вторник, 22 сентября 2020 г.

Приказ № 75 ФСТЭК. А он для кого?

 



     В этой заметке обсудим приказ ФСТЭК России от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"(Зарегистрировано в Минюсте России 15.09.2020 № 59866) Начало действия документа - 26.09.2020.

    Забавно, но изменилось название приказа с момента общественного обсуждения проекта приказа

    22.05.2020  проект приказа ФСТЭК «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».

   28.05.2020 подписан и 15.09.2020 официально опубликован приказ ФСТЭК от 28.05.2020 № 75 с  наименованием «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».

   Ранее уже анализировал проект приказа:

https://valerykomarov.blogspot.com/2020/05/blog-post.html

https://valerykomarov.blogspot.com/2020/05/blog-post_28.html

  Меня более всего заинтересовал вопрос, а почему не требуется согласования с ФСТЭК, если значимый объект на момент его включения в реестр ЗОКИИ подключен к сети связи общего пользования ?

Разработчик проекта НПА от ФСТЭК России - Кубарев Алексей Валентинович



ответил на это вопрос


   Смотрим утвержденную формулировку п.3 Приказа
3. В случае если значимый объект на момент его включения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации (далее - реестр значимых объектов критической информационной инфраструктуры) <1> подключен к сети связи общего пользования, согласование ФСТЭК России в соответствии с настоящим Порядком не требуется.
   Таким образом получается, что, если субъект КИИ указал в разделе № 3 формы уведомления о результатах категорирования своего будущего ЗОКИИ подключение к сети связи общего пользования, то он это приказ выполнять не будет никогда? И неважно когда ЗОКИИ был включен в реестр. До вступления в силу Приказа или после. 
   Вот, если на момент категорирования ЗОКИИ не было подключения к сети связи общего пользования, только тогда придется направлять на согласование в ФСТЭК.
   "Согласование подключения действующего значимого объекта осуществляется до заключения договора с оператором связи, предусмотренного пунктом 6 Правил."
  Я не понимаю связи с реестром ЗОКИИ. Включение в него ничего не говорит об обеспечении безопасности ЗОКИИ.
   Получается какая то странная правовая ситуация.
   Смотрим Постановление Правительства РФ от 08.06.2019 № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры",  в котором предусмотрено только одно исключение - для операторов связи! Получается, что ФСТЭК будет разрабатывать еще один порядок согласования подключения (для ЗОКИИ из Реестра)? Не может ФСТЭК своим приказом изменить Постановление Правительства.
   Рассмотрим ситуацию с "вновь создаваемым ЗОКИИ". Начнем с категорирования, то есть - с ПП127.
   "По вновь создаваемым объектам КИИ сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта КИИ в эксплуатацию (принятия на снабжение).
   Таким образом, по ПП127 субъект ЗОКИИ обязан направить сведения об "организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры" после ввода ЗОКИИ в эксплуатацию.
   А по приказу ФСТЭК №75 он обязан предоставить такую информацию до ввода ЗОКИИ  в действие.
    Приказ № 75 отлично демонстрирует, что отнесение МРТ/ аппаратов ИВЛ, станков ЧПУ к ЗОКИИ ошибочно. Выпущенный приказ никак не мешает подключить их без всякого согласования с ФСТЭК к сети связи общего пользования. Субъект КИИ (больница, завод) их просто покупает готовыми, а не создает у себя "под заказ".  Производителям же такого оборудования дела нет до требований ФСТЭК к ЗОКИИ, они считают свою продукцию медицинским изделием, а не автоматизированной системой управления. Про зарубежных изготовителей и говорить нечего.

    Разъяснения ФСТЭК по самому приказу 







Таблица изменений, внесенных после публичного обсуждения проекта приказа

 

Проект

Действующая редакция

 

Порядок согласования

Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования

Порядок согласования

субъектом критической информационной инфраструктуры Российской Федерации с

Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования

1.       

1. Настоящий Порядок устанавливает процедуру согласования ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее – критическая информационная инфраструктура) к сети связи общего пользования в случаях, установленных пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099).

1.   Настоящий Порядок устанавливает процедуру согласования субъектом критической информационной инфраструктуры Российской Федерации (далее - субъект критической информационной инфраструктуры) с ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее - значимый объект) к сети связи общего пользования, осуществляемого в соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099) (далее - Правила).

2.       

новый пункт 2

2. Согласование подключения создаваемого значимого объекта осуществляется до ввода его в действие на этапе, определяемом субъектом критической информационной инфраструктуры. Согласование подключения действующего значимого объекта осуществляется до заключения договора с оператором связи, предусмотренного пунктом 6 Правил.

3.       

2. Имеющееся на момент включения значимого объекта критической информационной инфраструктуры (далее – значимый объект) в реестр значимых объектов критической информационной инфраструктуры Российской Федерации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 31.8 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198; 2018, № 20, ст. 2818) (далее - реестр значимых объектов критической информационной инфраструктуры), подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует.

3. В случае если значимый объект на момент его включения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации (далее - реестр значимых объектов критической информационной инфраструктуры) подключен к сети связи общего пользования, согласование ФСТЭК России в соответствии с настоящим Порядком не требуется.

 

3. ФСТЭК России осуществляет согласование в части достаточности применяемых при подключении значимого объекта к сети связи общего пользования программно-аппаратных и (или) программных средств обеспечения безопасности значимых объектов (далее – средства защиты информации).

 

4.       

4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России следующие сведения:

а) полное и сокращенное (в случае, если имеется) наименование субъекта критической информационной инфраструктуры;

б) наименование значимого объекта, планируемого к подключению к

сети связи общего пользования, и его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры;

в) цель взаимодействия значимого объекта с сетью связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями), иная цель);

г) планируемый способ взаимодействия значимого объекта с сетью связи общего пользования с указанием типа доступа к сети электросвязи (проводной, беспроводной) и протоколов сетевого взаимодействия;

д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки).

 

4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России следующие сведения:

а) полное и сокращенное (при наличии) наименование субъекта критической информационной инфраструктуры, его адрес в пределах места нахождения, идентификационный номер налогоплательщика;

б) наименование значимого объекта, в отношении которого планируется подключение к сети связи общего пользования, его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры;

в) цель подключения значимого объекта к сети связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, передача информации (данных), обеспечение информационного взаимодействия между сегментами значимого объекта либо с другим значимым объектом и иными системами (сетями), иная цель);

г) планируемый тип подключения значимого объекта к сети связи общего пользования (проводной, беспроводной), наименования протоколов сетевого взаимодействия, используемых для целей подключения;

д) наименование, модель программно-аппаратных и (или) программных средств обеспечения безопасности значимого объекта, применяемых при его подключении к сети связи общего пользования (далее - средства), с указанием версий программного обеспечения средств;

е) номера сертификатов соответствия, имеющихся на средства, и даты их выдачи (для средств, прошедших оценку соответствия в форме обязательной сертификации);

ж) реквизиты протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки).

Рекомендуемый образец представления сведений о значимом объекте критической информационной инфраструктуры Российской Федерации, в отношении которого планируется подключение к сети связи общего пользования, приведен в приложении к настоящему Порядку.

К сведениям прилагаются следующие документы:

копия модели угроз безопасности информации значимого объекта, разработанной в соответствии с пунктом 11 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), и утвержденной руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом;

копии протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки);

схема организации связи (в случае предоставления оператором связи субъекту критической информационной инфраструктуры цифровых каналов связи).

5.       

5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования оборудования и программных (программно-аппаратных) средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом.

5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом. Сведения с сопроводительным письмом направляются в ФСТЭК России на бумажном носителе с приложением электронной копии сведений в формате файлов электронных таблиц (.ods). Документы, указанные в абзацах одиннадцатом - тринадцатом пункта 4 настоящего Порядка, представляются на бумажном носителе.

 

6. ФСТЭК России в целях принятия решения о согласовании подключения значимого объекта к сети связи общего пользования оценивает достаточность применяемых при подключении средств защиты информации.

пункт 6 данного содержания исключен

6.       

7. В соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации, прошедших оценку на соответствие требованиям по безопасности в форме обязательной сертификации, испытаний или приемки:

а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства;

б) программно-аппаратный граничный маршрутизатор, обеспечивающий подключение значимого объекта к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Маршрутизатор размещается между сетью связи общего пользования и компонентами значимого объекта. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом (для значимого объекта, для которого требуется взаимодействие с публичным общедоступным ресурсом например, с общедоступным веб-сервером), а также для каждого внешнего телекоммуникационного сервиса;

в) средства антивирусной защиты, реализующие сигнатурные и эвристические методы выявления вредоносных компьютерных программ. Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости средства должны реализовывать фильтрацию по содержимому электронных сообщений с использованием критериев, позволяющих относить электронные сообщения к незапрашиваемым сигнатурным и (или) эвристическим методами, фильтрацию на основе информации об отправителе электронного сообщения (в том числе с использованием списков запрещенных и (или) разрешенных отправителей), а также дополнительно должно обеспечиваться централизованное управление  установленными на компонентах значимого объекта средствами антивирусной защиты (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты);

г) средство криптографической защиты информации (для значимого объекта, для которого в соответствии с законодательством Российской Федерации требуется защита криптографическими методами передаваемой информации), обеспечивающее защиту передаваемой и принимаемой по сети связи общего пользования, а также в иные информационные (автоматизированные) системы и информационно-телекоммуникационные сети информации от раскрытия, модификации и навязывания (ввода ложной информации);

д) средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Управление компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно;

е) межсетевой экран уровня веб-сервера (для значимого объекта 1 категории значимости, в составе которого функционирует сервер, обслуживающий сайты, веб-службы и (или) веб-приложения), обеспечивающий контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него. Межсетевой экран размещается между веб-сервером и сетью связи общего пользования, иными информационными (автоматизированными) системами, информационно-телекоммуникационными сетями, либо на этом веб-сервере.

Указанные средства защиты информации могут быть реализованы как отдельные изделия, либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов).

6. ФСТЭК России на основе представленных субъектом критической информационной инфраструктуры сведений и документов оценивает достаточность применяемых при подключении значимого объекта к сети связи общего пользования средств в соответствии с Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом ФСТЭК России от 21 декабря 2017 г. № 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный № 50118) (с изменениями, внесенными приказом ФСТЭК России от 27 марта 2019 г. № 64 (зарегистрирован Минюстом России 13 июня 2019 г., регистрационный № 54929), и Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239.

7.       

 

7.   В случае если представленные субъектом критической информационной инфраструктуры сведения недостаточны для принятия решения о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования, ФСТЭК России запрашивает дополнительные сведения по безопасности значимого объекта в целях уточнения состава актуальных для значимого объекта угроз безопасности информации и применяемых в нем средств защиты информации.

 

Запрос дополнительных сведений подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением, по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.

 

Субъект критической информационной инфраструктуры представляет запрошенные сведения посредством почтового отправления или непосредственно в ФСТЭК России.

8.       

8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления в ФСТЭК России сведений, указанных в пункте 4 настоящего Порядка.

8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления в ФСТЭК России сведений и документов, указанных в пункте 4 настоящего Порядка.

В случае запроса ФСТЭК России дополнительных сведений по безопасности значимого объекта, необходимых для принятия решения о согласовании либо об отказе в

согласовании подключения значимого объекта к сети связи общего пользования, решение принимается в течение 10 рабочих дней со дня поступления в ФСТЭК России дополнительных сведений от субъекта критической информационной инфраструктуры.

9.       

9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:

 

представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений, предусмотренных пунктом 4 настоящего Порядка;

 

 

 

выявление в представленных в соответствии с пунктом 4 настоящего Порядка сведениях недостоверной информации;

 

недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.

9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:

 

представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений и документов, указанных в пункте 4 настоящего Порядка, или непредставление дополнительных сведений, предусмотренных пунктом 6 настоящего Порядка;

 

несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в сертификатах соответствия (для средств, прошедших оценку соответствия в форме обязательной сертификации);

 

несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в протоколах испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки);

 

несоответствие средств Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденным приказом ФСТЭК России от 21 декабря 2017 г. № 235, или Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. № 239.

10.   

10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта критической информационной инфраструктуры к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов и вручается уполномоченному представителю субъекта критической информационной инфраструктуры, либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.

10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.

11.   

11. Уточненные и повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком.

11. Повторно направленные

субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком.

12.   

новое Приложение

Приложение

к Порядку согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой

по техническому и экспортному контролю

подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования, утвержденному приказом ФСТЭК России

от « 28 » мая 2020 г. № 75

 

Рекомендуемый образец

 

Сведения

о значимом объекте критической информационной инфраструктуры Российской Федерации, в отношении которого планируется подключение к сети связи общего пользования

 

Наименование субъекта критической информационной инфраструктуры

________________________________________________

указывается полное и сокращенное (при наличии) именование

 

Адрес местонахождения субъекта критической информационной инфраструктуры ________________________________________________

 

Идентификационный номер налогоплательщика ________________

 

Адрес для переписки ______________________________

 

1.

Наименование значимого объекта, планируемого к подключению к сети связи общего пользования;

регистрационный номер в реестре значимых объектов критической информационной инфраструктуры

 

2.

Цель подключения значимого объекта к сети связи общего пользования

 

3.

Тип подключения значимого объекта к сети связи общего пользования (проводной, беспроводной);

 

наименование протоколов сетевого взаимодействия, используемых для целей подключения

 

4.

Наименование, модель средств обеспечения безопасности значимого объекта, применяемых при его подключении к сети связи общего пользования;

версии программного обеспечения средств

 

 

5.

Номера сертификатов соответствия и даты их выдачи (для средств, прошедших оценку соответствия в форме обязательной сертификации)

 

 

 

6.

Реквизиты протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки)

 

 

 

 

Приложение:

 

1. Копия модели угроз безопасности информации значимого объекта.

 

2. Копии протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки).

 

 

3. Схема организации связи (в случае предоставления оператором связи субъекту критической информационной инфраструктуры цифровых каналов связи).

 

Руководитель субъекта критической

информационной инфраструктуры

(уполномоченное им лицо)               

_____________                 __________________

    (подпись)                     (расшифровка подписи)

 

 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

6 комментариев:

  1. Прикольно, что согласно этому приказу ЗОКИИ может быть таковым до включения в реестр ЗОКИИ (см. п. 3 Порядка), хотя по Закону нет.

    ОтветитьУдалить
    Ответы
    1. Это согласно пп127 уже прописано. Когда такие юридические тонкости волновали ФСТЭК?

      Удалить
  2. Интересно, подаст ли кто-нибудь на ФСТЭК в суд и в судебном порядке отменит этот странный приказ? Или как обычно у нас, строгость законов компенсируется необязательностью исполнения?)

    ОтветитьУдалить
    Ответы
    1. А кому это нужно? Для субъектов КИИ этот приказ безобиден. Наказания за его не исполнение не предусмотрено даже в проекте КОАП.

      Удалить
    2. Валерий Вы же уже описывали схемы принуждения и штрафов субъектов кии через прокурорские проверки....

      Удалить
    3. Этот приказ ФСТЭК утверждает порядок согласования и не более. Прокуратуре он не интересен, да и тяжело за него спросить напрямую. Приказ не про обязанности субъекта КИИ.

      Удалить