ФСТЭК обнародовала для публичного обсуждения проект приказа №01/02/04-20/00101634 «Об утверждении Порядка согласования ФСТЭК подключения значимого объекта критической информационной инфраструктуры (ЗОКИИ) РФ к сети связи общего пользования (ССОП)» [1], который фактически устанавливает правила подключения значимых объектов КИИ к Интернету. До 14 мая еще можно подать свои замечания, которые могут быть учтены в окончательной редакции приказа.
Собственно, ФСТЭК здесь выступает как служба, которая согласовывает проект подключения ЗОКИИ к Интернету в рамках постановления Правительства РФ от 08.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования ЗОКИИ» [2]. Требования для операторов связи по подключению значимых объектов к Интернету готовит Минкомсвязи, а для самих субъектов КИИ – ФСТЭК. И хотя провайдеры у нас также являются субъектами КИИ, для них в тексте постановления предусмотрено исключение.
Сразу следует отметить, что далеко не всегда разрешается такое подключение. В постановлении №743-ПП приведен приоритетный список подключения, который предполагает, что объекты КИИ должны взаимодействовать друг с другом в основном через выделенные сети связи. Если этого сделать не удается, можно использовать сети связи специального назначения. И только при невозможности использовать выделенные или защищенные сети допускается подключаться к ССОП, но при согласовании с ФСТЭК. Кроме того, допускается использовать Интернет в качестве резервного канала связи.
При согласовании ФСТЭК требует указать цель подобного подключения. В проекте приказа содержится список возможных вариантов: «Оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта либо между значимым объектом и иными системами (сетями), иная цель». Последний пункт интересен для всех, но лучше будут согласовываться более определенные цели. Таким образом, Интернет может быть использован для удаленного управления объектами КИИ и контроля за их состоянием, т. е. в том числе и для той самой удаленной работы, о которой мы уже писали ранее в заметке «Гигиена КИИ» [3].
В правилах также указывается, что достаточным набором СЗИ для защиты подключения являются следующие: межсетевой экран уровня сети (не путать с WAF), граничный маршрутизатор, сетевое средство антивирусной защиты, средство криптографической защиты информации (СКЗИ), средство обнаружения (предотвращения) вторжений (только для первой и второй категорий значимости) и межсетевой экран уровня веб-сервера (тот самый WAF, но он нужен только для первой категории значимости и при условии, что в составе объекта КИИ есть встроенный веб-сервер).
Далее поясняется, что «указанные средства защиты информации могут быть реализованы как отдельные изделия либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов)», т. е. все компоненты могут быть собраны в одном устройстве – решения подобного типа уже достаточно давно продаются под наименованием UTM (Unified Threat Management). Понятно, что такой программно-аппаратный комплекс должен быть сертифицирован или для него должны быть проведена процедура проверки соответствия. Принятие решения о согласовании выполняется в течение 20 дней, поэтому в заявке лучше указывать СЗИ, которые хорошо известны специалистам ФСТЭК.
Сегодня подобное подключение особенно важно, поскольку именно через него осуществляется дистанционное управление объектами КИИ в условиях самоизоляции. Требования к клиентскому набору средств защиты перечислены в рекомендации ФСТЭК, которая находится в стадии обсуждения [3]. Приказ, проект которого сейчас обсуждается, должен регламентировать корпоративную часть этой же инфраструктуры. Данные требования придется выполнять и для объединения через ССОП (читай – мобильную сеть) распределенных объектов КИИ, получения телеметрии с удаленных датчиков и т. д. Требования приказа важны для самых разных областей применения, поэтому стоит с ним ознакомиться и попытаться повлиять на процесс его принятия.
[1] https://regulation.gov.ru/projects?fbclid=IwAR0KmJ_EkzsguCm5_iTEiR8OGUHb0BmQlX9hBmOinyo7z5CqtGUp5y3n1dY#npa=101634
[2] http://publication.pravo.gov.ru/Document/View/0001201906110025?index=3&rangeSize=1
[3] http://www.connect-wit.ru/gigiena-kii-br-br-opublikovany-rekomendatsii-regulyatorov-po-zashhite-udalennoj-raboty-dlya-subektov-kii.html