Подключение ЗОКИИ к сети связи общего пользования. Итог общественного обсуждения.

Подключение ЗОКИИ к сети связи общего пользования. Итог общественного обсуждения.

    Закончился этап общественного обсуждения  Проект приказа ФСТЭК России «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования». Можем оценить нашу активность и эффект от замечаний и предложений.
name='more'>
    Активность средняя, всего 9 человек подали свои замечания. Возможно сказалось внесение проекта на обсуждения в период майских праздников.
    Не принято одно замечание


2. В соответствии с пунктом 5 Порядка сведения, указанные в пункте 4 Порядка, подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом. Учитывая, что в соответствии с пунктом 9 Порядка одними из оснований для отказа в согласовании ФСТЭК России подключения значимого объекта к сети связи общего пользования являются представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений, предусмотренных пунктом 4 настоящего Порядка, недостоверной информации, считаем целесообразным предусмотреть в Порядке необходимость предоставления вмести со сведениями, указанными в пункте 4 Порядка, документы, подтверждающие полномочия лица, подписавшего указанные сведения (например, доверенность, решение акционеров общества, выписка из реестра юридических лиц).
За достоверность представленных сведений в соответствии
‎с законодательством Российской Федерации о безопасности критической информационной инфраструктуры ответственность несет субъект критической информационной инфраструктуры.

