|
||||||||
ФЕДЕРАЛЬНАЯ СЛУЖБА . ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ. ФСТЭК России). Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Ф
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) П Р И К А З
Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования
В соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Утвердить прилагаемый Порядок согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации
ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ В.СЕЛИН Утвержден
Порядок согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования
1. Настоящий Порядок устанавливает процедуру согласования 2. Имеющееся на момент включения значимого объекта критической информационной инфраструктуры (далее – значимый объект) в реестр значимых объектов критической информационной инфраструктуры 3. ФСТЭК России осуществляет согласование в части достаточности применяемых при подключении значимого объекта к сети связи общего пользования программно-аппаратных и (или) программных средств обеспечения безопасности значимых объектов (далее – средства защиты информации). 4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно а) полное и сокращенное (в случае, если имеется) наименование субъекта критической информационной инфраструктуры; б) наименование значимого объекта, планируемого к подключению к сети связи общего пользования, и его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры; в) цель взаимодействия значимого объекта с сетью связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями), иная цель); г) планируемый способ взаимодействия значимого объекта с сетью связи общего пользования с указанием типа доступа к сети электросвязи (проводной, беспроводной) и протоколов сетевого взаимодействия; д) сведения о средствах защиты информации, применяемых для обеспечения безопасности значимого объекта (наименование, модель, версия программного обеспечения, наличие сертификатов, иных документов, содержащих результаты оценки соответствия средства защиты информации требованиям по безопасности в форме испытаний или приемки). 5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования оборудования 6. ФСТЭК России в целях принятия решения о согласовании подключения значимого объекта к сети связи общего пользования оценивает достаточность применяемых при подключении средств защиты информации. 7. В соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) б) программно-аппаратный граничный маршрутизатор, обеспечивающий подключение значимого объекта к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Маршрутизатор размещается между сетью связи общего пользования и компонентами значимого объекта. Для обеспечения безопасности значимого объекта 1 или в) средства антивирусной защиты, реализующие сигнатурные г) средство криптографической защиты информации (для значимого объекта, для которого в соответствии с законодательством Российской Федерации требуется защита криптографическими методами передаваемой информации), обеспечивающее защиту передаваемой и принимаемой по сети связи общего пользования, а также в иные информационные (автоматизированные) системы и информационно-телекоммуникационные сети информации от раскрытия, модификации и навязывания (ввода ложной информации); д) средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Управление компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно; е) межсетевой экран уровня веб-сервера (для значимого объекта Указанные средства защиты информации могут быть реализованы как отдельные изделия, либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов). 8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются: представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений, предусмотренных пунктом выявление в представленных в соответствии с пунктом 4 настоящего Порядка сведениях недостоверной информации; недостаточность применяемых при подключении значимого объекта к сети связи общего пользования средств защиты информации для обеспечения его безопасности. 10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта критической информационной инфраструктуры к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов и вручается уполномоченному представителю субъекта критической информационной инфраструктуры, либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка. 11. Уточненные и повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком.
______________________________
|
||||||||
|