Подключение объектов КИИ к сети Интернет

На прошлой неделе опубликовали проект Порядка согласования со ФСТЭК России подключения значимых объектов критической информационной инфраструктуры к сети Интернет (ССОП). Давайте посмотрим не него подробнее.

Такое согласование требуется далеко не всегда:

  • объект КИИ значимый
  • подключается именно к ССОП, а не к собственным / выделенным / арендованным каналам связи
  • при категорировании объекта КИИ не подавалось информации о наличие подключения
  • подключение к сети Интернет необходимо для обеспечения функционирования объекта КИИ, например:
    • управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами)
    • доступ к информационным ресурсам
    • обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями)

Но если предположить, что в перспективе многие объекты будут использовать сеть Интернет хотя бы в качестве резервного канала, то процедура согласования может стать востребованной.

Данный приказ ФСТЭК России, пожалуй, единственный, где явно указаны требующиеся СЗИ, сертифицированные или прошедшие оценку соответствия. Привожу их на рисунке ниже


PS: ФСТЭКу стоило бы сразу указывать требуемые классы защиты для сертифицированных СЗИ, чтобы пользователям не пришлось проверять сертификационную документацию

PPS: Чтобы не пропустить важную информацию по ИБ подписывайтесь в вашем любимом канале

TWITTER 
FACEBOOK 
VK 
Telegram 

 


Комментарии

Комаров Валерий написал(а)…
тут основной вопрос в другом возникает. Почему эти требования прописаны не в 239 приказе?
Ведь порядок согласования должен установить процедуру согласования,а не вводить новые требования к наличию СЗИ у субъекта КИИ
6 мая 2020 г. в 03:34
Сергей Борисов написал(а)…
Согласен, ожидал увидеть тут обычный порядок - кто кому что отправляет и в какие сроки отвечает.
Меры защиты у нас определены в 239-ом. Там есть некая гибкость в выборе мер защиты. В итоге при реализации мер из 239, нужно дособирывать ещё требования к СЗИ из иных приказов по КИИ.
6 мая 2020 г. в 04:04
Комаров Валерий написал(а)…
я отправил замечания на этот проект. Надо активнее реагировать, пока есть возможность упростить себе дальнейшую работу и не выискивать разрозненные требования регуляторов по всей нормативке.
6 мая 2020 г. в 04:31
Unknown написал(а)…
Вопрос по перечню объектов КИИ, в какой срок необходимо пересмотреть перечень объектов КИИ в случае реорганизации организации, если в результате чего количество объектов существенно возрастает?
8 июля 2020 г. в 00:34
Сергей Борисов написал(а)…
Срок пересмотра в таком случае не установлен.
Я считаю что внесение изменений в перечень объектов КИИ необходимо осуществлять сразу по мере обнаружения изменений/новых объектов КИИ.
После этого ещё год на категорирование.
29 июля 2020 г. в 02:40
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...