4) يحدد متطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات (متطلبات ضمان أمن شبكات المعلومات والاتصالات، والتي تم تعيينها لإحدى فئات الأهمية والتي تم تضمينها في سجل الأشياء المهمة للبنية التحتية الحيوية للمعلومات ، تم إنشاؤها بالاتفاق مع الهيئة التنفيذية الفيدرالية التي تمارس وظائف تطوير وتنفيذ سياسة الدولة والتنظيم القانوني في مجال الاتصالات)، بالإضافة إلى متطلبات إنشاء أنظمة أمنية لهذه الأشياء وضمان عملها (في يؤسس القطاع المصرفي وفي مجالات أخرى من السوق المالية المتطلبات المحددةبالاتفاق مع البنك المركزي للاتحاد الروسي)؛
5) ينفذ مراقبة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، ويوافق أيضًا على شكل تقرير التفتيش الذي تم إعداده بناءً على نتائج المراقبة المذكورة.
4. الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها:
1) تقديم مقترحات بشأن تحسين التنظيم القانوني في مجال ضمان أمن البنية التحتية الحيوية للمعلومات إلى رئيس الاتحاد الروسي و (أو) حكومة الاتحاد الروسي؛
2) إنشاء مركز التنسيق الوطني لحوادث الحاسب الآلي واعتماد الأنظمة الخاصة به.
3) تنسيق أنشطة مواضيع البنية التحتية الحيوية للمعلومات بشأن قضايا اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر والاستجابة لحوادث الكمبيوتر؛
4) ينظم ويجري تقييمات أمنية للبنية التحتية الحيوية للمعلومات؛
5) يحدد قائمة المعلومات المقدمة إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها، وإجراءات تقديمها؛
6) يوافق على إجراءات إبلاغ الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي حول حوادث الكمبيوتر، والرد عليها، واتخاذ التدابير للقضاء عليها عواقب الهجمات الحاسوبية التي يتم تنفيذها ضد أهداف هامة في البنية التحتية الحيوية للمعلومات (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، توافق على الإجراء المحدد بالاتفاق مع البنك المركزي للاتحاد الروسي)؛
7) يوافق على إجراءات تبادل المعلومات حول حوادث الكمبيوتر بين موضوعات البنية التحتية الحيوية للمعلومات، بين موضوعات البنية التحتية الحيوية للمعلومات والهيئات المعتمدة في الدول الأجنبية والمنظمات الدولية غير الحكومية والمنظمات الأجنبية العاملة في مجال الاستجابة للحوادث الحاسوبية. حوادث الكمبيوتر، بالإضافة إلى إجراءات الأشخاص الذين يتلقون معلومات هامة عن البنية التحتية للمعلومات حول وسائل وأساليب تنفيذ الهجمات على الكمبيوتر وطرق الوقاية منها واكتشافها؛
8) ينظم التثبيت في الأشياء المهمة للبنية التحتية الحيوية للمعلومات وفي شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات، والأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
9) يحدد متطلبات الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
10) الموافقة على الإجراءات والشروط الفنية لتركيب وتشغيل الأدوات المصممة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية والاستجابة لحوادث الكمبيوتر، باستثناء الأدوات المصممة للبحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات المستخدمة لتنظيم التفاعل بين كائنات البنية التحتية الحيوية للمعلومات (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، يوافق على الإجراء المحدد والشروط الفنية بالاتفاق مع البنك المركزي للاتحاد الروسي).
5. توافق الهيئة التنفيذية الفيدرالية، التي تتولى مهام تطوير وتنفيذ سياسة الدولة والتنظيم القانوني في مجال الاتصالات، بالاتفاق مع الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الولاية لاكتشاف ومنع و القضاء على عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، والإجراءات والشروط الفنية لتركيب وتشغيل الأدوات المصممة للبحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات.
1. تصنيف كائن البنية التحتية الحيوية للمعلومات هو إنشاء امتثال كائن البنية التحتية الحيوية للمعلومات لمعايير الأهمية ومؤشرات قيمها، وتخصيص إحدى فئات الأهمية لها، والتحقق من المعلومات حول نتائج مهمتها.
1) الأهمية الاجتماعية، المعبر عنها في تقييم الضرر المحتمل الذي يلحق بحياة أو صحة الناس، وإمكانية إنهاء أو تعطيل عمل المرافق التي تدعم حياة السكان، البنية الأساسية للمواصلاتوشبكات الاتصال، وكذلك الحد الأقصى لمدة غياب الوصول إلى الخدمات العامة لمتلقي هذه الخدمات؛
2) الأهمية السياسية، المعبر عنها في تقييم الضرر المحتمل لمصالح الاتحاد الروسي في شؤون السياسة الداخلية والخارجية؛
3) الأهمية الاقتصادية، المعبر عنها في تقييم السبب المحتمل للمباشر و الضرر غير المباشرموضوعات البنية التحتية الحيوية للمعلومات و(أو) ميزانيات الاتحاد الروسي؛
4) الأهمية البيئية، والتي يتم التعبير عنها في تقييم مستوى التأثير عليها بيئة;
5) أهمية وجود مرافق البنية التحتية الحيوية للمعلومات لضمان الدفاع في البلاد وأمن الدولة والقانون والنظام.
3. تم تحديد ثلاث فئات ذات أهمية لكائنات البنية التحتية الحيوية للمعلومات - الأولى والثانية والثالثة.
4. تقوم مواضيع البنية التحتية الحيوية للمعلومات، وفقًا لمعايير الأهمية ومؤشرات قيمها، بالإضافة إلى إجراءات التصنيف، بتعيين إحدى فئات الأهمية لكائنات البنية التحتية الحيوية للمعلومات التابعة لها بموجب حق الملكية، الإيجار أو أي أساس قانوني آخر. إذا كان كائن البنية التحتية الحيوية للمعلومات لا يفي بمعايير الأهمية، ومؤشرات هذه المعايير وقيمها، فلا يتم تعيينه لأي من هذه الفئات.
5. معلومات حول نتائج تخصيص كائن من البنية التحتية الحيوية للمعلومات لإحدى الفئات ذات الأهمية أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات؛ موضوعات البنية التحتية الحيوية للمعلومات في في الكتابةوفي غضون عشرة أيام من تاريخ اعتماد القرار ذي الصلة، يتم إرسالها إلى الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، بالشكل الذي وافقت عليه.
6. تتحقق الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، في غضون ثلاثين يومًا من تاريخ استلام المعلومات المحددة في الجزء 5 من هذه المادة، من الامتثال لإجراءات التصنيف و صحة تخصيص كائن من البنية التحتية المعلوماتية الحيوية لإحدى فئات الأهمية أو عدم تخصيصه لأي من هذه الفئات.
7. إذا اتبع موضوع البنية التحتية الحيوية للمعلومات إجراء التصنيف وتم تعيين كائن البنية التحتية الحيوية للمعلومات التابع له بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر بشكل صحيح لإحدى الفئات ذات الأهمية، فإن الهيئة التنفيذية الفيدرالية تأذن في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، يقوم بإدخال معلومات حول هذا الكائن من البنية التحتية الحيوية للمعلومات في سجل الكائنات الهامة للبنية التحتية الحيوية للمعلومات، والتي يتم إخطار موضوع البنية التحتية الحيوية للمعلومات بها في غضون عشرة أيام .
