Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК? (UPDATE)

Дата: 21.09.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК? (UPDATE)

15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования

В отличие от предыдущих вариантов (проектов приказа), документ достаточно простой и сам не вносит дополнительных требований к защите ЗО КИИ.  Давайте немного взглянем на новый порядок жизни объекта КИИ, с учетом недавних комментариев представителя ФСТЭК России на онлайн конференции Кибербезопасность АСУ ТП критически важных объектов.

Теперь при необходимости подключения объекта КИИ к сети Интернет, необходимо до ввода в действие нового/модернизации объекта КИИ согласовать такую возможность с ФСТЭК России.

Приказ устанавливает перечень сведений, которые необходимо указывать при согласовании. Самое интересное, это:

  • модели используемых средств
  • сертификаты СЗИ
  • протоколы испытаний СЗИ и иных средств
  • результаты оценки соответствия средств требованиям.  

По сути, это детальная информация о системе защиты и выполнении каждого пункта требований приказов 235 и 239.

Общая блок схема необходимости согласования подключения ЗОКИИ к сети Интернет

Но если система безопасности ЗОКИИ не создана или не соответствует требованиям, то могут ведь не согласовать. Вполне логично предположить, что будет разработан механизм (через операторов связи), который будет отключать объекты КИИ, которые подключились в нарушение установленного Порядка.

Получается, что этот рубильник — ещё один хороший стимул для субъектов КИИ чтобы заниматься безопасностью, наравне с проверками прокуратуры, запросами ФСБ России и редкими проверками ФСТЭК России.  

 



PS: ещё есть лайфхак в том чтобы успеть подключиться до 26 сентября, даже если сеть Интернет вам пока не нужна. Просто чтобы было, на всякий случай.

PPS: Также оптимальной стратегией является создание системы безопасности ЗОКИИ до 1 января 2023 г., до вступления в силу новых требований приказа ФСТЭК №239.


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *