В этой заметке обсудим приказ ФСТЭК России от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"(Зарегистрировано в Минюсте России 15.09.2020 № 59866) Начало действия документа - 26.09.2020.
name='more'>Забавно, но изменилось название приказа с момента о бщественного обсуждения проекта приказа
22.05.2020 проект приказа ФСТЭК «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».
28.05.2020 подписан и 15.09.2020 официально опубликован приказ ФСТЭК от 28.05.2020 № 75 с наименованием «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».
Ранее уже анализировал проект приказа:
https://valerykomarov.blogspot.com/2020/05/blog-post.html
https://valerykomarov.blogspot.com/2020/05/blog-post_28.html
Меня более всего заинтересовал вопрос, а почему не требуется согласования с ФСТЭК, если значимый объект на момент его включения в реестр ЗОКИИ подключен к сети связи общего пользования ?
Разработчик проекта НПА от ФСТЭК России - Кубарев Алексей Валентинович
ответил на это вопрос
Смотрим утвержденную формулировку п.3 Приказа
Таким образом получается, что, если субъект КИИ указал в разделе № 3 формы уведомления о результатах категорирования своего будущего ЗОКИИ подключение к сети связи общего пользования, то он это приказ выполнять не будет никогда? И неважно когда ЗОКИИ был включен в реестр. До вступления в силу Приказа или после.
| Проект | Действующая редакция | ||||||||||||||||||
| Порядок согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования | Порядок согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования | ||||||||||||||||||
1. | 1. Настоящий Порядок устанавливает процедуру согласования ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее – критическая информационная инфраструктура) к сети связи общего пользования в случаях, установленных пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099). | 1. Настоящий Порядок устанавливает процедуру согласования субъектом критической информационной инфраструктуры Российской Федерации (далее - субъект критической информационной инфраструктуры) с ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее - значимый объект) к сети связи общего пользования, осуществляемого в соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099) (далее - Правила). | ||||||||||||||||||
2. | новый пункт 2 | 2. Согласование подключения создаваемого значимого объекта осуществляется до ввода его в действие на этапе, определяемом субъектом критической информационной инфраструктуры. Согласование подключения действующего значимого объекта осуществляется до заключения договора с оператором связи, предусмотренного пунктом 6 Правил. | ||||||||||||||||||
3. | 2. Имеющееся на момент включения значимого объекта критической информационной инфраструктуры (далее – значимый объект) в реестр значимых объектов критической информационной инфраструктуры Российской Федерации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 31.8 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198; 2018, № 20, ст. 2818) (далее - реестр значимых объектов критической информационной инфраструктуры), подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует. | 3. В случае если значимый объект на момент его включения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации (далее - реестр значимых объектов критической информационной инфраструктуры) подключен к сети связи общего пользования, согласование ФСТЭК России в соответствии с настоящим Порядком не требуется. | ||||||||||||||||||
| 3. ФСТЭК России осуществляет согласование в части достаточности применяемых при подключении значимого объекта к сети связи общего пользования программно-аппаратных и (или) программных средств обеспечения безопасности значимых объектов (далее – средства защиты информации). |
| ||||||||||||||||||
4. | 4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России следующие сведения: а) полное и сокращенное (в случае, если имеется) наименование субъекта критической информационной инфраструктуры; б) наименование значимого объекта, планируемого к подключению к сети связи общего пользования, и его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры; в) цель взаимодействия значимого объекта с сетью связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями), иная цель); г) планируемый способ взаимодействия значимого объекта с сетью связи общего пользования с указанием типа доступа к сети электросвязи (проводной, беспроводной) и протоколов сетевого взаимодействия; д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки).
| 4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России следующие сведения: а) полное и сокращенное (при наличии) наименование субъекта критической информационной инфраструктуры, его адрес в пределах места нахождения, идентификационный номер налогоплательщика; б) наименование значимого объекта, в отношении которого планируется подключение к сети связи общего пользования, его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры; в) цель подключения значимого объекта к сети связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, передача информации (данных), обеспечение информационного взаимодействия между сегментами значимого объекта либо с другим значимым объектом и иными системами (сетями), иная цель); г) планируемый тип подключения значимого объекта к сети связи общего пользования (проводной, беспроводной), наименования протоколов сетевого взаимодействия, используемых для целей подключения; д) наименование, модель программно-аппаратных и (или) программных средств обеспечения безопасности значимого объекта, применяемых при его подключении к сети связи общего пользования (далее - средства), с указанием версий программного обеспечения средств; е) номера сертификатов соответствия, имеющихся на средства, и даты их выдачи (для средств, прошедших оценку соответствия в форме обязательной сертификации); ж) реквизиты протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки). Рекомендуемый образец представления сведений о значимом объекте критической информационной инфраструктуры Российской Федерации, в отношении которого планируется подключение к сети связи общего пользования, приведен в приложении к настоящему Порядку. К сведениям прилагаются следующие документы: копия модели угроз безопасности информации значимого объекта, разработанной в соответствии с пунктом 11 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), и утвержденной руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом; копии протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки); схема организации связи (в случае предоставления оператором связи субъекту критической информационной инфраструктуры цифровых каналов связи). | ||||||||||||||||||
5. | 5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования оборудования и программных (программно-аппаратных) средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом. | 5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом. Сведения с сопроводительным письмом направляются в ФСТЭК России на бумажном носителе с приложением электронной копии сведений в формате файлов электронных таблиц (.ods). Документы, указанные в абзацах одиннадцатом - тринадцатом пункта 4 настоящего Порядка, представляются на бумажном носителе. | ||||||||||||||||||
| 6. ФСТЭК России в целях принятия решения о согласовании подключения значимого объекта к сети связи общего пользования оценивает достаточность применяемых при подключении средств защиты информации. | пункт 6 данного содержания исключен | ||||||||||||||||||