Учтенные замечания


Предложения участника общественного обсуждения
Комментарии разработчика
Комаров Валерий
1. Включение п.7 в проект документа не соответствует области действия данного регламента. Такие требования необходимо включать в приказ ФСТЭК №239.
Пункт 7 исключен.
2. в п.9 задана очень широко трактуемая формулировка для отказа в согласовании -""9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
...
‎недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности."."
‎Для исключения субъективности решений сотрудников ФСТЭК при согласовании необходимо конкретизировать критерии достаточности применяемых мер и описать процедуру оценки недостаточности
Пункт 8 изложен в уточненной редакции (ранее пункт 9).
Климов Михаил
1. По наличию средств обеспечения безопасности невозможно оценить защищенность объекта КИИ от внешних угроз.
В соответствии с приказом ФСТЭК России от 25 декабря 2017 г. № 239 субъект КИИ разрабатывает модель угроз, определяет ответственных лиц, меры защиты и используемые средства защиты информации.
Предписанные (в проекте) к использованию на объекте КИИ средства обеспечения безопасности могут быть для субъекта КИИ экономически не оправданы и даже бесполезны для обеспечения устойчивого функционирования объекта КИИ.
В пункт 4 включено требование о представлении субъектом критической информационной инфраструктуры копии утвержденной руководителем или уполномоченным им лицом модели угроз безопасности информации значимого объекта.
Пункт 7 исключен.
Пункт 8 изложен в уточненной редакции (ранее пункт 9).
2. Критерии достаточности, изложенные в пункте 7 проекта, довольно многочисленны и субъективны (неоднозначны), что может привести к злоупотреблениям при оценке достаточности применяемых средства обеспечения безопасности.
Пункт 7 исключен.
3. Необходимость установки средств антивирусной защиты на средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации) не обоснована. Непонятно как определятся возможность установки таких средств: технически, юридически, экономически и т.п.
Пункт 7 исключен.
4. Четко не определена обязательность использования отечественных криптоалгоритмов в используемых СКЗИ
‎(в том числе при использовании https (как наиболее распространенная практика)). Кроме того, ФСТЭК России не регулирует использование средств криптографической защиты информации.
Пункт 7 исключен.
Борисов Сергей Викторович
Меры защиты объектов КИИ правильнее определить в приказе ФСТЭК №239. Для того чтобы при построении системы защиты не приходилось собирать требования к средствам защиты по крупинкам из разных документов.
‎Данный приказ, как следует из его названия, должен быть посвящен порядку согласования, а не установлению новых требований к безопасности.
Пункт 7 исключен.
Лучинина Анна Андреевна, ПАО "РусГидро"
1. Согласно пункту 4 Порядка субъекты критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России необходимые для согласования подключения значимого объекта критической информационной инфраструктуры к сетям связи общего пользования необходимые сведения. Однако из Порядка не представляется возможным определить в какой форме должны быть поданы указанные в пункте 4 Порядка сведения (в свободной или установленной ФСТЭК России). В целях правоприменения считаем необходимым указать в какой форме подаются указанные сведения.
Проект дополнен рекомендуемой типовой формой представления сведений (приложение № 1).
Боровский Андрей
1) В проекте Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования (далее - Порядок) отсутствуют положения определяющие этап жизненного цикла объекта КИИ и/или его системы обеспечения безопасности на котором необходимо проводить согласование подключения. Без четкого определения момента согласования может возникнуть ситуация невозможности подключения готового к пром. эксплуатации объекта, в связи с отсутствием согласования по причине «недостаточности» реализованных мер защиты, что может привести к простою и ущербу субъекту КИИ. В другой ситуации, может быть реализованы избыточные меры защиты, что тоже несёт ущерб для субъекта. Необходимо внести в Порядок положения, устанавливающие эпап жизненного цикла, на котором проводится согласование подключения. Целесообразно указанным этапом определить как минимум Этап утверждения проектной документации на систему защиты.
Пункт 2 изложен в новой редакции.
2) В п.4 проекта не предусмотрен запрос ряда документов:
- модели угроз и злоумышленника;
- техническое или частное техническое задание на систему защиты;
- проектная документация на систему защиты.
Отсутствие данные документов не позволяет оценить достаточность мер обеспечения безопасности с учетом проведённых работ по моделированию угроз, выбору и адаптации набора мер защиты (п.23 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. Приказом № 239). Целесообразно дополнить п.4 запросом данных документов, а также дополнить Порядок положениями об их рассмотрении.
В пункт 4 включено требование о представлении субъектом критической информационной инфраструктуры копии утвержденной руководителем или уполномоченным им лицом модели угроз безопасности информации значимого объекта.
Требование о предоставлении остальных документов избыточно, так как требования к средствам защиты информации установлены иными нормативными правовыми актами ФСТЭК России.
