Страницы

пятница, 1 мая 2020 г.

Подключение ЗОКИИ к сети связи общего пользования


   ФСТЭК ударными темпами устраняет претензии со стороны субъектов КИИ и публикует проекты приказов, обязательных при выполнении действующих подзаконных актов к 187-ФЗ.
 https://valerykomarov.blogspot.com/2020/01/187.html
    Интересно, но выпуск этого приказа не был запланирован на 2020 год https://fstec.ru/normotvorcheskaya/akty/54-inye/2009-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2020-god.

    Посмотрим что нам предлагает ФСТЭК.
     1Кому придется выполнять процедуры по данному регламенту?
Субъектам КИИ, если они в целях обеспечения функционирования ЗОКИИ используют ресурсы сети общего пользования.
     Ключевое здесь - "в целях обеспечения функционирования ЗОКИИ". А не просто факт подключения ЗОКИИ к сети общего пользования.
    
     2. Касается всех субъектов КИИ с такими ЗОКИИ?
Нет, не всех. 
"Указанное согласование не требуется для субъекта критической информационной инфраструктуры, являющегося оператором связи и предоставляющего услуги связи в сети связи общего пользования." (Постановление Правительства РФ от 08.06.2019 N 743
"Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры")
    
  3. ФСТЭК поощряет ускорение процедур категорирования. Если ЗОКИИ уже внесен в Реестр ЗОКИИ, то согласование не требуется. 
   "Имеющееся на момент включения ЗОКИИ в реестр ЗОКИИ РФ, ведение которого осуществляется ФСТЭК России .., подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует.".

   4. Все что субъект КИИ будет заявлять, должно иметь сертификат или оценку соответствия
"д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки)."
Довольно коварный пункт.
  В 239 приказе ФСТЭК уже указано, что 
"29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."
   И не забываем, что ФСТЭК  опубликовала проект изменений в 239 приказ, в котором процедуры оценки соответствия очень жестко заданы.
 https://valerykomarov.blogspot.com/2020/02/239.html

   5. Очень неприятный пункт. Больно широкая трактовка.
"9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
...

недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.".

  Что значит "недостаточность СЗИ"? На основании чего сотрудники ФСТЭК определяют эту самую достаточность? Ведь указано в приказе "достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации". Так достаточно выполнить п.7 Порядка или нет?

     6. И непонятно в какие сроки субъект КИИ должен все это реализовать. Пока ЗОКИИ не внесен в Реестр, запрос на согласование ФСТЭК просто не примет. Потом рассматривает 20 рабочих дней. ЗОКИИ все это время простаивает? Он же не может функционировать без подключения к сети общего пользования. А какие основания тратить деньги на проектирование и закупку этих СЗИ до внесения в Реестр? Ситуация с сроками создания подсистемы безопасности ЗОКИИ только усугубляется. Придет прокуратура и накажет со всей пролетарской ненавистью.

    Этап общественного обсуждения продлится до 14 мая 2020 года. Праздники и нерабочие дни негативно повлияют на активность обсуждения.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

2 комментария:

  1. Валерий, по первому пункту пара мыслей в дополнение:
    "в целях обеспечения функционирования ЗОКИИ используют ресурсы сети общего пользования"
    А обновление ПО, включая закрытие уязвимостей - это обеспечение функционирования?
    А обновление сигнатур антивируса?
    Ведь если система защиты не функционирует должным образом, то и функционирование самого объекта как бы под вопросом
    И подключение через DMZ - это использование ресурсов Интернет или нет? Если мы скачиваем обновления и синхронизируемся по NTP с помощью компонентов в DMZ, которые не относятся к объектам КИИ, а объекты КИИ взаимодействуют только с ними, то будет ли использование ресурсов сети или уже нет? Не так давно, например, говорили, что если подключение через ГОСТ-овый VPN, то это уже не удаленное подключение оказывается

    ОтветитьУдалить
  2. Обновленный по нашим замечаниям "Проект приказа ФСТЭК России «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования»" https://regulation.gov.ru/projects#npa=101634

    ОтветитьУдалить