6. | 7. В соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации, прошедших оценку на соответствие требованиям по безопасности в форме обязательной сертификации, испытаний или приемки: а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства; б) программно-аппаратный граничный маршрутизатор, обеспечивающий подключение значимого объекта к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Маршрутизатор размещается между сетью связи общего пользования и компонентами значимого объекта. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом (для значимого объекта, для которого требуется взаимодействие с публичным общедоступным ресурсом например, с общедоступным веб-сервером), а также для каждого внешнего телекоммуникационного сервиса; в) средства антивирусной защиты, реализующие сигнатурные и эвристические методы выявления вредоносных компьютерных программ. Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости средства должны реализовывать фильтрацию по содержимому электронных сообщений с использованием критериев, позволяющих относить электронные сообщения к незапрашиваемым сигнатурным и (или) эвристическим методами, фильтрацию на основе информации об отправителе электронного сообщения (в том числе с использованием списков запрещенных и (или) разрешенных отправителей), а также дополнительно должно обеспечиваться централизованное управление установленными на компонентах значимого объекта средствами антивирусной защиты (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты); г) средство криптографической защиты информации (для значимого объекта, для которого в соответствии с законодательством Российской Федерации требуется защита криптографическими методами передаваемой информации), обеспечивающее защиту передаваемой и принимаемой по сети связи общего пользования, а также в иные информационные (автоматизированные) системы и информационно-телекоммуникационные сети информации от раскрытия, модификации и навязывания (ввода ложной информации); д) средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Управление компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно; е) межсетевой экран уровня веб-сервера (для значимого объекта 1 категории значимости, в составе которого функционирует сервер, обслуживающий сайты, веб-службы и (или) веб-приложения), обеспечивающий контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него. Межсетевой экран размещается между веб-сервером и сетью связи общего пользования, иными информационными (автоматизированными) системами, информационно-телекоммуникационными сетями, либо на этом веб-сервере. Указанные средства защиты информации могут быть реализованы как отдельные изделия, либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов). | 6. ФСТЭК России на основе представленных субъектом критической информационной инфраструктуры сведений и документов оценивает достаточность применяемых при подключении значимого объекта к сети связи общего пользования средств в соответствии с Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом ФСТЭК России от 21 декабря 2017 г. № 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный № 50118) (с изменениями, внесенными приказом ФСТЭК России от 27 марта 2019 г. № 64 (зарегистрирован Минюстом России 13 июня 2019 г., регистрационный № 54929), и Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239. | ||||||||||||||||||
7. |
| 7. В случае если представленные субъектом критической информационной инфраструктуры сведения недостаточны для принятия решения о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования, ФСТЭК России запрашивает дополнительные сведения по безопасности значимого объекта в целях уточнения состава актуальных для значимого объекта угроз безопасности информации и применяемых в нем средств защиты информации.
Запрос дополнительных сведений подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением, по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.
Субъект критической информационной инфраструктуры представляет запрошенные сведения посредством почтового отправления или непосредственно в ФСТЭК России. | ||||||||||||||||||
8. | 8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления в ФСТЭК России сведений, указанных в пункте 4 настоящего Порядка. | 8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления в ФСТЭК России сведений и документов, указанных в пункте 4 настоящего Порядка. В случае запроса ФСТЭК России дополнительных сведений по безопасности значимого объекта, необходимых для принятия решения о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования, решение принимается в течение 10 рабочих дней со дня поступления в ФСТЭК России дополнительных сведений от субъекта критической информационной инфраструктуры. | ||||||||||||||||||
9. | 9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений, предусмотренных пунктом 4 настоящего Порядка;
выявление в представленных в соответствии с пунктом 4 настоящего Порядка сведениях недостоверной информации;
недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности. | 9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений и документов, указанных в пункте 4 настоящего Порядка, или непредставление дополнительных сведений, предусмотренных пунктом 6 настоящего Порядка;
несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в сертификатах соответствия (для средств, прошедших оценку соответствия в форме обязательной сертификации);
несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в протоколах испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки);
несоответствие средств Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденным приказом ФСТЭК России от 21 декабря 2017 г. № 235, или Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. № 239. | ||||||||||||||||||
10. | 10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта критической информационной инфраструктуры к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов и вручается уполномоченному представителю субъекта критической информационной инфраструктуры, либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка. | 10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка. | ||||||||||||||||||
11. | 11. Уточненные и повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком. | 11. Повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком. | ||||||||||||||||||
12. | новое Приложение | Приложение к Порядку согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования, утвержденному приказом ФСТЭК России от « 28 » мая 2020 г. № 75
Рекомендуемый образец
Сведения о значимом объекте критической информационной инфраструктуры Российской Федерации, в отношении которого планируется подключение к сети связи общего пользования
Наименование субъекта критической информационной инфраструктуры ________________________________________________ указывается полное и сокращенное (при наличии) именование
Адрес местонахождения субъекта критической информационной инфраструктуры ________________________________________________
Идентификационный номер налогоплательщика ________________
Адрес для переписки ______________________________
Приложение:
1. Копия модели угроз безопасности информации значимого объекта.
2. Копии протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки).
3. Схема организации связи (в случае предоставления оператором связи субъекту критической информационной инфраструктуры цифровых каналов связи).
Руководитель субъекта критической информационной инфраструктуры (уполномоченное им лицо) _____________ __________________ (подпись) (расшифровка подписи)
|
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite