- Автоматизация
- Антропология
- Археология
- Архитектура
- Биология
- Ботаника
- Бухгалтерия
- Военная наука
- Генетика
- География
- Геология
- Демография
- Деревообработка
- Журналистика
- Зоология
- Изобретательство
- Информатика
- Искусство
- История
- Кинематография
- Компьютеризация
- Косметика
- Кулинария
- Культура
- Лексикология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Математика
- Материаловедение
- Медицина
- Менеджмент
- Металлургия
- Метрология
- Механика
- Музыка
- Науковедение
- Образование
- Охрана Труда
- Педагогика
- Полиграфия
- Политология
- Право
- Предпринимательство
- Приборостроение
- Программирование
- Производство
- Промышленность
- Психология
- Радиосвязь
- Религия
- Риторика
- Социология
- Спорт
- Стандартизация
- Статистика
- Строительство
- Технологии
- Торговля
- Транспорт
- Фармакология
- Физика
- Физиология
- Философия
- Финансы
- Химия
- Хозяйство
- Черчение
- Экология
- Экономика
- Электроника
- Электротехника
- Энергетика
ФЕДЕРАЛЬНАЯ СЛУЖБА . ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ. ФСТЭК России). Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Ф
 |
ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК России)
П Р И К А З
| « ___ » мая 2020 г. | Москва | № ______ |
Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования
В соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства
Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099), П Р И К А З Ы В А Ю:
Утвердить прилагаемый Порядок согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации
к сети связи общего пользования.
ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
В.СЕЛИН
Утвержден
приказом ФСТЭК России
от « ___ » мая 2020 г. № ____
Порядок согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования
1. Настоящий Порядок устанавливает процедуру согласования
ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее – критическая информационная инфраструктура) к сети связи общего пользования в случаях, установленных пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации
от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099).
2. Имеющееся на момент включения значимого объекта критической информационной инфраструктуры (далее – значимый объект) в реестр значимых объектов критической информационной инфраструктуры
Российской Федерации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 31.8 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49,
ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26,
ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198; 2018, № 20, ст. 2818) (далее - реестр значимых объектов критической информационной инфраструктуры), подключение этого объекта к сети связи общего пользования согласования ФСТЭК России не требует.
3. ФСТЭК России осуществляет согласование в части достаточности применяемых при подключении значимого объекта к сети связи общего пользования программно-аппаратных и (или) программных средств обеспечения безопасности значимых объектов (далее – средства защиты информации).
4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно
в ФСТЭК России следующие сведения:
а) полное и сокращенное (в случае, если имеется) наименование субъекта критической информационной инфраструктуры;
б) наименование значимого объекта, планируемого к подключению к сети связи общего пользования, и его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры;
в) цель взаимодействия значимого объекта с сетью связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями), иная цель);
г) планируемый способ взаимодействия значимого объекта с сетью связи общего пользования с указанием типа доступа к сети электросвязи (проводной, беспроводной) и протоколов сетевого взаимодействия;
д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки).
5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования оборудования
и программных (программно-аппаратных) средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом.
6. ФСТЭК России в целях принятия решения о согласовании подключения значимого объекта к сети связи общего пользования оценивает достаточность применяемых при подключении средств защиты информации.
7. В соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г.
№ 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), достаточным для обеспечения безопасности значимого объекта при его подключении к сети связи общего пользования является применение следующих средств защиты информации, прошедших оценку на соответствие требованиям по безопасности в форме обязательной сертификации, испытаний или приемки:
а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или)
по физическим адресам (например, МАС-адресам) устройства или
по комбинации имени, логического и (или) физического адресов устройства;
б) программно-аппаратный граничный маршрутизатор, обеспечивающий подключение значимого объекта к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Маршрутизатор размещается между сетью связи общего пользования и компонентами значимого объекта. Для обеспечения безопасности значимого объекта 1 или
2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом (для значимого объекта, для которого требуется взаимодействие с публичным общедоступным ресурсом например, с общедоступным веб-сервером), а также для каждого внешнего телекоммуникационного сервиса;
в) средства антивирусной защиты, реализующие сигнатурные
и эвристические методы выявления вредоносных компьютерных программ. Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости средства должны реализовывать фильтрацию по содержимому электронных сообщений с использованием критериев, позволяющих относить электронные сообщения к незапрашиваемым сигнатурным и (или) эвристическим методами, фильтрацию на основе информации об отправителе электронного сообщения (в том числе
с использованием списков запрещенных и (или) разрешенных отправителей), а также дополнительно должно обеспечиваться централизованное управление установленными на компонентах значимого объекта средствами антивирусной защиты (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты);
г) средство криптографической защиты информации (для значимого объекта, для которого в соответствии с законодательством Российской Федерации требуется защита криптографическими методами передаваемой информации), обеспечивающее защиту передаваемой и принимаемой по сети связи общего пользования, а также в иные информационные (автоматизированные) системы и информационно-телекоммуникационные сети информации от раскрытия, модификации и навязывания (ввода ложной информации);
д) средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Управление компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно;
е) межсетевой экран уровня веб-сервера (для значимого объекта
1 категории значимости, в составе которого функционирует сервер, обслуживающий сайты, веб-службы и (или) веб-приложения), обеспечивающий контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него. Межсетевой экран размещается между веб-сервером и сетью связи общего пользования, иными информационными (автоматизированными) системами, информационно-телекоммуникационными сетями, либо на этом веб-сервере.
Указанные средства защиты информации могут быть реализованы как отдельные изделия, либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов).
8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение
20 рабочих дней со дня поступления в ФСТЭК России сведений, указанных в пункте 4 настоящего Порядка.
9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений, предусмотренных пунктом
4 настоящего Порядка;
выявление в представленных в соответствии с пунктом 4 настоящего Порядка сведениях недостоверной информации;
недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности.
10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта критической информационной инфраструктуры к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов и вручается уполномоченному представителю субъекта критической информационной инфраструктуры, либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.
11. Уточненные и повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком.
______________________________
|
|
|
© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.
|