Подключение ЗОКИИ к сети связи общего пользования

Подключение ЗОКИИ к сети связи общего пользования

   ФСТЭК ударными темпами устраняет претензии со стороны субъектов КИИ и публикует проекты приказов , обязательных при выполнении действующих подзаконных актов к 187-ФЗ.
  https://valerykomarov.blogspot.com/2020/01/187.html
    Интересно, но выпуск этого приказа не был запланирован на 2020 год  https://fstec.ru/normotvorcheskaya/akty/54-inye/2009-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2020-god .
name='more'>
    Посмотрим что нам предлагает ФСТЭК.
     1Кому придется выполнять процедуры по данному регламенту?
Субъектам КИИ, если они в целях обеспечения функционирования ЗОКИИ используют ресурсы сети общего пользования.
     Ключевое здесь - "в целях обеспечения функционирования ЗОКИИ". А не просто факт подключения ЗОКИИ к сети общего пользования.
    
     2. Касается всех субъектов КИИ с такими ЗОКИИ?
Нет, не всех. 
"Указанное согласование не требуется для субъекта критической информационной инфраструктуры, являющегося оператором связи и предоставляющего услуги связи в сети связи общего пользования." (Постановление Правительства РФ от 08.06.2019 N 743
"Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры")
    
  3. ФСТЭК поощряет ускорение процедур категорирования. Если ЗОКИИ уже внесен в Реестр ЗОКИИ, то согласование не требуется. 
   "Имеющееся на момент включения ЗОКИИ в реестр ЗОКИИ РФ, ведение которого осуществляется ФСТЭК России .., подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует.".

   4. Все что субъект КИИ будет заявлять, должно иметь сертификат или оценку соответствия
"д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки)."
Довольно коварный пункт.
  В 239 приказе ФСТЭК уже указано, что 
"29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."
   И не забываем, что ФСТЭК  опубликовала проект изменений в 239 приказ, в котором процедуры оценки соответствия очень жестко заданы.
  https://valerykomarov.blogspot.com/2020/02/239.html

   5. Очень неприятный пункт. Больно широкая трактовка.
"9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
...

недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.".

  Что значит "недостаточность СЗИ"? На основании чего сотрудники ФСТЭК определяют эту самую достаточность? Ведь указано в приказе "достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации". Так достаточно выполнить п.7 Порядка или нет?

     6. И непонятно в какие сроки субъект КИИ должен все это реализовать. Пока ЗОКИИ не внесен в Реестр, запрос на согласование ФСТЭК просто не примет. Потом рассматривает 20 рабочих дней. ЗОКИИ все это время простаивает? Он же не может функционировать без подключения к сети общего пользования. А какие основания тратить деньги на проектирование и закупку этих СЗИ до внесения в Реестр? Ситуация с сроками создания подсистемы безопасности ЗОКИИ только усугубляется. Придет прокуратура и накажет со всей пролетарской ненавистью.

    Этап общественного обсуждения продлится до 14 мая 2020 года. Праздники и нерабочие дни негативно повлияют на активность обсуждения.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности