Досье на проект

В соответствии с пунктом 3 части 2 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:

1. Утвердить порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

2. Федеральному органу исполнительной власти, осуществляющему функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, давать разъяснения по применению настоящего постановления.

3. Настоящее постановление вступает в силу с 1 января 2018 г.

Утвержден
постановлением Правительства
Российской Федерации
от "___" ________ 2017 г. N___

Порядок
подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры

1. Настоящий Порядок устанавливает правила подготовки и использования ресурсов единой сети электросвязи Российской Федерации (далее - ресурсы сети электросвязи) для обеспечения функционирования значимых объектов критической информационной инфраструктуры (далее -значимые объекты).

2. Под ресурсами сети электросвязи понимаются технологические возможности сетей электросвязи, входящих в состав единой сети электросвязи Российской Федерации.

3. Подготовка ресурсов сети электросвязи осуществляется путем выполнения работ по созданию технологических возможностей сетей электросвязи для обеспечения взаимодействия и функционирования значимых объектов через единую сеть электросвязи Российской Федерации (далее - работы).

4. Использование ресурсов сети электросвязи для обеспечения взаимодействия и функционирования значимых объектов осуществляется в порядке, установленном законодательством Российской Федерации о связи.

5. Необходимость присоединения (подключения) значимого объекта к единой сети электросвязи Российской Федерации определяется субъектом критической информационной инфраструктуры (далее - субъект) в целях выполнения требований по обеспечению безопасности, установленных для соответствующей категории значимости объекта.

6. В целях обеспечения функционирования значимых объектов в рамках действующего законодательства используются ресурсы следующих категорий сетей электросвязи:

выделенные сети связи;

технологические сети связи, присоединенные к сети связи общего пользования;

сети связи специального назначения и другие сети связи для передачи информации при помощи электромагнитных систем.

При отсутствии технической возможности использования указанных категорий сетей электросвязи либо необходимости дополнительного резервирования каналов связи допускается использование ресурсов сети связи общего пользования в соответствии с законодательством Российской Федерации о связи и при условии согласования субъектом подключения объекта с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

7. Подготовка и использование ресурсов сети электросвязи осуществляются на основании договора или государственного контракта заключаемого субъектом с оператором связи.

8. Договор или государственный контракт оформляется в установленном законодательством порядке и дополнительно предусматривает:

а) порядок взаимодействия центров управления сетями связи значимых объектов с центрами управления сетями связи оператора связи;

б) порядок эксплуатационно-технического обслуживания технических средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

в) порядок принятия мер по обеспечению устойчивого функционирования сетей связи, в том числе мер защиты от компьютерных атак;

г) порядок изменения объемов оказываемых услуг, в том числе услуги по обеспечению защиты от компьютерных атак;

д) обязательство оператора связи обеспечить непрерывность оказания услуг при вводе в эксплуатацию новых технических средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

е) разграничение ответственности оператора связи и субъекта по обеспечению защиты информации;

ж) иные вопросы, регламентирующие деятельность по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты по взаимной договоренности сторон.

9. В договоре или государственном контракте стороны вправе предусмотреть порядок проведения совместных тренировок сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

10. Субъект оповещает оператора связи о намерении расторгнуть договор или государственный контракт не менее чем за 30 дней до предполагаемой даты его расторжения, если иное не предусмотрено договором или государственным контрактом.

11. В целях заключения договора или государственного контракта субъект направляет запрос оператору связи о наличии возможности предоставления услуг связи с учетом требований обеспечения информационной безопасности при организации взаимодействия значимых объектов. Неотъемлемой частью запроса является выписка из видов угроз безопасности информации и модели нарушителей в отношении значимого объекта на данном информационном направлении.

12. Оператор связи, получив заявку от субъекта, в целях подготовки сети связи проводит:

оценку возможностей ресурсов сети электросвязи для обеспечения функционирования значимых объектов;

возможность обеспечения информационной безопасности с учетом видов угроз безопасности информации и модели нарушителей для обеспечения функционирования значимых объектов.

13. В случае если существующая сеть электросвязи оператора связи, не позволяет обеспечить подключение значимого объекта и (или) защиту каналов связи, оператор связи направляет субъекту мотивированный отказ.

14. В случае если в соответствии с заключенным договором или государственным контрактом инфраструктура оператора связи, установленные на ней технические средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, позволяют обеспечить требования субъекта по обеспечению информационной безопасности (с учетом видов угроз безопасности информации и модели нарушителей в отношении объекта), то вопросы обеспечения информационной безопасности решаются в рамках предоставления услуг по действующему договору или государственному контракту.

15. В случае если существующая инфраструктура оператора связи, установленные на данной сети технические средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, не позволяют в соответствии с заключенным договором или государственным контрактом, обеспечить требования субъекта по обеспечению информационной безопасности (с учетом видов угроз безопасности информации и модели нарушителей в отношении соответствующего объекта), то оператор связи, определяет возможность доведения уровня информационной безопасности своей сети связи до уровня требований информационной безопасности в соответствии с категорией значимого объекта и направляет субъекту технико-экономическое обоснование проведения указанных работ с указанием их объема и сроков их проведения, а так же предложения по перерасчету стоимости услуг с учетом услуги обеспечения защиты от компьютерных атак.

16. Доведение уровня информационной безопасности сети связи оператора, обеспечивающей взаимодействие значимых объектов, до требуемого уровня информационной безопасности, определенной категорией значимого объекта, осуществляется за счет субъекта на условиях договора или государственного контракта.