3) В п.4 пп. г) целесообразно уточнить какие «протоколы сетевого взаимодействия» подразумеваются. Пункт можно трактовать как запрос протоколов обеспечения каналов связи, например: E1 или Ethernet, а можно трактовать как необходимость перечисления протоколов, используемых для общения объекта КИИ через сеть Интернет, например: HTTP, Modbas и т.д.
Подпункт г) пункта 4 изложен в новой редакции.
4) В соответствии с п.1 Порядка, документ определяет «процедуру согласования», в месте с тем, п.7 Порядка устанавливает требования к перечню и характеристикам «достаточных» средств защиты, разъясняя тем самым положения Приказа № 239.
Кроме этого, положения п.7 устанавливают дополнительные требования к способу размещения таких средств и их характеристикам. Например:
- в пп.а) «... Межсетевой экран размещается ... между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями.». Требование по обеспечению защиты объекта КИИ от иных систем выходит за рамки Порядка. Целесообразно удалить данное требование.
- в пп.а) «Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства;». Представленное требование отсутствует в Приказе № 239. Также указанное требование является требованием к настройке МЭ. С учетом отсутствия в п.4 запроса сведений о настройках оборудования, указанное положение избыточно. Целесообразно удалить данное требование.
- в пп.б) «...Для обеспечения безопасности значимого объекта 1 или 2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом (для значимого объекта, для которого требуется взаимодействие с публичным общедоступным ресурсом например, с общедоступным веб-сервером), а также для каждого внешнего телекоммуникационного сервиса». Представленное требование отсутствует в Приказе № 239. Также указанное требование является бессмысленным, в виду особенностей подключения маршрутизаторов к сети провайдера связи, при которой все физические интерфейсы подключаются к одному коммутатору провайдера услуг связи, что сведёт на нет попытку разнесения информационных потоков. Дополнительно не ясно соотнесение всех физических интерфейсов с межсетевым экраном. На каждый физический интерфейс нужен отдельный межсетевой экран? Целесообразно удалить данное требование.
- в пп.в) «...Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах...». Представленное требование отсутствует в Приказе № 239 и является неоправданным завышением требований к характеристикам требуемых средств защиты информации. Целесообразно удалить данное требование.
- в пп.в) «Для обеспечения безопасности значимого объекта 1 или 2 категории значимости средства ... дополнительно должно обеспечиваться централизованное управление установленными на компонентах значимого объекта средствами антивирусной защиты (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты);». Представленное требование отсутствует в ПриказеУчтено № 239. Указанное требование не учитывает предусмотренную АВЗ.5 «мультивендорность» обязательную для первой категории значимости. Невозможно обеспечить централизованное управление продуктами разных производителей, тем более что способ решения задач администрирования выходит за рамки вопроса обеспечения безопасности. Целесообразно удалить данное требование.
- в пп.д) «...Компоненты регистрации событий (сенсоры или датчики) средства размещаются между ... этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями.». Требование по обеспечению защиты объекта КИИ от иных систем выходит за рамки Порядка. Целесообразно удалить данное требование.
- в пп.д) «...Управление установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры. компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно;». В тексте указана «система» в остальной части подпункта речь идёт о средствах и компонентах. В Приказе № 239 отсутствуют требования об обязательном централизованном управлении. При этом оно может быть невозможно в силу различных вендоров. Нецелесообразно по экономическим соображениям стоимости компонента управления. Возможно подразумевался централизованный сбор событий безопасности? Целесообразно удалить данное требование.
- в пп.е) «...Межсетевой экран размещается между .. иными информационными (автоматизированными) системами». Требование по обеспечению защиты объекта КИИ от иных систем выходит за рамки Порядка. Целесообразно удалить данное требование.
- в пп.е) предусмотрена установка решения класса WAF. Представленное требование отсутствует в Приказе № 239. Применение WAF не всегда оправданно с точки зрения архитектуры веб-приложения и совместного использования с СКЗИ. Целесообразно удалить данное требование.
Пункт 7 исключен.
5) В соответствии с п.9 Порядка основанием отказа является: «недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.». Исходя из п.7 «недостаточным» будет считается отсутствие шести классов решений. При этом, в связи с «краткостью» п.4 (смотри замечание 2) выше) актуальность угроз, перечень выбранных мер, настройки средств и архитектура их размещения не могут быть учтены в рамках согласования подключения.
Порядок в существующей редакции противоречит букве и духу Приказа № 239, помимо процедуры устанавливает дополнительные требования к средствам защиты и способам их размещения, рассматривает только достаточность средств, а не мер, содержит противоречивые положения, не позволяющие подготовить объект к подключению, но создающие возможность вольной трактовки, что в свою очередь, создаёт коррупционные риски.
Пункт 7 исключен.
Пункт 8 изложен в уточненной редакции (ранее пункт 9).
ПАО "Интер РАО"
Выпуск дополнительного приказа к уже существующим усложняет реализацию требований и повышает риск проектных ошибок в части игнорирования требований, предложенных данным проектом приказа. Данный приказ фактически предъявляет дополнительные организационные меры к приказу ФСТЭК России от 21.12.2017 N 235 и технические к Приказу ФСТЭК России от 25.12.2017 N 239.
Пункт 7 исключен.
Текущая формулировка приказа противоречит разделу 11 приказа ФСТЭК России от 25 декабря 2017 г. № 239. Так, например, исключаются стадии проектирования и моделирования угроз при подготовке средств, что не позволяет эффективно защищать значимые объекты и может приводить к формальным нарушениям требований приказа ФСТЭК России от 25 декабря 2017 г. № 239.
Пункт предложен на основе пункта 26 приказа ФСТЭК России от 25 декабря 2017 г. № 239.
Приказ не дает указаний как действовать в случае если требуемые в пункте 7 меры технически невозможно выполнить. Например, в случае устройств имеющих прямое подключение к сетям общего пользованиям, без возможности установки на них каких либо внешних средств. Речь идет о так называемом «интернете вещей» (датчики, отдельные камеры, платежные терминалы и т.д.). Устанавливать для защиты каждого датчика указанный набор средств не всегда является возможным, даже если не учитывать экономическую целесообразность.
Пункт 7 исключен.
Юршев Андрей Юрьевич, АО «Инфовотч»
Исходный вариант:
а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства;
Предлагаемый вариант:
а) программно-аппаратный межсетевой экран уровня сети или межсетевой экран уровня промышленной сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.
Пункт 7 исключен.
Харченко Андрей Викторович , ПАО «Ростелеком»
1. По пункту 7 проекта Порядка
1.1. предусматривается перечень средств защиты информации, прошедших оценку на соответствие требованиям по безопасности в форме обязательной сертификации, испытаний или приемки, применение которых является достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования.  При этом не определено, достаточно ли для обеспечения информационной безопасности значимого объекта КИИ при подключении его к ССОП использования одного или нескольких из приведенных в пункте 7 проекта Порядка средств, либо требуется применить все указанные средства.
Несмотря на то, что в пункте 7 проекта Порядка указано, что перечень средств защиты информации определен в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239, указанный перечень значительно ограничивает выбор мер (с учетом компенсирующих), предусмотренных приказом ФСТЭК России от 25.12.2017 № 239. В этой связи предлагается предусмотреть в проекте Порядка применение компенсирующих мер в соответствии с приказом ФСТЭК России от 25.12.2017 № 239 либо исключить из проекта Порядка перечень средств защиты информации.
Пункт 7 исключен.
Пункт 4 изложен в новой редакции.
1.2. в пункте 7 проекта Порядка устанавливаются меры для случая, когда субъекту КИИ оказываются услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет".
Однако субъекты КИИ вправе использовать также услугияющего услуги связи в сети аренды цифровых потоков (Е-1, Е-2, STM-1-16) на сетях связи с построенных по технологиям DWDM, SDH, PDH, а также 1 (10) Гбит/с  из магистральной сети связи  IP/MPLS, построенной по технологии многопротокольной коммутации меток, не имея выхода в публичную сеть Интернет, а также  арендовать каналы тональной частоты.  Под арендой цифровых потоков понимается предоставление каналов связи, в соответствии с постановлением Правительства РФ от 18.02.2005 N 87
‎"Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий" содержит указание на услуги связи по предоставлению каналов связи (обеспечение предоставления пользователю возможности передачи сообщений электросвязи по каналам связи, образованным линиями передачи сети связи лицензиата).
Предлагается в проекте Порядка предусмотреть, что не требуется согласование ФСТЭК России в случае предоставления субъекту КИИ каналов связи.
Пункт 7 исключен.
2. В целях обеспечения определенности проектируемого регулирования и в соответствии с пунктом 3 Правил, утвержденных постановлением Правительства РФ от 08.06.2019 №743, предлагается дополнить пункт 2 проекта Порядка абзацем следующего содержания:
«Согласование ФСТЭК России подключения к сети связи общего пользования не требуется для субъекта критической информационной инфраструктуры, являющегося оператором связи и предоставляющего услуги связи в сети связи общего пользования».и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями.». Требование по обеспечению защиты объекта КИИ от иных систем выходит за рамки Порядка. Целесообразно удалить данное требование.
- в пп.д) «...Управление установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры. компонентами такой системы,
Оператор связи также является субъектом КИИ, а вопрос подключения к ССОП у оператора связи возникает всякий раз, когда вводится в действие новая система коммутации, или осуществляется присоединение к сети связи другого оператора связи в сети связи общего пользования. В этой связи важно прямо указать, что проектируемый Порядок согласования ФСТЭК России не распространяется на оператора связи, предоставляющего услуги связи в сети связи общего пользования. 
Данная норма установлена пунктом 3 Правил подготовки
‎и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г.
‎№ 743.

