Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК? (UPDATE)

15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"

В отличие от предыдущих вариантов (проектов приказа), документ достаточно простой и сам не вносит дополнительных требований к защите ЗО КИИ.  Давайте немного взглянем на новый порядок жизни объекта КИИ, с учетом недавних комментариев представителя ФСТЭК России на онлайн конференции "Кибербезопасность АСУ ТП критически важных объектов".

Теперь при необходимости подключения объекта КИИ к сети Интернет, необходимо до ввода в действие нового/модернизации объекта КИИ согласовать такую возможность с ФСТЭК России.

Приказ устанавливает перечень сведений, которые необходимо указывать при согласовании. Самое интересное, это:

  • модели используемых средств
  • сертификаты СЗИ
  • протоколы испытаний СЗИ и иных средств
  • результаты оценки соответствия средств требованиям.  

По сути, это детальная информация о системе защиты и выполнении каждого пункта требований приказов 235 и 239.

Общая блок схема необходимости согласования подключения ЗОКИИ к сети Интернет


Но если система безопасности ЗОКИИ не создана или не соответствует требованиям, то могут ведь не согласовать. Вполне логично предположить, что будет разработан механизм (через операторов связи), который будет отключать объекты КИИ, которые подключились в нарушение установленного Порядка.

Получается, что этот рубильник - ещё один хороший стимул для субъектов КИИ чтобы заниматься безопасностью, наравне с проверками прокуратуры, запросами ФСБ России и редкими проверками ФСТЭК России.  

 



PS: ещё есть лайфхак в том чтобы успеть подключиться до 26 сентября, даже если сеть Интернет вам пока не нужна. Просто чтобы было, на всякий случай.

PPS: Также оптимальной стратегией является создание системы безопасности ЗОКИИ до 1 января 2023 г., до вступления в силу новых требований приказа ФСТЭК №239.

Комментарии

Комаров Валерий написал(а)…
ФСТЭК написала приказ таким образом, что бы им ничего не пришлось согласовывать - это ответственность надо на себя брать в ситуации, когда большинство ЗОКИИ еще не выполнило 235/239 приказ. А, если не согласовать, то такое бурление снизу пойдет о загубленной экономике, что и 187-ФЗ под угрозой отмены окажется. А так, он будет применяться исключительно к вновь создаваемым ЗОКИИ. Риски минимальные для ФСТЭК.
21 сентября 2020 г. в 14:41
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...