8. في حالة قيام الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي بتحديد انتهاكات لإجراءات التصنيف و (أو) كائن من البنية التحتية الحيوية للمعلومات المملوكة بحق الملكية، الإيجار أو أي أساس قانوني آخر لموضوع البنية التحتية الحيوية للمعلومات، تم تعيين إحدى فئات الأهمية بشكل غير صحيح و (أو) لم يتم تعيين أي من هذه الفئات بشكل غير معقول و (أو) موضوع البنية التحتية الحيوية للمعلومات المقدمة غير مكتمل و (أو ) معلومات غير موثوقة حول نتائج تخصيص إحدى الفئات ذات الأهمية لمثل هذا الكائن من البنية التحتية الحيوية للمعلومات أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات من قبل الهيئة التنفيذية الفيدرالية المعتمدة في مجال ضمان أمن تقوم البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، في غضون عشرة أيام من تاريخ استلام المعلومات المقدمة، بإعادتها كتابيًا إلى موضوع البنية التحتية للمعلومات الحيوية مع تبرير مسبب لأسباب الإرجاع.
9. يقوم موضوع البنية التحتية الحيوية للمعلومات، بعد تلقي تبرير مسبب لأسباب إعادة المعلومات المحددة في الجزء 5 من هذه المادة، خلال مدة لا تزيد عن عشرة أيام، بإزالة أوجه القصور الملحوظة وإعادة إرسال هذه المعلومات إلى السلطة التنفيذية الفيدرالية هيئة مرخصة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي.
10. يتم إرسال المعلومات حول عدم الحاجة إلى تخصيص كائن من البنية التحتية الحيوية للمعلومات إلى إحدى الفئات ذات الأهمية بعد التحقق منها من قبل الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها، والتي يتم إخطار موضوع البنية التحتية الحيوية للمعلومات بها في غضون عشرة أيام.
11. إذا فشل أحد موضوعات البنية التحتية الحيوية للمعلومات في تقديم المعلومات المحددة في الجزء 5 من هذه المادة، فإن الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي ترسل إلى الموضوع المحدد مطلبًا بشأن ضرورة الالتزام بأحكام هذه المادة.
1) بقرار مسبب من الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، تم اعتماده بناءً على نتائج التدقيق الذي تم إجراؤه كجزء من سيطرة الدولة في مجال ضمان الأمن من الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) في حالة حدوث تغيير في كائن مهم من البنية التحتية الحيوية للمعلومات، ونتيجة لذلك لم يعد هذا الكائن يفي بمعايير الأهمية ومؤشرات قيمه، والتي تم تعيينه على أساسها فئة محددةدلالة؛
3) فيما يتعلق بالتصفية وإعادة تنظيم موضوع البنية التحتية الحيوية للمعلومات و (أو) التغيير في شكله التنظيمي والقانوني، ونتيجة لذلك تم تغيير أو فقدان خصائص موضوع البنية التحتية الحيوية للمعلومات.
المادة 8. سجل الأشياء الهامة للبنية التحتية الحيوية للمعلومات
1. من أجل تسجيل الأشياء المهمة للبنية التحتية الحيوية للمعلومات، يجب على الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي أن تحتفظ بسجل للأشياء المهمة للبنية التحتية الحيوية للمعلومات بالطريقة التي تحددها. . يتم إدخال المعلومات التالية في هذا السجل:
1) اسم كائن مهم من البنية التحتية الحيوية للمعلومات؛
2) اسم موضوع البنية التحتية الحيوية للمعلومات؛
3) معلومات حول تفاعل كائن مهم من البنية التحتية الحيوية للمعلومات وشبكات الاتصالات؛
4) معلومات حول الشخص الذي يقوم بتشغيل كائن مهم من البنية التحتية الحيوية للمعلومات؛
6) معلومات حول البرامج والأجهزة المستخدمة في منشأة هامة للبنية التحتية الحيوية للمعلومات؛
7) التدابير المتخذة لضمان أمن كائن مهم من البنية التحتية الحيوية للمعلومات.
2. يتم إرسال المعلومات من سجل الأشياء المهمة للبنية التحتية الحيوية للمعلومات إلى نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
3. إذا فقد كائن مهم من البنية التحتية الحيوية للمعلومات فئته من الأهمية، يتم استبعاده من قبل الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي من سجل الأشياء الهامة للبنية التحتية الحيوية للمعلومات .
المادة 9. حقوق والتزامات موضوعات البنية التحتية الحيوية للمعلومات
1. يحق لموضوعات البنية التحتية الحيوية للمعلومات:
1) الحصول من الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، على المعلومات اللازمة لضمان أمن الأشياء المهمة للبنية التحتية للمعلومات الحيوية المملوكة لهم بموجب حق الملكية أو الإيجار أو أي قانون قانوني آخر أساس، بما في ذلك المعلومات المتعلقة بالتهديدات الأمنية التي تتم معالجتها بواسطة هذه الكائنات ونقاط الضعف برمجةوالمعدات والتقنيات المستخدمة في هذه المرافق؛
2) بالطريقة التي تحددها الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، الحصول على معلومات من الهيئة المذكورة حول الوسائل والأساليب تنفيذ هجمات الكمبيوتر، وكذلك حول أساليب التحذيرات والكشف عنها؛
3) بموافقة الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، على نفقتها الخاصة، الحصول على واستئجار وتركيب وصيانة الوسائل المخصصة للكشف عن عواقب الهجمات الحاسوبية ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
4) تطوير وتنفيذ التدابير اللازمة لضمان أمن جزء مهم من البنية التحتية الحيوية للمعلومات.
2. يجب على الأشخاص المعنيين بالبنية التحتية الحيوية للمعلومات ما يلي:
1) الإبلاغ فورًا عن حوادث الكمبيوتر إلى الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وكذلك البنك المركزي للاتحاد الروسي ( إذا كان موضوع البنية التحتية الحيوية للمعلومات يعمل في القطاع المصرفي وفي مجالات أخرى من السوق المالية) بالترتيب الذي تحدده الهيئة التنفيذية الفيدرالية المحددة (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، يتم تحديد الإجراء المحدد بالاتفاق مع البنك المركزي للاتحاد الروسي)؛
2) تقديم المساعدة المسؤولينالهيئة التنفيذية الفيدرالية مخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، في اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر، وتحديد الأسباب والظروف لحدوث حوادث الكمبيوتر.
3) في حالة تركيب وسائل مصممة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر والاستجابة لحوادث الكمبيوتر في مرافق البنية التحتية الحيوية للمعلومات، تأكد من الامتثال للأمر، المواصفات الفنيةتركيب وتشغيل هذه الوسائل وسلامتها.
3. أصحاب البنية التحتية الحيوية للمعلومات، الذين يمتلكون أشياء مهمة من البنية التحتية الحيوية للمعلومات بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر، إلى جانب الوفاء بالواجبات المنصوص عليها في الجزء 2 من هذه المادة، ملزمون أيضًا بما يلي:
1) الامتثال لمتطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، التي أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي؛
2) الامتثال لتعليمات مسؤولي الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي للقضاء على الانتهاكات من حيث الامتثال لمتطلبات ضمان أمن كائن مهم ذو أهمية حاسمة البنية التحتية للمعلومات، الصادرة عن هؤلاء الأشخاص وفقًا لاختصاصاتهم؛
3) الاستجابة لحوادث الكمبيوتر بالطريقة التي وافقت عليها الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، واتخاذ التدابير اللازمة للقضاء على عواقب هجمات الكمبيوتر الهجمات الحاسوبية التي تم تنفيذها ضد البنية التحتية للمعلومات ذات الأهمية الحيوية؛
4) ضمان الوصول دون عوائق إلى مسؤولي الهيئة التنفيذية الفيدرالية المصرح لهم في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي إلى الأشياء المهمة للبنية التحتية للمعلومات الحيوية عندما يمارس هؤلاء الأشخاص الصلاحيات المنصوص عليها في المادة 13 من هذا القانون الاتحادي.
المادة 10. نظام أمني لكائن مهم من البنية التحتية الحيوية للمعلومات
1. من أجل ضمان أمن كائن مهم من البنية التحتية الحيوية للمعلومات، موضوع البنية التحتية الحيوية للمعلومات، وفقًا لمتطلبات إنشاء أنظمة أمان لهذه الأشياء وضمان عملها، التي وافقت عليها الهيئة التنفيذية الفيدرالية المعتمدة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، يقوم بإنشاء نظام أمني مثل هذا الكائن ويضمن عمله.
2. الأهداف الرئيسية لنظام الأمان لكائن مهم من البنية التحتية الحيوية للمعلومات هي:
1) منع الوصول غير المصرح به إلى المعلومات التي تتم معالجتها بواسطة كائن مهم من البنية التحتية الحيوية للمعلومات، وتدمير هذه المعلومات، وتعديلها، وحظرها، ونسخها، وتوفيرها وتوزيعها، بالإضافة إلى أشياء أخرى سوء السلوكفيما يتعلق بهذه المعلومات؛
2) منع التأثير على الوسائل التقنية لمعالجة المعلومات، ونتيجة لذلك قد يتم تعطيل و (أو) إنهاء عمل جزء كبير من البنية التحتية الحيوية للمعلومات؛
3) استعادة عمل جزء مهم من البنية التحتية الحيوية للمعلومات، مع ضمان، من بين أمور أخرى، عن طريق إنشاء وتخزين نسخ احتياطية من المعلومات اللازمة لذلك؛
4) التفاعل المستمر مع نظام الدولة لكشف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
المادة 11. متطلبات ضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات
1. يتم التمييز بين متطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، التي أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، اعتمادًا على فئة أهمية الأشياء الحيوية البنية التحتية للمعلومات وتنص هذه المتطلبات على ما يلي:
1) تخطيط وتطوير وتحسين وتنفيذ التدابير اللازمة لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) اتخاذ التدابير التنظيمية والفنية لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
3) تحديد معلمات وخصائص البرامج والأجهزة المستخدمة لضمان أمان الأشياء المهمة للبنية التحتية الحيوية للمعلومات.
2. الهيئات الحكومية والكيانات القانونية الروسية التي تؤدي وظائف تطوير أو تنفيذ أو تنفيذ سياسة الدولة و (أو) التنظيم القانوني في مجال النشاط المحدد، بالاتفاق مع الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن المنشآت الحيوية البنية التحتية للمعلومات في الاتحاد الروسي، قد تضع متطلبات إضافية لضمان أمن الأشياء المهمة للبنية التحتية للمعلومات الحيوية، والتي تحتوي على ميزات عمل هذه الأشياء في مجال النشاط المحدد.
المادة 12. التقييم الأمني للبنية التحتية الحيوية للمعلومات
1. يتم إجراء تقييم أمن البنية التحتية الحيوية للمعلومات من قبل الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، من أجل للتنبؤ بظهور تهديدات محتملة لأمن البنية التحتية الحيوية للمعلومات ووضع تدابير لزيادة مرونة أدائها عند تنفيذها فيما يتعلق بهجمات الكمبيوتر.
2. عند تقييم أمن البنية التحتية الحيوية للمعلومات، يتم تحليل ما يلي:
1) البيانات التي تم الحصول عليها عند استخدام الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر، بما في ذلك المعلومات حول وجود علامات لهجمات الكمبيوتر في شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات؛
2) المعلومات المقدمة من موضوعات البنية التحتية الحيوية للمعلومات والهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية المعلوماتية الحيوية للاتحاد الروسي، وفقًا لقائمة المعلومات وبالطريقة التي تحددها الهيئة التنفيذية الفيدرالية مرخص في مجال ضمان عمل نظام اكتشاف الدولة، ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وكذلك الهيئات والمنظمات الأخرى التي لا تخضع للبنية التحتية الحيوية للمعلومات، بما في ذلك الأجنبية و دولي؛
3) المعلومات المقدمة إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها بناءً على نتائج سيطرة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، حول الانتهاك لمتطلبات ضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات، مما يخلق الظروف المسبقة لحدوث حوادث الكمبيوتر؛
4) المعلومات الأخرى التي تتلقاها الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وفقًا لتشريعات الاتحاد الروسي.
3. لتنفيذ الأحكام، المنصوص عليها في أجزاء 1 و 2 من هذه المادة، الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، تنظم التثبيت في شبكات الاتصالات المستخدمة لتنظيم التفاعل لأشياء البنية التحتية الحيوية للمعلومات، وهي وسائل تهدف إلى البحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات هذه.
4. من أجل تطوير تدابير لتحسين أمن البنية التحتية الحيوية للمعلومات، أذنت الهيئة التنفيذية الفيدرالية في مجال ضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها ، يرسل إلى الهيئة التنفيذية الفيدرالية المرخص لها في مجال البنية التحتية للمعلومات الأمنية الحيوية في الاتحاد الروسي، نتائج تقييم أمن البنية التحتية للمعلومات الحيوية.
المادة 13. سيطرة الدولةفي مجال ضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات
1. يتم تنفيذ رقابة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات من أجل التحقق من امتثال موضوعات البنية التحتية الحيوية للمعلومات، التي تمتلك أشياء مهمة من البنية التحتية الحيوية للمعلومات عن طريق حق الملكية أو الإيجار أو أي قانون قانوني آخر على أساس، مع المتطلبات المنصوص عليها في هذا القانون الاتحادي والمعتمدة وفقًا للقوانين القانونية التنظيمية. يتم تنفيذ مراقبة الدولة المحددة من قبل الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، المخطط لها أو عمليات التفتيش غير المجدولة.
2. أساس إجراء الفحص المقرر هو انقضاء ثلاث سنوات من تاريخ:
1) إدخال المعلومات حول كائن البنية التحتية الحيوية للمعلومات في سجل الكائنات الهامة للبنية التحتية الحيوية للمعلومات؛
2) الانتهاء من آخر فحص مجدول فيما يتعلق بجسم مهم من البنية التحتية الحيوية للمعلومات.
3. أساس إجراء التفتيش غير المقرر هو:
1) انتهاء الموعد النهائي لموضوع البنية التحتية للمعلومات الحيوية للامتثال للأمر الصادر عن الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي للقضاء على الانتهاك المحدد للمتطلبات لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) وقوع حادث كمبيوتر أدى إلى عواقب سلبية في منشأة كبيرة من البنية التحتية الحيوية للمعلومات؛
3) أمر (تعليمات) من رئيس الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية المعلوماتية الحيوية للاتحاد الروسي، الصادرة وفقًا لتعليمات رئيس الاتحاد الروسي أو حكومة الاتحاد الروسي الاتحاد الروسي أو بناءً على طلب المدعي العام لإجراء تفتيش غير مقرر كجزء من الإشراف على قوانين التنفيذ على المواد والطعون التي يتلقاها مكتب المدعي العام.
4. بناءً على نتائج التفتيش المقرر أو غير المقرر، تقوم الهيئة التنفيذية الفيدرالية المخولة بضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي بإعداد تقرير تفتيش بالشكل المعتمد من قبل الهيئة المحددة.
5. بناءً على تقرير التفتيش، في حالة حدوث انتهاك لمتطلبات هذا القانون الاتحادي والأفعال القانونية المعيارية المعتمدة وفقًا له لضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، أذنت الهيئة التنفيذية الفيدرالية في يُصدر مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي موضوع البنية التحتية الحيوية للمعلومات، وهو أمر للقضاء على الانتهاك المحدد، مع الإشارة إلى الإطار الزمني لإزالته.
المادة 14. المسؤولية عن انتهاك متطلبات هذا القانون الاتحادي والأفعال القانونية التنظيمية الأخرى المعتمدة وفقًا له
إن انتهاك متطلبات هذا القانون الاتحادي وغيره من القوانين التنظيمية المعتمدة بموجبه يستلزم المسؤولية وفقًا لتشريعات الاتحاد الروسي.
المادة 15. ب دخول هذا القانون الاتحادي حيز التنفيذ
رئيس الاتحاد الروسي ف. بوتين
اليوم، يجب أن يكون لدى كيانات CII بالفعل قوائم بالمرافق الحيوية جاهزة ومقدمة إلى FSTEC في روسيا. ستكون بعض الشركات قادرة على القيام بذلك بمفردها، بينما قد تستخدم شركات أخرى خدمات الشركات الاستشارية ومتكاملي الأنظمة. من أجل جعل أنظمة الحماية متوافقة مع القانون الاتحادي رقم 187 المؤرخ 26 يوليو 2017 "بشأن أمن الاتحاد الروسي CII"، من الضروري إجراء مسح للبنية التحتية لتكنولوجيا المعلومات والتخطيط للتدابير التنظيمية والفنية. ولكن، كالعادة، هناك فروق دقيقة.
مقدمة
قبل عام واحد فقط، عندما يتعلق الأمر بأمن المرافق الحيوية، تتبادر الحماية إلى الذهن منشأت صناعية، على سبيل المثال محطات الطاقة الكهرومائية، والأمر الحادي والثلاثين من FSTEC في روسيا. لقد تغير الوضع - على أعلى مستوى حكومي، تقرر أنه إذا، على سبيل المثال، أوقف الهجوم السيبراني عمل بنك كبير لمدة أسبوع، فإن الأضرار التي لحقت بالناس ستكون كبيرة، بعبارة ملطفة. دخلت حيز التنفيذ في 1 يناير 2018 القانون الاتحادي رقم 187 المؤرخ 26 يوليو 2017 "بشأن سلامة المسؤولين الرئيسيين في الاتحاد الروسي"، تقديم مفهوم البنية التحتية الحيوية للمعلومات. سنخبرك في المقالة بمن يغطيه اليوم وما هي الإجراءات التي يجب اتخاذها لضمان الأمن وفقًا للمتطلبات الجديدة.
187-FZ: ما هي المواضيع والأشياء من CII
وفقًا لقانون "بشأن أمن CII في الاتحاد الروسي"، فإن موضوعات CII هي الهيئات والمؤسسات الحكومية أو الشركات التجارية أو رواد الأعمال الأفراد الذين يمتلكون أنظمة معلومات (IS) بشكل قانوني (على سبيل المثال، على أساس الملكية أو الإيجار)، شبكات المعلومات والاتصالات (ITCS) وأنظمة التحكم الآلي (ACS) المستخدمة في مجالات معينة من النشاط. ويطلق القانون على هذه الكيانات IS وITCS وACS التابعة لـ CII، ويشكل مجملها البنية التحتية الحيوية للمعلومات في الاتحاد الروسي. أمنها يعني حالة أمنية تضمن الأداء المستقر أثناء الهجمات الحاسوبية، ويتم إسناد مهام مراقبة تنفيذ القانون إلى FSTEC في روسيا بموجب مرسوم رئيس الاتحاد الروسي رقم 569 بتاريخ 25 نوفمبر 2017 “ بشأن تعديل اللائحة التنفيذية الخدمة الفيدراليةبشأن الرقابة الفنية ومراقبة الصادرات، تمت الموافقة عليها بموجب مرسوم رئيس الاتحاد الروسي المؤرخ 16 أغسطس 2004 رقم 1085 » .
من يتأثر بمتطلبات 187-FZ بشأن سلامة CII؟
تخضع الكيانات العاملة في الصناعات النووية والصواريخ والفضاء والتعدين والمعادن والكيميائية والدفاع والرعاية الصحية والعلوم والطاقة والنقل والاتصالات لمتطلبات التشريعات المتعلقة بسلامة CII. موضوعات CII هي أيضًا مؤسسات مجمع الوقود والطاقة والمنظمات من المجال المصرفي والمالي.
لفهم ما إذا كنت بحاجة إلى الاهتمام بحماية كائنات CII، سيتعين عليك التحقق رموز OKVEDوالوثائق القانونية والتراخيص الصادرة لأنواع الأنشطة ذات الصلة. إذا كانت المنظمة، وفقًا للمعايير الرسمية، لا تنتمي إلى الصناعات المحددة في القانون الاتحادي رقم 187، فلا ينبغي عليك الاسترخاء - فمن الضروري تحليل العمليات التجارية وأنظمة المعلومات (IS وITCS وأنظمة التحكم الآلي) العاملة في الصناعات الخاضعة للتنظيم. .
كيفية عمل قائمة بكائنات CII
أولاً، يحتاج الأشخاص إلى إنشاء قائمة بكائنات CII وتصنيفها. ولهذا الغرض تم إنشاؤه لجنة خاصة، تمت الموافقة عليه بأمر - يجب أن يشير إلى تكوين اللجنة، وخطة العمل مع المواعيد النهائية، وكذلك الشخص المسؤول عن التفاعل مع FSTEC في روسيا (يتم إرسال قائمة بالأشياء هناك). من الضروري تحديد العمليات الإدارية والإنتاجية والمالية التي يقوم بها كيان CII وتحديد العمليات الحاسمة منها، والتي يمكن أن يؤدي انتهاكها أو إنهائها إلى عواقب سلبية واسعة النطاق. ثم تحتاج إلى تحديد كائنات CII المتعلقة بالعمليات الحرجة، وإعداد قائمة لتصنيفها وتقديمها إلى FSTEC في غضون 5 أيام من تاريخ الموافقة. وفق القرار رقم 59 الصادر عن مجلس إدارة FSTEC في روسيا بتاريخ 24 أبريل 2018وكان يجب أن يتم ذلك قبل 1 أغسطس 2018.
كيفية تحديد فئات أهمية كائن CII
تم أخذ معايير الأهمية في الاعتبار في مرسوم حكومة الاتحاد الروسي رقم 127 بتاريخ 02/08/2018 "بشأن الموافقة على قواعد تصنيف كائنات KII في الاتحاد الروسي، وكذلك قائمة مؤشرات "معايير أهمية الأشياء التي يمثلها المسؤولون القانونيون الرئيسيون في الاتحاد الروسي وقيمها." هناك خمسة معايير فقط: الاجتماعية والسياسية والاقتصادية والبيئية، فضلا عن ضمان القدرة الدفاعية وأمن الدولة والقانون والنظام. ولكل معيار أربع فئات: الأولى (الأعلى)، والثانية، والثالثة، والأدنى - دون أهمية. ويتم تطبيق الأخير إذا كانت مؤشرات الأهمية أقل مما كانت عليه في الفئة الثالثة.
أول شيء يجب فعله هو تحليل نقاط الضعف ومحاكاة تصرفات المهاجمين التي قد تؤدي إلى حوادث كمبيوتر في منشآت CII. ونتيجة لذلك، يتم تشكيل نموذج التهديد ونموذج الدخيل. بعد ذلك، من الضروري تقييم مؤشرات معايير الأهمية، وإثبات امتثال كائنات CII لقيم هذه المؤشرات وتعيين إحدى فئات الأهمية لكل كائن (أو تقرر أنه ليست هناك حاجة لتعيين فئة).
تم وصف مؤشرات الأهمية بالتفصيل في نفس القرار الحكومي رقم 127. فإذا أخذنا على سبيل المثال المعيار الاجتماعي، فيمكننا أن نتحدث عن الأضرار التي تلحق بحياة الناس وصحتهم. يتم تعيين الفئة الثالثة في حالة إصابة شخص أو أكثر نتيجة الحادث، ويتم تخصيص الفئة الأولى إذا كانت هناك مخاطر لأكثر من 500 شخص. المؤشر التالي للمعيار الاجتماعي هو تعطيل أو توقف عمل مرافق دعم الحياة للسكان. هذه هي إمدادات المياه والصرف الصحي وإمدادات الحرارة ومعالجة مياه الصرف الصحي وأنظمة الكهرباء. هنا يتم تعيين الفئات بناءً على المنطقة التي تحدث فيها الانتهاكات. الفئة الثالثة - البلدياتويتم تعيين الأول إذا كان هناك خروج خارج حدود موضوع الاتحاد.
ويتم تقييم المعيار الاجتماعي وفق عدة مؤشرات أخرى: النقل وشبكات الاتصالات والوصول الخدمات العامة. الوضع مشابه للمعايير الأخرى - هناك العديد من المؤشرات، ولكل منها نقوم بتقييم الفئات وفقًا لدرجة الضرر المحتمل: عدد الضحايا، المناطق المتضررة من الحادث، وقت عدم توفر الخدمات، فقدان الدخل ، مستوى التأثير الضار على البيئة، وما إلى ذلك. بناءً على النتائج، يتم إعداد أعمال تصنيف كائنات CII، والتي يجب إرسالها إلى FSTEC في غضون 10 أيام بعد التوقيع (أمر FSTEC من روسيا رقم 236 بتاريخ ديسمبر "" بشأن الموافقة على نموذج إرسال المعلومات حول نتائج تخصيص إحدى الفئات ذات الأهمية لكائن CII أو عدم الحاجة إلى تخصيص إحدى هذه الفئات"). يجب إكمال تصنيف كائنات CII قبل 1 يناير 2019.
عند تقييم كائنات CII، من المفيد تقسيمها: إذا كان لديك كائن واحد كبير يحتوي على العديد من الأنظمة المهمة ومعايير أهمية مختلفة، فسيتم تعيين أعلى فئة أهمية ممكنة له. إذا كان من الممكن تقسيم هذا الكائن إلى عدة كائنات أصغر، فقد يكون لها فئات مختلفة (بما في ذلك أقل) ذات أهمية وفقًا للمعايير والمؤشرات التي يحددها المرسوم الحكومي. يعد هذا النهج مفيدًا لأنه بالنسبة للأشياء الأقل أهمية، ستكون إجراءات الحماية أبسط وأرخص.
كيفية حماية كائنات CII
قائمة التدابير التنظيمية والفنية لضمان سلامة منشآت CII المهمة موجودة في أمر FSTEC الروسي رقم 239 بتاريخ 25 ديسمبر 2017 "عند الموافقة على متطلبات ضمان سلامة منشآت CII الهامة في الاتحاد الروسي. " المتطلبات خطيرة للغاية ويجب أن تمتثل لها حماية منشآت CII الهامة، ولكن بالنسبة للمنشآت غير المهمة، ليست هناك حاجة إلى مثل هذه التدابير.
قائمة التدابير التنظيمية والفنية لحماية مرافق CII الهامة:
- تحديد الهوية والمصادقة (IAF)؛
- التحكم في الوصول (ACC)؛
- القيود المفروضة على برنامج البيئة (OPS)؛
- حماية وسائط تخزين الكمبيوتر (التصوير بالرنين المغناطيسي)؛
- التدقيق الأمني (SAA)؛
- الحماية من الفيروسات (AVP)؛
- منع التطفل (هجمات الكمبيوتر) (IPS)؛
- ضمان النزاهة (OCL)؛
- ضمان إمكانية الوصول (CCT)؛
- حماية الوسائل التقنيةوالأنظمة (ZTS)؛
- حماية نظام المعلومات (الآلي) ومكوناته (IS)؛
- الاستجابة لحوادث الكمبيوتر (IRC)؛
- إدارة التكوين (UCM)؛
- إدارة تحديث البرامج (SUP)؛
- تخطيط الإجراءات الأمنية (SAP)؛
- ضمان الإجراءات في حالات الطوارئ (CNS)؛
- معلومات وتدريب الموظفين (IPE).
سيكون من المفيد أيضًا التعرف على أمر FSTEC لروسيا رقم 235 بتاريخ 21 ديسمبر 2017 "بشأن الموافقة على متطلبات إنشاء أنظمة أمنية للمرافق المهمة التابعة لـ KII في الاتحاد الروسي وضمان عملها. " وهنا، على وجه الخصوص، يتم سرد ميزات الأمان:
- الحماية ضد الوصول غير المصرح به (بما في ذلك تلك المضمنة في برامج التطبيقات على مستوى النظام)؛
- جدران الحماية؛
- وسائل كشف (منع) التطفل (هجمات الكمبيوتر)؛
- أدوات الحماية من الفيروسات؛
- الرقابة الأمنية (التحليل) تعني (الأنظمة) ؛
- أدوات إدارة الأحداث الأمنية؛
- وسائل حماية قنوات نقل البيانات.
يجب أن يتم اعتمادهم جميعًا للامتثال لمتطلبات السلامة أو الخضوع لتقييم المطابقة في شكل اختبارات أو قبول وفقًا لـ القانون الاتحادي الصادر في 27 ديسمبر 2002 رقم 184-FZ "بشأن اللائحة الفنية".
كيفية الاتصال بـ NKTsKI (GosSOPKA)
يجب على جميع موضوعات CII الاتصال بنظام الدولة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها (GosSOPKA)، حتى لو لم يكن لديهم مرافق CII مهمة. في المركز الرئيسيجوسوبكا في إلزاميسيتم نقل البيانات المتعلقة بالحوادث المتعلقة بأمن المعلومات في مرافق مزودي المعلومات الرئيسيين - ونحن نؤكد هنا نحن نتحدث عنعن كل الأشياء، وليس فقط عن الأشياء المهمة. العملية التشريعية والتنظيمية القاعدة المعياريةلم يتم تطويرها بشكل كامل بعد، ولكن منذ وقت ليس ببعيد بأمر من FSB للاتحاد الروسي بتاريخ 24 يوليو 2018 رقم 366 "بشأن مركز التنسيق الوطني لحوادث الكمبيوتر"تم إنشاء هيكل جديد. ستقوم NCCCI بتنسيق أنشطة الاستجابة للحوادث، وتبادل المعلومات حول الهجمات بين الأشخاص المعنيين بـ CII والمنظمات الأخرى، كما ستوفر الدعم المنهجي. سيتلقى المركز البيانات من موضوعات CII والمنظمات الأخرى لنقلها إلى نظام الدولة المتخصص لمكافحة الفساد؛ وستشمل مهامه أيضًا تحديد تنسيقات تبادل المعلومات والمعايير الفنية لحادث كمبيوتر يتم إرساله إلى نظام الدولة المتخصص لمكافحة الفساد نظام.
ما هي المسؤوليات عن الانتهاكات؟
إذا لم تتمكن من إرسال قائمة كائنات CII إلى FSTEC، فلن تتحمل أي مسؤولية عن ذلك. لكن القانون الاتحادي رقم 187 دخل حيز التنفيذ منذ بداية عام 2018، وإذا وقع حادث ولم يتم اتخاذ تدابير الحماية اللازمة، فإن العواقب المترتبة على موضوع CII ستكون خطيرة - وقد تم بالفعل إجراء التغييرات المناسبة على القانون الجنائي . وفقا للفن. 274.1 من القانون الجنائي للاتحاد الروسي لإنشاء وتوزيع و (أو) استخدام البرامج أو غيرها معلومات الكمبيوتربالنسبة للتأثير غير القانوني على KII، يتم توفير العمل القسري لمدة تصل إلى 5 سنوات أو ما يصل إلى 5 سنوات من السجن، بالإضافة إلى غرامة تصل إلى مليون روبل. إن الوصول غير القانوني إلى معلومات مزودي المعلومات الرئيسيين، إذا أدى إلى ضرر، سيعاقب عليه بالأشغال الشاقة لمدة تصل إلى 5 سنوات، وما يصل إلى 6 سنوات في السجن وغرامات تصل إلى مليون روبل.
هناك أيضًا مسؤولية عن موضوعات CII. إن انتهاك قواعد تشغيل وسائل تخزين أو معالجة أو نقل معلومات مزودي المعلومات الرئيسيين المحميين بموجب القانون أو قواعد الوصول، إذا تسبب في ضرر لمزودي المعلومات الرئيسيين، يعاقب عليه بالأشغال الشاقة لمدة تصل إلى 5 سنوات، والسجن لمدة تصل إلى 6 سنوات، والحظر على أنواع معينةالأنشطة لمدة تصل إلى 3 سنوات ل الكيانات القانونيةوأصحاب المشاريع الفردية أو فرض حظر على شغل مناصب معينة للأفراد لنفس الفترة.
تم تعزيز هذه المقالة. إذا ارتكبت جريمة من قبل مجموعة من الأشخاص أو باستخدام منصب رسمي، يعاقب عليها بالسجن لمدة تصل إلى 8 سنوات، فضلا عن فرض حظر على أنواع معينة من الأنشطة (الكيانات القانونية وأصحاب المشاريع الفردية) أو فرض حظر على عقد بعض الأنشطة المواقف ( فرادى) لمدة تصل إلى 3 سنوات. وفي حالة العواقب الوخيمة، يزيد الحد الأقصى لمدة السجن إلى 10 سنوات، والحظر على الأنشطة والمناصب - حتى 5 سنوات.
الاستنتاجات
لقد تغيرت قواعد اللعبة. شئنا أم أبينا، فإن حماية البنية التحتية المعلوماتية المهمة لمعيشة الناس وأمن البلاد لم تعد مسألة شخصية لأصحابها. يجب أن يكون لدى كيانات CII بالفعل قوائم بالأشياء الجاهزة (والمقدمة إلى FSTEC في روسيا). تظهر الممارسة أنه لم يتمكن الجميع من القيام بذلك - فالأمر يستحق الإسراع والبدء في التصنيف. المنظمات الكبيرةقد يكون لديهم الكفاءات المناسبة لتنفيذ جميع الأنشطة بأنفسهم، ولكن بالنسبة للشركات الصغيرة، فإن هذا سيصبح مشكلة خطيرة - وستأتي الشركات الاستشارية وتكامل الأنظمة إلى الإنقاذ. لجعل الأنظمة الأمنية متوافقة مع القانون الاتحادي رقم 187، من الضروري إجراء مسح للبنية التحتية لتكنولوجيا المعلومات وإنشاء خارطة طريق للعمل، بما في ذلك قائمة بالعناصر التنظيمية والتنظيمية الأحداث الفنية. لا يزال هناك وقت لذلك، ولكن لم يتبق منه الكثير، لذا يجب أن تسرع.
في النصف الثاني من عام 2018، تم تشكيل الإطار التنظيمي حول موضوع CII. وهذا يتيح لنا الفرصة للإجابة على جميع الأسئلة الأساسية.
أولا، دعونا نحدد المفاهيم الأساسية.
ما هي البنية التحتية الحيوية للمعلومات؟
البنية التحتية الحيوية للمعلومات هي أنظمة المعلومات، وشبكات المعلومات والاتصالات، وأنظمة التحكم الآلي، بالإضافة إلى شبكات الاتصالات المستخدمة لتنظيم تفاعلها. الشرط الأساسي لتصنيف النظام على أنه CII هو استخدامه من قبل هيئة أو مؤسسة حكومية، أو شركة روسية في المجالات التالية:
- الرعاىة الصحية،
- العلم،
- ينقل ,
- اتصال،
- طاقة،
- القطاع المصرفي (المالي)،
- مجمع الوقود والطاقة،
- الطاقة النووية,
- صناعة الدفاع،
- صناعة الصواريخ والفضاء
- صناعة التعدين،
- صناعة المعادن
- الصناعة الكيميائية
كما سيشمل CII الأنظمة التي تنتمي إلى حق الملكية أو الإيجار أو أي أساس قانوني آخر. شركة روسيةأو IP، والتأكد من تفاعل الأنظمة أو الشبكات المذكورة أعلاه.
تم الكشف عن مفهوم البنية التحتية الحيوية للمعلومات في القانون الاتحادي رقم 187-FZ المؤرخ 26 يوليو 2017 "بشأن أمن البنية التحتية الحيوية للمعلومات".
ماذا يقول 187-FZ "بشأن أمن البنية التحتية الحيوية للمعلومات"؟
187-FZ هي الوثيقة الأساسية لجميع موضوعات CII.
- يقدم المفاهيم الأساسية
- يخلق الأساس للتنظيم القانوني
- يحدد مبادئ ضمان سلامة CII
- يقدم مفهوم نظام الدولة للكشف عن عواقب الهجمات الحاسوبية ومنعها والقضاء عليها (المشار إليها فيما يلي باسم GosSOPKA)
- يقدم الأساس لإنشاء مركز التنسيق الوطني لحوادث الكمبيوتر (المشار إليه فيما يلي باسم NCCIC)
- يصف صلاحيات الرئيس والسلطات الحكومية في مجال ضمان أمن CII
- يحتوي على قاعدة لتحديد فئات كائنات CII
- يخلق الأساس التشريعيالاحتفاظ بسجل لكائنات CII المهمة
- يحدد حقوق والتزامات موضوعات CII
- يحدد مهام ومتطلبات النظام الأمني لمنشأة CII الهامة
- يضع الأساس لتقييم سلامة CII
- يوزع الحقوق والمسؤوليات لسيطرة الدولة
ما هو GoSOPKA؟
GosSOPKA هو مجمع واحد موزع جغرافيًا يتضمن قوى ووسائل مصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر.
نرى هذا التعريف في 187-FZ.
GosSOPKA في جوهرها عبارة عن مجموعة من المراكز (القوى والوسائل) الموزعة إقليميًا، بما في ذلك - المركز الوطني لتنسيق حوادث الكمبيوتر.
لتلخيص، هيكل GosSOPKA هو كما يلي:
يمكن الحصول على التفاصيل من الوثائق التالية:
- مرسوم رئيس الاتحاد الروسي بتاريخ 15 يناير 2013 رقم 31 ج "بشأن إنشاء نظام حكومي لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي"
- "الاتجاهات الرئيسية لسياسة الدولة في مجال ضمان سلامة أنظمة التحكم الآلي للإنتاج والعمليات التكنولوجية لمرافق البنية التحتية الحيوية في الاتحاد الروسي" (وافق عليها رئيس الاتحاد الروسي بتاريخ 02/03/2012 رقم 803 )
- "مفهوم نظام الدولة لكشف ومنع والقضاء على عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي" (وافق عليها رئيس الاتحاد الروسي في 12 ديسمبر 2014 رقم ك 1274)
- توصيات منهجية لإنشاء مراكز إدارية وشركات تابعة لنظام الدولة لكشف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي
ما هو نكتسكي؟
مركز التنسيق الوطني لحوادث الكمبيوتر، وهو الهيكل المسؤول عن ضمان تنسيق أنشطة كيانات CII، هو جزء لا يتجزأجوسوبكا.
تم إنشاؤه بأمر من FSB في روسيا رقم 366 بتاريخ 24 يوليو 2018 "بشأن مركز التنسيق الوطني لحوادث الكمبيوتر".
تشمل وظائف NCCC ما يلي:
- تنسيق الأنشطة والمشاركة في أنشطة الاستجابة لحوادث الكمبيوتر
- ينظم ويتبادل المعلومات حول حوادث الكمبيوتر
- يقدم الدعم المنهجي
- يشارك في اكتشاف ومنع وتخفيف عواقب هجمات الكمبيوتر
- يوفر معلومات حول هجمات الكمبيوتر
- يجمع ويحلل المعلومات حول حوادث الكمبيوتر والهجمات
"بشأن أمن البنية التحتية الحيوية للمعلومات (CII) في الاتحاد الروسي"، والتي دخلت حيز التنفيذ في 1 يناير 2018، تكتسب زخمًا تدريجيًا ويتم تجديدها بلوائح داخلية جديدة، والتي غالبًا ما لا تجعل الحياة أسهل بالنسبة لـ أخصائي أمن المعلومات. دعونا نفهم الوضع مع CII (FZ-187)، وما يمكن توقعه وما يجب القيام به.
من نحن، KII أم لا؟
الخطوة الأولى هي معرفة ما إذا كانت المنظمة تندرج تحت مفهوم "كيان CII" ويمكن القيام بذلك من خلال النظر في التشريعات. إذا لم تجد نفسك، قم بالزفير، سيكون لديك صداع أقل قليلاً.
ما هي المعايير التي تشير إلى أنك موضوع CII؟
المعيار الأول هو رمز OKVED الخاص بالمنظمة. المصنف الروسي بالكاملصِنف النشاط الاقتصادي(OKVED)، يمكن أن يكون لديهم، ومؤسسة واحدة، العديد منها، مفتوحة في أي وقت من النشاط، حتى تتمكن من رؤية القائمة الحالية في مقتطف من سجل الدولة الموحد للكيانات القانونيةخدمات المؤسسة أو المعلومات والمرجعية "Kontur Focus"، "Spark"، وما إلى ذلك. ستشير OKVED بوضوح إلى مجال النشاط الذي تنتمي إليه مؤسستك وما إذا كانت تندرج ضمن قائمة الصناعات التالية المحددة في القانون الاتحادي رقم 187:
- الرعاىة الصحية؛
- العلم؛
- ينقل؛
- اتصال؛
- طاقة؛
- القطاع المصرفي وغيره المجالات المالية;
- مجمع الوقود والطاقة.
- مجال الطاقة الذرية.
- صناعة الدفاع؛
- صناعة الصواريخ والفضاء.
- صناعة التعدين؛
- الصناعة المعدنية
- الصناعة الكيميائية
- الكيانات القانونية و/أو رواد الأعمال الأفراد الذين يضمنون تفاعل هذه الأنظمة أو الشبكات.
إذا كانت مؤسستك تعمل في قطاع الرعاية الصحية (OKVED 86)، فنوصيك بقراءة هذه المادة أولاً:
المعيار الثاني هو التراخيص وغيرها تسمحعلى أنواع مختلفةالأنشطة المتعلقة بالمجالات المذكورة أعلاه والتي ستكون محور الاهتمام وفقًا للقانون الاتحادي رقم 187.
المعيار الثالث - الوثائق التأسيسيةالمنظمات، وتشمل المواثيق واللوائح التنظيمية للمنظمات (إذا كنا نتحدث عن الهيئات الحكومية)، والتي قد تحدد نوع النشاط الذي يشير إلى الانتماء إلى الصناعات الحيوية.
مثال من تجربتنا في تنفيذ أعمال التصنيف. كان النوع الرئيسي للنشاط الاقتصادي للشركة يحمل رمز OKVED 46.73.6 "تجارة الجملة لمواد ومنتجات البناء الأخرى"، للوهلة الأولى، لا شيء خاص، فهو غير مدرج في قائمة الصناعات وفقًا للقانون الاتحادي رقم 187 وأنت يمكن أن "النوم بسلام". ولكن بعد دراسة تفصيلية للميثاق وتراخيص الأنشطة تبين أن الشركة لديها رخصة تشغيل نقل البضائع بالسكك الحديدية وأسطول خاص بها النقل بالسكك الحديدية. وبناء على هذه الظروف، تنتمي المؤسسة إلى صناعة النقل، وبالتالي، من الضروري الامتثال لمتطلبات القانون الاتحادي رقم 187.
هل استوفيت أحد المعايير الثلاثة؟ تهانينا، أنت أحد موضوعات KII! ولكن يجب أن نتذكر أنه يتم تحليل كل حالة على حدة وهذا موضوع لمناقشة منفصلة، مخصصة لتصنيف كائنات البنية التحتية الحيوية للمعلومات، والتي سننظر فيها في المقالات التالية.
يحدد القانون التنظيمي بوضوح أن "موضوعات البنية التحتية الحيوية للمعلومات تشمل الهيئات والمؤسسات الحكومية، بالإضافة إلى الكيانات القانونية الروسية و/أو رواد الأعمال الأفراد الذين، بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر، يمتلكون أنظمة معلومات ومعلومات واتصالات السلكية واللاسلكية الشبكات وأنظمة التحكم الآلي".
يحتوي كل موضوع CII على كائنات CII:
- نظم المعلومات؛
- أنظمة التحكم الآلي في العمليات؛
- شبكات المعلومات والاتصالات.
تعمل في مجال الرعاية الصحية والعلوم والنقل والاتصالات والطاقة والخدمات المصرفية وغيرها من مجالات السوق المالية ومجمع الوقود والطاقة، في مجال الطاقة النووية والدفاع والفضاء والتعدين والصناعات المعدنية والكيميائية، والكيانات القانونية الروسية و (أو) رواد الأعمال الأفراد الذين يضمنون تفاعل هذه الأنظمة أو الشبكات.
|
موضوعات KII:
|
كائنات مزود المعلومات الرئيسي:
|
تضمن كائنات البنية التحتية الحيوية للمعلومات عمل العمليات الإدارية والتكنولوجية والإنتاجية والمالية والاقتصادية وغيرها من العمليات الخاصة بموضوعات CII.
إن عملية تحديد من ينتمي إلى موضوع البنية التحتية الحيوية للمعلومات ليست بسيطة كما قد تبدو للوهلة الأولى. كما قلنا أعلاه، هناك العديد من العوامل غير الواضحة التي يمكن أن تؤثر على النتيجة، على سبيل المثال، فتح أنواع إضافية وغير أساسية من الأنشطة بموجب OKVED أو التراخيص الصالحة التي قد تصنفك كموضوع للبنية التحتية الحيوية للمعلومات. نوصي بالتعمق أكثر في مسألة تحديد العضوية في كيان CII.
ماذا تفعل إذا كنت أحد رعايا وكالة المخابرات المركزية؟
لقد تم حل موضوع وهدف البنية التحتية الحيوية للمعلومات. ما الذي يتعين عليك، كأحد موضوعات CII، أن تفعله بعد ذلك؟
المرحلة الأولى. من الضروري إنشاء لجنة تصنيف داخلية وتحديد تكوين المشاركين من المتخصصين الأكثر كفاءة في عمليات عملك. لماذا يتم التركيز على العمليات التجارية ومستويات كفاءة المشاركين؟ فقط "مالك" العملية التجارية يعرف كل الفروق الدقيقة التي يمكن أن تؤدي إلى انتهاكها والعواقب السلبية اللاحقة. يجب أن يكون هذا المالك أو من ينوب عنه مختصًا موجودًا في اللوحة لتعيين فئة الأهمية الصحيحة للعملية.
المرحلة الثانية. في هذه المرحلة، يتم جمع البيانات الأولية، وإجراء مسح ما قبل المشروع، واستنادًا إلى البيانات التي تم الحصول عليها، تقرر اللجنة مدى توفر قائمة بكائنات البنية التحتية الحيوية للمعلومات التي سيتم تصنيفها وتعيين فئة ذات أهمية. وفقًا لمرسوم حكومة الاتحاد الروسي بتاريخ 02/08/2018 N 127 "بشأن الموافقة على قواعد تصنيف كائنات البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، بالإضافة إلى قائمة مؤشرات معايير الأهمية "أشياء البنية التحتية الحيوية للمعلومات في الاتحاد الروسي وقيمها"، هناك ثلاث فئات ذات أهمية، الأولى هي الأعلى.