Внесены изменения в проект Порядка согласования:

   1.  Теперь и МУиН ЗОКИИ будем прикладывать к заявке. Интересно, а будет ФСТЭК отказывать в согласовании заявки при несогласии с оформлением МУиН? 

   2.  Конкретизированы сроки подачи заявки на согласование:
"2. Согласование подключения создаваемого значимого объекта осуществляется до ввода его в действие на этапе, определяемом субъектом критической информационной инфраструктуры.                Согласование подключения действующего значимого объекта осуществляется до заключения договора ‎с оператором связи, предусмотренного пунктом 6 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743."
  С учетом оставшегося пункта, требование о согласовании распространяется только на два случая - вновь создаваемый ЗОКИИ и ЗОКИИ, который решили подключить к сети общего пользования.
  "3. В случае если значимый объект на момент его включения в реестр значимых объектов критической информационной инфраструктуры
‎Российской Федерации (далее - реестр значимых объектов критической информационной инфраструктуры) подключен к сети связи общего пользования, согласование ФСТЭК России в соответствии с настоящим Порядком не требуется.".
   Непонятно как то изложено.
  Смотрим Постановление Правительства РФ от 08.06.2019 N 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры", в п.6 сказано :
    "Подготовка и использование ресурсов сети электросвязи, не принадлежащих субъекту критической информационной инфраструктуры на праве собственности или на ином законном основании, для обеспечения функционирования, в том числе взаимодействия, значимых объектов осуществляется в соответствии с договором, заключаемым субъектом критической информационной инфраструктуры с оператором связи."
    То есть, каждый субъект с ЗОКИИ должен заключить договор с оператором связи.(при необходимости использования сети). У субъекта действующий ЗОКИИ. По 187-ФЗ, ОКИИ станет ЗОКИИ только после внесения в реестр ФСТЭК. То есть, имеем "существующий ЗОКИИ" и "внесенный в реестр" одновременно. Ведь когда субъект указывал в результатах категорирования подключение к сети общего пользования и указывал оператора связи, у него не было договора по п.6 ПП743. Должен ли субъект с ЗОКИИ, подключенный к сети общего пользования на момент внесения в реестр ФСТЭК, проходить процедуру согласования, если он:
1. поменял оператора связи и заключает договор с новым оператором?
2. у него закончился договор и он заключает новый договор с прежним оператором связи?
3. появился допник к действующему договору, в связи с появлением статуса ЗОКИИ (получили подтверждение от ФСТЭК о внесении в реестр) и выполнением п.6 ПП743?
     И самое главное! Порядок написан на основании ПП743, в котором предусмотрено только одно исключение - для операторов связи! Не имеет полномочий ФСТЭК вносить такие пункты в Порядок.
     Какой смысл указывать "этап на выбор субъекта" для вновь создаваемого ЗОКИИ, если ФСТЭК требует приложить к заявке "копии протоколов испытаний, содержащих результаты оценки соответствия средств требованиям по безопасности (для средств, прошедших оценку соответствия требованиям по безопасности в форме испытаний, приемки); "? С сертифицированными средствами проще будет, можно подавать заявку  на этапе проектирования ЗОКИИ. Субъектам КИИ стоит учесть этот момент в договорах на проектирование ЗОКИИ - доработка проекта создания ЗОКИИ по результатам согласования с ФСТЭК.
  
    3.  Вновь создаваемый ЗОКИИ не должен получить согласие ФСТЭК по формальному поводу: 
"представление субъектом кКИИ в ФСТЭК России неполного объема сведений и документов, указанных в пункте 4"
     Ну вот нет у не создаваемого ЗОКИИ "б) регистрационный номер в реестре значимых объектов критической информационной инфраструктуры;" !
   
    4. Появился убийственный пункт "6. ФСТЭК России могут быть запрошены дополнительные сведения по безопасности значимого объекта, необходимые для принятия решения 
‎о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования. "
      Состав дополнительных сведений никак не описан и не ограничен. Но при этом они влияют на результат согласования. 

      5. Вспомнили о современных технологиях. Теперь прикладываем к бумажному письму и электронные версии в формате .ods.

      6. Появилось приложения к приказу - "рекомендуемый образец".  А что означает "рекомендуемый" в обязательном для исполнения приказе? 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text
Комментарии для сайта Cackle

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности