Если сказать проще:
Субъект КИИ может использовать услуги связи, но только при условии, что оператор предоставляет такие услуги с необходимым уровнем безопасности и не создаёт неконтролируемых рисков.
Что говорит законодательство
Федеральный закон № 187-ФЗ
Устанавливает, что субъект КИИ обязан:
- обеспечивать устойчивость и безопасность объектов КИИ, в том числе при использовании услуг связи;
- предотвращать зависимость от неконтролируемых поставщиков;
- обеспечивать защиту каналов связи, используемых объектами КИИ.
Закон прямо не регулирует операторов связи, но накладывает требования на субъекта КИИ в части безопасного использования их услуг.
Федеральный закон № 126-ФЗ «О связи»
Регулирует деятельность операторов связи, включая:
- порядок предоставления услуг;
- требования к сетям;
- обязанности по обеспечению устойчивости и целостности сетей.
Это основа для взаимодействия субъектов КИИ с операторами связи, поскольку услуги связи используются для функционирования ИС, АСУ ТП и сетей объектов КИИ.
Приказ ФСТЭК № 239 (меры безопасности ЗОКИИ)
Этот документ содержит наиболее важные положения:
Субъект КИИ обязан:
- обеспечивать защиту каналов связи, независимо от того, кто является их оператором;
- исключить неконтролируемый доступ к сетям и данным;
- использовать СКЗИ, соответствующие требованиям ФСБ, при передаче данных;
- обеспечивать сегментацию и фильтрацию каналов связи;
- фиксировать и контролировать взаимодействие внешних сетей с объектом КИИ.
Это означает, что оператор связи не несёт обязанностей по соблюдению требований приказа № 239, но субъект КИИ должен построить защиту поверх предоставляемых услуг.
Приказы ФСБ по криптографической защите
Требуют:
- использовать сертифицированные СКЗИ для шифрования связи;
- организовывать защищённые каналы в соответствии с регламентами;
- исключить передачу критичных данных в незашифрованном виде.
Это критично при использовании публичных и арендованных каналов связи.
152-ФЗ (если передаются персональные данные)
Если объект КИИ работает с ПДн, то через каналы связи должны передаваться данные:
- только в зашифрованном виде;
- с применением СЗИ;
- без трансграничной отправки, если это не допускается законом.
Как взаимодействие выглядит на практике
- Оператор связи предоставляет инфраструктуру, но не отвечает за выполнение требований КИИ
Оператор обеспечивает:
- канал передачи;
- доступ в интернет;
- VPN/каналы L2/L3;
- обслуживание сетей.
Но оператор не обязан выполнять требования ФСТЭК для ЗОКИИ.
Эти требования выполняет субъект КИИ.
- Субъект КИИ должен обеспечить защиту полученного канала
Он обязан:
- развернуть криптозащиту (СКЗИ);
- обеспечить межсетевой экран и фильтрацию;
- сегментировать трафик;
- контролировать каналы связи на предмет атак и аномалий.
- Оператор связи должен обеспечить некоторый минимальный уровень безопасности
Например:
- устойчивость работы сети;
- резервирование по SLA;
- выполнение требований закона о связи;
- исполнение требований СОРМ.
Но это не заменяет требований КИИ.
- Ограничение: иностранные или неконтролируемые операторы связи
Фактически их использование невозможно для значимых объектов КИИ из-за:
- отсутствия контроля над каналами;
- рисков перехвата данных;
- невозможности выполнения требований приказа № 239;
- возможной трансграничной передачи трафика.
- Договор с оператором связи должен отражать требования КИИ
Субъект КИИ должен предусмотреть в договоре:
- порядок обеспечения стабильности услуги;
- требования по резервированию;
- запрет изменения маршрутизации без уведомления;
- ограничения на привлечение третьих сторон;
- регламент взаимодействия при инцидентах.
Выводы и рекомендации
Взаимодействие субъекта КИИ с оператором связи регулируется 187-ФЗ, 126-ФЗ и подзаконными требованиями (в т.ч. приказ № 239 и документы ФСБ по криптозащите), а при передаче ПДн — также 152-ФЗ.
Оператор даёт «транспорт», а ответственность за защиту всего трафика и выполнение требований КИИ несёт субъект, поэтому использование иностранных операторов и облачных сервисов связи существенно ограничено.
