ФСТЭК ударными темпами устраняет претензии со стороны субъектов КИИ и публикует проекты приказов, обязательных при выполнении действующих подзаконных актов к 187-ФЗ.
https://valerykomarov.blogspot.com/2020/01/187.html
Интересно, но выпуск этого приказа не был запланирован на 2020 год https://fstec.ru/normotvorcheskaya/akty/54-inye/2009-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2020-god.
Посмотрим что нам предлагает ФСТЭК.
1. Кому придется выполнять процедуры по данному регламенту?
Субъектам КИИ, если они в целях обеспечения функционирования ЗОКИИ используют ресурсы сети общего пользования.
Ключевое здесь - "в целях обеспечения функционирования ЗОКИИ". А не просто факт подключения ЗОКИИ к сети общего пользования.
2. Касается всех субъектов КИИ с такими ЗОКИИ?
Нет, не всех.
"Указанное согласование не требуется для субъекта критической информационной инфраструктуры, являющегося оператором связи и предоставляющего услуги связи в сети связи общего пользования." (Постановление Правительства РФ от 08.06.2019 N 743
"Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры")
3. ФСТЭК поощряет ускорение процедур категорирования. Если ЗОКИИ уже внесен в Реестр ЗОКИИ, то согласование не требуется.
"Имеющееся на момент включения ЗОКИИ в реестр ЗОКИИ РФ, ведение которого осуществляется ФСТЭК России .., подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует.".
4. Все что субъект КИИ будет заявлять, должно иметь сертификат или оценку соответствия
"д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки)."
Довольно коварный пункт.
В 239 приказе ФСТЭК уже указано, что
"29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."
И не забываем, что ФСТЭК опубликовала проект изменений в 239 приказ, в котором процедуры оценки соответствия очень жестко заданы.https://valerykomarov.blogspot.com/2020/02/239.html
5. Очень неприятный пункт. Больно широкая трактовка.
"9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
...
недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.".
Что значит "недостаточность СЗИ"? На основании чего сотрудники ФСТЭК определяют эту самую достаточность? Ведь указано в приказе "достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации". Так достаточно выполнить п.7 Порядка или нет?
6. И непонятно в какие сроки субъект КИИ должен все это реализовать. Пока ЗОКИИ не внесен в Реестр, запрос на согласование ФСТЭК просто не примет. Потом рассматривает 20 рабочих дней. ЗОКИИ все это время простаивает? Он же не может функционировать без подключения к сети общего пользования. А какие основания тратить деньги на проектирование и закупку этих СЗИ до внесения в Реестр? Ситуация с сроками создания подсистемы безопасности ЗОКИИ только усугубляется. Придет прокуратура и накажет со всей пролетарской ненавистью.
Этап общественного обсуждения продлится до 14 мая 2020 года. Праздники и нерабочие дни негативно повлияют на активность обсуждения.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Валерий, по первому пункту пара мыслей в дополнение:
ОтветитьУдалить"в целях обеспечения функционирования ЗОКИИ используют ресурсы сети общего пользования"
А обновление ПО, включая закрытие уязвимостей - это обеспечение функционирования?
А обновление сигнатур антивируса?
Ведь если система защиты не функционирует должным образом, то и функционирование самого объекта как бы под вопросом
И подключение через DMZ - это использование ресурсов Интернет или нет? Если мы скачиваем обновления и синхронизируемся по NTP с помощью компонентов в DMZ, которые не относятся к объектам КИИ, а объекты КИИ взаимодействуют только с ними, то будет ли использование ресурсов сети или уже нет? Не так давно, например, говорили, что если подключение через ГОСТ-овый VPN, то это уже не удаленное подключение оказывается
Обновленный по нашим замечаниям "Проект приказа ФСТЭК России «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования»" https://regulation.gov.ru/projects#npa=101634
ОтветитьУдалить