Вопрос-ответ

По определению (ст.2 п.8 N187-ФЗ) субъектами КИИ являются государственные органы и учреждения, юр. лица и ИП, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из 12 сфер деятельности:
1 - здравоохранение;
2 - наука;
3 - транспорт;
4 - связь;
5 - банковская и иные сферы финансового рынка;
6 - энергетика и ТЭК;
7 - атомная энергия;
8 - оборонная промышленность;
9 - ракетно-космическая промышленность;
10 - горнодобывающая промышленность;
11 - металлургическая промышленность;
12 - химическая промышленность.

Чтобы соотнести деятельность своей организации с одной из данных сфер деятельности можно использовать:
А) общероссийский классификатор видов экономической деятельности (ОКВЭД) и каталог организаций России (www.list-org.com).
Б) Лицензии, сертификаты и иные разрешительные документы на виды деятельности
В) Учредительные документы, уставы, положения организации, где прописаны основные и вспомогательные виды деятельности.
Постановление Правительства Российской Федерации от 17.02.2018 г. № 162 устанавливает правила осуществления гос. контроля в области обеспечения безопасности Значимых объектов КИИ (ЗО КИИ). Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а) внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б) окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а) истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б) возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в) приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки.
Надзор за выполнением требований к системам защиты значимых объектов КИИ осуществляет только ФСТЭК. При этом ежегодный план проведения плановых проверок будет утверждаться до 20 декабря года, предшествующего году проведения плановых проверок, и выписка из плана проверок будет направляться субъектам КИИ в срок до 1 января года проведения данных проверок.
Согласно п.28 приказа ФСТЭК №239 для обеспечения безопасности значимых объектов КИИ должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки. Сертифицированные средства применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях могут применяться несертифицированные средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих соответствующие лицензии на деятельность в области защиты информации.
В данном случае необходимо одновременно выполнять требования по КИИ, ГИС, ИСПДн –при создании систем защиты следует выбирать по максимальному из требований.
В пункте 12 Постановления Правительства от 8.02.18 №127 написано, что в состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами. Этот пункт подразумевает, что субъект КИИ может привлекать в состав комиссии представителей организаций, которые являются ведомственными, отраслевыми регуляторами. Сотрудники ФСТЭК России не будут принимать участие в составе комиссии по категорированию объектов КИИ.
Субъект КИИ сам определяет свои объекты и проводит границы. То есть сегментировать объекты субъект КИИ может по-разному. Мы рекомендуем делать сегментацию объектов таким образом, чтобы снизить возможные риски и актуальные угрозы на объекте, что позволит минимизировать возможный ущерб от инцидента и снизить категорию значимости объекта.
Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
Не следует путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.
Электронная подпись – реквизит электронного документа, который используется для установления личности подписанта. Квалифицированная электронная подпись аналогична рукописной и обладает такой же юридической силой. ФЗ-63 «Об электронной подписи» регулирует порядок использования электронной подписи.
Для получения электронной подписи необходимо выполнить следующее:

1. Оставить заявку. Сделать это можно 3 способами: позвонить специалисту на номер +7(342) 207-02-09, заполнить «Анкету на выпуск ЭП» на нашем сайте, или отправить свой запрос напрямую на электронный адрес: rc@biont.ru.
2. После получения заявки специалисты направят вам последовательность действий, а также обговорят с вами удобный для вас способ оплаты (по счёту или наличными у нас в офисе).
3. После оплаты, специалисты вышлют вам ссылку на заполнения Заявки для получения ЭП.
4. Как только Заявка будет полностью заполонена, вы сможете записаться на получение вашей электронной подписи. Наш адрес: 614015, г. Пермь, ул. Краснова, д.24 к1, схема проезда.
В течение 1-3 дней, в зависимости от вашего взаимодействия со специалистами.
Электронная подпись действует в течение одного года, по истечению этого срока подпись необходимо перевыпустить.
Да, равнозначна. Это подтверждается действующим законодательством Российской Федерации, в частности — п. 3 ст. 4, ст. 6, ст. 7 Федерального закона от 06 апреля 2011 года №63-ФЗ «Об электронной подписи»
Электронные торговые площадки (ЭТП) представляют собой специализированные интернет-порталы, на которых проводятся электронные аукционы. Площадки обеспечивают достоверность информации о продавцах и покупателях, лотах, дают возможность заключения сделок в безопасном режиме. Кроме того, площадками предоставляется ряд различных инструментов, облегчающих процесс заключения сделок и их безопасность.
Чтобы участвовать в торгах, необходимо пройти специальную процедуру аккредитации (регистрации) на ЭТП. Это подтверждение того, что участник закупки соответствует установленным требованиям законодательства, регламенту площадки и может участвовать в электронных торгах. Более подробную информацию по аккредитации на ЭТП (Какие документы необходимо предоставить, в каких форматах? Что означает то или иное поле при заполнении заявки на аккредитацию?) нужно уточнять в технической поддержке каждой конкретной площадки.
Срок действия аккредитации на федеральных ЭТП составляет 3 года. При этом за три месяца до истечения срока аккредитации, участник теряет право подавать заявки на аукционы.
Федеральные (бюджетные) торговые площадки – это площадки, в которых заказчиками являются предприятия и государственные учреждения, их ещё называют — площадки B2G (business-to-government). Такие площадки используются для организации государственных закупок. Коммерческие электронные площадки - это. площадки B2B (business-to-business). На этих площадках заказчиками являются коммерческие организации, в роли заказчика может выступать любое юридическое или физическое лицо, в том числе индивидуальный предприниматель. Одним из отличий коммерческих ЭТП от федеральных является то, что подключение (участие) к этим площадкам платное. Однако имеется возможность бесплатного участия в закупках у некоторых заказчиков, либо стоимость такого участия (подключения) символическая. На данный момент существует 6 государственных площадок и свыше 1000 коммерческих.
  • ФЗ 44 от 05.04.2013 «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»
  • ФЗ 223 от 18.07.2011 «О закупках товаров, работ, услуг отдельными видами юридических лиц».
  • Да. Если на момент заключения сделки подпись была действительна, договор вступает в силу в тот момент, когда его подписывает вторая сторона. Но внести любые изменения и дополнения вы сможете только при продлении срока своей электронной подписи.
    Это доверенная организация, которая имеет право выпускать сертификаты электронной подписи юридическим и физическим лицам.
    В обязанности УЦ входят:
  • удостоверить личность человека, который обратился за сертификатом электронной подписи,
  • изготовить и выдать сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки,
  • управлять жизненным циклом сертификата (выпуск, приостановление, возобновление, окончание срока действия).
  • Корневой сертификат – это конечный сертификат в цепочке доверия, то есть для него нет сертификата, на котором его можно было бы проверить. Очевидно, что корневым сертификатом в цепочке доверия всегда является сертификат удостоверяющего центра (хотя необязательно каждый сертификат удостоверяющего центра будет корневым—могут, например, существовать сертификаты удостоверяющего центра, подписанные на корневом).
    ЭП состоит из связки открытого (личный сертификат) и закрытого ключа шифрования (ключевой контейнер). Личный сертификат - это файл, в котором указаны данные о владельце сертификата. Открытый ключ необходим для проверки подлинности документа, а связанный с ним закрытый ключ для зашифровки данных.
    КриптоПро CSP представляет собой криптопровайдер, предназначен для авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами. 
    Это устройство, предназначенное для защищенного хранения ключей шифрования и ключей электронной подписи, а также цифровых сертификатов и иной информации. Является основным ключевым носителем при использовании электронной подписи.
    Если Вы планируете продолжить пользоваться электронной подписью после окончания срока ее действия, необходимо пройти процедуру перевыпуска. Схема действий и стоимость перевыпуска ЭП полностью аналогичны первичному получению.
    Порядок проведения аттестации и контроля изложен в Положение по аттестации объектов информатизации по требованиям безопасности информации" (утв. Гостехкомиссией РФ 25.11.1994) и включает следующие действия:
    • подачу и рассмотрение заявки на аттестацию;
    • предварительное ознакомление с аттестуемым объектом;
    • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
    • разработка программы и методики аттестационных испытаний;
    • заключение договоров на аттестацию;
    • проведение аттестационных испытаний объекта информатизации;
    • оформление, регистрация и выдача "Аттестата соответствия";
    • осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
    • рассмотрение апелляций.

    Аттестация производится в порядке, установленном Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25.11.1994. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

    Аттестация является обязательной в следующих случаях:

    - на объекте предусмотрена работа со сведениями, составляющими государственную тайну;

    - при защите государственного информационного ресурса;

    - управление экологически опасными объектами;

    - ведение секретных переговоров.

    Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.
    ViPNet Client (Клиент) — это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.
    Это комплекс организационно-технических мероприятий, в результате которых специальным документом — «Аттестатом соответствия» подтверждается, что объект соответствует требованиям стандартов по безопасности информации, утвержденных ФСТЭК России.

    Деятельность по установлению соответствия комплекса организационно-технических мероприятий по защите объекта информатизации требованиям по безопасности информации.

    Защищаемые помещения - помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).


    Это совокупность информационных ресурсов, средств и систем информатизации, используемых в соответствии с заданной информационной технологией, и систем связи вместе с помещениями (транспортными средствами), в которых они установлены.

    Остались вопросы? Напишите нам!