Приказ ФСТЭК России от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"
Зарегистрировано в Минюсте России 15.09.2020 № 59866
В соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099), приказываю:
Утвердить прилагаемый Порядок согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования.
Директор
Федеральной службы по техническому
и экспортному контролю
В.Селин
Порядок согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования
Утвержден
приказом ФСТЭК России
от 28 мая 2020 г. № 75
1. Настоящий Порядок устанавливает процедуру согласования субъектом критической информационной инфраструктуры Российской Федерации (далее - субъект критической информационной инфраструктуры) с ФСТЭК России подключения значимого объекта критической информационной инфраструктуры Российской Федерации (далее - значимый объект) к сети связи общего пользования, осуществляемого в соответствии с пунктом 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743 (Собрание законодательства Российской Федерации, 2019, № 24, ст. 3099) (далее - Правила).
2. Согласование подключения создаваемого значимого объекта осуществляется до ввода его в действие на этапе, определяемом субъектом критической информационной инфраструктуры. Согласование подключения действующего значимого объекта осуществляется до заключения договора с оператором связи, предусмотренного пунктом 6 Правил.
3. В случае если значимый объект на момент его включения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации (далее - реестр значимых объектов критической информационной инфраструктуры)1) подключен к сети связи общего пользования, согласование ФСТЭК России в соответствии с настоящим Порядком не требуется.
4. Для согласования подключения значимого объекта к сети связи общего пользования субъект критической информационной инфраструктуры представляет посредством почтового отправления или непосредственно в ФСТЭК России следующие сведения:
а) полное и сокращенное (при наличии) наименование субъекта критической информационной инфраструктуры, его адрес в пределах места нахождения, идентификационный номер налогоплательщика;
б) наименование значимого объекта, в отношении которого планируется подключение к сети связи общего пользования, его регистрационный номер в реестре значимых объектов критической информационной инфраструктуры;
в) цель подключения значимого объекта к сети связи общего пользования (оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), доступ к информационным ресурсам, передача информации (данных), обеспечение информационного взаимодействия между сегментами значимого объекта либо с другим значимым объектом и иными системами (сетями), иная цель);
г) планируемый тип подключения значимого объекта к сети связи общего пользования (проводной, беспроводной), наименования протоколов сетевого взаимодействия, используемых для целей подключения;
д) наименование, модель программно-аппаратных и (или) программных средств обеспечения безопасности значимого объекта, применяемых при его подключении к сети связи общего пользования (далее - средства), с указанием версий программного обеспечения средств;
е) номера сертификатов соответствия, имеющихся на средства, и даты их выдачи (для средств, прошедших оценку соответствия в форме обязательной сертификации);
ж) реквизиты протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки).
Рекомендуемый образец представления сведений о значимом объекте критической информационной инфраструктуры Российской Федерации, в отношении которого планируется подключение к сети связи общего пользования, приведен в приложении к настоящему Порядку.
К сведениям прилагаются следующие документы:
копия модели угроз безопасности информации значимого объекта, разработанной в соответствии с пунктом 11 Требований по обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. № 239 (зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524) (с изменениями, внесенными приказом ФСТЭК России от 9 августа 2018 г. № 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071) и приказом ФСТЭК России от 26 марта 2019 г. № 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный № 54443), и утвержденной руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом;
копии протоколов испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки);
схема организации связи (в случае предоставления оператором связи субъекту критической информационной инфраструктуры цифровых каналов связи).
5. Сведения оформляются на русском языке (допускается указывать на иностранном языке фирменные наименования средств), подписываются руководителем субъекта критической информационной инфраструктуры или уполномоченным им лицом. Сведения с сопроводительным письмом направляются в ФСТЭК России на бумажном носителе с приложением электронной копии сведений в формате файлов электронных таблиц (.ods). Документы, указанные в абзацах одиннадцатом - тринадцатом пункта 4 настоящего Порядка, представляются на бумажном носителе.
6. ФСТЭК России на основе представленных субъектом критической информационной инфраструктуры сведений и документов оценивает достаточность применяемых при подключении значимого объекта к сети связи общего пользования средств в соответствии с Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом ФСТЭК России от 21 декабря 2017 г. № 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный № 50118) (с изменениями, внесенными приказом ФСТЭК России от 27 марта 2019 г. № 64 (зарегистрирован Минюстом России 13 июня 2019 г., регистрационный № 54929), и Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239.
7. В случае если представленные субъектом критической информационной инфраструктуры сведения недостаточны для принятия решения о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования, ФСТЭК России запрашивает дополнительные сведения по безопасности значимого объекта в целях уточнения состава актуальных для значимого объекта угроз безопасности информации и применяемых в нем средств защиты информации.
Запрос дополнительных сведений подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением, по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.
Субъект критической информационной инфраструктуры представляет запрошенные сведения посредством почтового отправления или непосредственно в ФСТЭК России.
8. Решение о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования принимается в течение 20 рабочих дней со дня поступления в ФСТЭК России сведений и документов, указанных в пункте 4 настоящего Порядка.
В случае запроса ФСТЭК России дополнительных сведений по безопасности значимого объекта, необходимых для принятия решения о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования, решение принимается в течение 10 рабочих дней со дня поступления в ФСТЭК России дополнительных сведений от субъекта критической информационной инфраструктуры.
9. Основаниями для отказа в согласовании подключения значимого объекта к сети связи общего пользования являются:
представление субъектом критической информационной инфраструктуры в ФСТЭК России неполного объема сведений и документов, указанных в пункте 4 настоящего Порядка, или непредставление дополнительных сведений, предусмотренных пунктом 6 настоящего Порядка;
несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в сертификатах соответствия (для средств, прошедших оценку соответствия в форме обязательной сертификации);
несоответствие наименований, моделей, используемых версий программного обеспечения средств наименованиям, моделям, версиям программного обеспечения средств, указанным в протоколах испытаний, содержащих результаты оценки соответствия средств (для средств, прошедших оценку соответствия в форме испытаний, приемки);
несоответствие средств Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденным приказом ФСТЭК России от 21 декабря 2017 г. № 235, или Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. № 239.
10. Уведомление о согласовании либо об отказе в согласовании подключения значимого объекта к сети связи общего пользования с мотивированным обоснованием причин отказа подписывается заместителем директора ФСТЭК России в соответствии с распределением обязанностей или начальником структурного подразделения ФСТЭК России, реализующего полномочия в области обеспечения безопасности значимых объектов, и вручается уполномоченному представителю субъекта критической информационной инфраструктуры либо направляется почтовым отправлением по адресу, указанному субъектом критической информационной инфраструктуры при представлении сведений, предусмотренных пунктом 4 настоящего Порядка.
11. Повторно направленные субъектом критической информационной инфраструктуры в ФСТЭК России сведения считаются вновь поступившими и рассматриваются в порядке и сроки, предусмотренные настоящим Порядком.