- اجتماعي؛
- سياسي؛
- اقتصادي؛
- البيئية؛
- أهمية لضمان الدفاع الوطني وأمن الدولة والقانون والنظام.
في هذه المرحلة، هناك تحذير واحد: بعد الموافقة على قائمة كائنات CII الخاضعة للتصنيف، فإن موضوع CII ملزم بإخطار FSTEC في روسيا بهذا الأمر في غضون 5 أيام. ومن الآن فصاعدا، يتم تخصيص سنة واحدة كحد أقصى لإجراءات التصنيف. إذا لم يندرج كائن CII ضمن أحد مؤشرات معايير الأهمية، فلا يلزم تعيين فئة ذات أهمية له، ولكن مع ذلك، فإن المؤسسة عبارة عن موضوع CII لا يحتوي على كائنات CII ذات أهمية بالغة.
نتيجة المرحلة الثانية هي "قانون تصنيف كائن CII"، الذي تم توقيعه من قبل أعضاء اللجنة ووافق عليه رئيس موضوع CII. يجب أن يحتوي الفعل على معلومات كاملة حول كائن CII ويتم تخزينه بواسطة الموضوع حتى المراجعة اللاحقة لمعايير الأهمية. منذ لحظة التوقيع على القانون، يرسل موضوع CII في غضون 10 أيام معلومات حول نتائج التصنيف وفقًا للنموذج المعتمد إلى FSTEC في روسيا (في وقت كتابة هذا التقرير، كان النموذج في مرحلة الاتفاق على النسخة النهائية ). في غضون 30 يومًا، تتحقق FSTEC من الامتثال لإجراءات التصنيف وصحته، وفي حالة التوصل إلى نتيجة إيجابية، تقوم بإدخال المعلومات في سجل كائنات CII الهامة مع إخطار لاحق بموضوع CII في غضون 10 أيام.
المرحلة الثالثة، الأخيرة. ربما تكون تلبية متطلبات ضمان سلامة مرافق CII المهمة من أكثر الأمور التي تستغرق وقتًا طويلاً ومكلفة. لن نخوض في التفاصيل الآن، ولكننا سندرج المراحل الرئيسية لضمان سلامة مرافق CII:
- تطوير الاختصاصات;
- تطوير نموذج التهديد أمن المعلومات;
- تطوير مشروع تقني؛
- تطوير وثائق العمل؛
- وضع موضع التنفيذ.
يمكن العثور على مزيد من المعلومات التفصيلية حول توقيت ومراحل استيفاء متطلبات القانون الاتحادي رقم 187 في مقالتنا: "". يمكنك أيضًا على الصفحة تنزيل مجموعة أولية مجانية من المستندات لبدء العمل على تصنيف كائنات CII.
ماذا سيحدث إذا لم تفعل هذا؟
لقد بحثنا في موضوع البنية التحتية الحيوية للمعلومات، وما هو كائن CII، وما هي الإجراءات التي يجب اتخاذها للامتثال لمتطلبات FSTEC. الآن أود أن أتحدث قليلاً عن المسؤولية التي تنشأ في حالة عدم الامتثال للمتطلبات. وفقًا لمرسوم رئيس الاتحاد الروسي بتاريخ 25 نوفمبر 2017 رقم 569 "بشأن تعديلات اللوائح الخاصة بالخدمة الفيدرالية للرقابة الفنية ومراقبة الصادرات، تمت الموافقة عليها بموجب مرسوم رئيس الاتحاد الروسي بتاريخ 16 أغسطس 2004 رقم .1085"، الهيئة التنفيذية الفيدرالية (السلطة التنفيذية الفيدرالية) المرخص لها في مجال أمن KII هي FSTEC. سيتم تنفيذ مراقبة الدولة في مجال ضمان سلامة مرافق CII المهمة بواسطة FSTEC في شكل عمليات تفتيش مجدولة وغير مجدولة مع أوامر لاحقة في حالة حدوث انتهاكات محددة. يتم إجراء الفحوصات المجدولة:
- بعد مرور 3 سنوات من تاريخ إدخال المعلومات الخاصة بمنشأة CII في السجل؛
- بعد 3 سنوات من تاريخ آخر فحص مقرر.
سيتم إجراء عمليات التفتيش غير المجدولة في الحالات التالية:
- عند انتهاء الموعد النهائي لـ CII الخاضع للامتثال لأمر إزالة الانتهاك المحدد؛
- حدوث حادث كمبيوتر يؤدي إلى عواقب سلبية؛
- نيابة عن رئيس الاتحاد الروسي أو حكومة الاتحاد الروسي، أو بناءً على طلب من مكتب المدعي العام للاتحاد الروسي.
إذا كشفت FSTEC عن انتهاك، فسيتم إصدار أمر بفترة محددة للإزالة، والتي يمكن تمديدها لأسباب وجيهة، ولكن في القضايا مع مكتب المدعي العام للاتحاد الروسي سيكون الأمر أكثر صعوبة على نحو متزايد، لأن سوف تأتي إليك مع قرار بشأن جريمة إدارية، في إشارة إلى المادة 19.5 الجزء 1 من قانون الجرائم الإدارية للاتحاد الروسي بشأن عدم الامتثال خلال الفترة المحددة لقرار الهيئة الإشرافية الحكومية.
والمزيد عن العقوبات التي تم فرضها لعدم الامتثال لمتطلبات ضمان أمن بنية المعلومات الهامة. وفقًا للقانون الاتحادي الصادر في 26 يوليو 2017 رقم 194-FZ "بشأن التعديلات على القانون الجنائي للاتحاد الروسي وقانون الإجراءات الجنائية للاتحاد الروسي فيما يتعلق باعتماد القانون الاتحادي "بشأن أمن "البنية التحتية للمعلومات الحرجة في الاتحاد الروسي"، فإن العقوبة القصوى لانتهاكات المعايير الأمنية لـ CII هي السجن لمدة تصل إلى 10 سنوات. ربما حجة قوية!
في المقالات الإضافية، سنتحدث بمزيد من التفصيل عن كل مرحلة من مراحل استيفاء متطلبات FSTEC في مجال ضمان أمن البنية التحتية الحيوية للمعلومات. اشترك في الإخطارات على موقعنا، انضم إلينا فيسبوكووضع إشارة مرجعية على المدونة.
نكتب عما نفعله!
اتصل بشركة "IC REGIONAL SYSTEMS"! في سياق متطلبات القانون الاتحادي رقم 187 بشأن أمن البنية التحتية الحيوية للمعلومات، سيقوم المتخصصون في الشركة بتنفيذ أنواع العمل التالية:
- تدقيق البنية التحتية القائمة؛
- تصنيف أصول المعلومات المتاحة؛
- تقييم مخاطر أمن المعلومات؛
- تطوير نموذج تهديد أمن المعلومات؛
- إجراء تصنيف لكائنات البنية التحتية الحيوية للمعلومات؛
- تحديد مستوى الامتثال للمتطلبات التنظيمية لأمن المعلومات؛
- وضع خطة للتنفيذ المرحلي للمتطلبات التشريعية لضمان سلامة مرافق CII؛
- إنشاء ميزانية لأنشطة أمن المعلومات.
وأيضا سوف يخلقون نظام معقدسلامة الإنتاج الجاهز، مع الأخذ في الاعتبار بنية وتفاصيل الإنتاج الخاص بك. باستخدام أفضل الممارسات الروسية والعالمية لإنشاء أنظمة الأمان، سنعمل على تقليل المخاطر والتهديدات التجارية إلى الحد الأدنى.
| ارسل طلب |