Раз уж регулятор считает, что доступ по VPN – это локальный доступ (со слов не самого регулятора, а со слов Алексея: «Если удаленный доступ (в контексте приказа ФСТЭК) осуществляется с помощью VPN, то это не удаленный доступ, а локальный. Не самый логичный вывод, но зато снимает ряд проблем, связанных с привлечением для проведения регламентных работ сотрудников сторонних организаций»), то попробую хоть как-то обосновать. В 239 приказе #ФСТЭК указано:
«В значимом объекте КИИ не допускаются: наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе СЗИ, для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ». Видимо вся «хитрость» кроется в словах «непосредственно (напрямую)». То есть все же доступ через VPN это НЕ локальный доступ, но при этом это НЕ «напрямую». То есть используя VPN, можно сказать об отсутствии удаленного доступа непосредственно (напрямую). Логика такая - как-то так.

Ограничьтесь основным софтом. Этот раздел нужен для того, чтобы ФСТЭК получил представление о том, на уязвимости каких семейств ПО им нужно обращать внимание. Конкретные модели датчиков для этого не так интересны

З.Ы. "Основным" - в смысле уровня SCADA/MES, а не только операционные системы и СУБД :)

Благодарю

Коллеги, добрый!
Немного не По тепе беседы, хочу сверить часы, да и полезно будет для тех, кто ещё не натравлял перечни.
Прошу подтвердить тех, кто делал.

1. Сопроводительное письмо пишем просто в адрес ФСТЭК России, без управления, отдела, на бассманную.
2. Подписанный  перечень и сопровод упаковываем в конверт1. Два реестра с печатью организации и конверт1 кладём в конверт2.
3. Везём все это в экспедицию (для мск).

1. Да.
2. Да, если везёте в экспедицию.
3. Да или почтой.

Не забываем приложить машинный носитель информации с электронной копией перечня в форматах docx и xlsx.

1. По вкусу. Сотрудники ФСТЭК рекомендуют писать на начальника 2 управления или заместителя директора, курирующего данное направление, напрямую, а не на службу. В любом случае должны распределить куда нужно.

Так вроде Лютиков сетовал на обратное?!

Оу, не в курсе. Пару недель назад была такая информация

Главное чтобы письмо нашло своего адресата. У нас есть небезызвестное информационное сообщение, которое в рекомендательной  форме просит отсылать перечни в ФСТЭК России, но не конкретизирует кому конкретно. Но, я Вас уверяю, если напишите просто в ФСТЭК России, то бюрократическая машина внутренней канцелярии резолюциями донесёт это письмо до нужного ответственного подразделения вплоть до конкретного сотрудника.

Уже писал выше своё мнение
(дублируют)

Александр К.:
Здесь ситуация непростая, т.к. ряд источников даёт различные определения термину "удаленный доступ" (НМД, ГОСТ и др.).

Если смотреть термин "удаленный доступ", введенный ФСТЭК России в Мерах для ГИС, то "Удаленный  доступ: процесс получения доступа (через  внешнюю сеть) к объектам  доступа ИС из другой ИС  (сети) или со средства  вычислительной техники, не  являющегося постоянно  (непосредственно) соединенным физически или логически с ИС, к которой он  получает доступ".
А "внешняя сеть: это сеть, взаимодействующая с ИС из-за пределов границ ИС".
А вот граница - это пределы, в  которой оператором обеспечивается защита  информации в соответствии  с едиными правилами и  процедурами, а также  контроль за реализованными  мерами защиты информации".

Таким образом, если в первом определении взять блок до союза "или", учесть, что в вашей (подконтрольной) VPN-сети обеспечивается защита (а тут уже по требованиям ФСБ России), то это это не будет доступом через внешнюю сеть.

насколько легитимно использовать термин "удаленный доступ", введенный ФСТЭК России в Мерах для ГИС?

А в чём нелегитимность?
Документ от имени данного регулятора.
В РД Гостехкомиссии данный термин не введён, в ГОСТ-ах идёт разнобой.

МР по ГИСам это же не НПА, минюст не проходил. Но это ладно, главное есть понимание, что подрядчикам можно подключаться к СЗИ Заказчика через ГОСТовый VPN.

Т.Е. Общие критерии не будут использоваться в качестве методологической базы?

Именно ч.3 - не будет. Вместо нее разработан РД с другим составом мер доверия и другими уровнями доверия

Часть 2 ФСТЭК вполне устраивает, насколько я понимаю

Т.е. у РФ всегда свой путь :) Будет часть по " общим критериям" часть по "ФСТЭК"

Об этом докладывали на ТБФоруме. Какой ТК этим занимается?

ФСТЭКовский, надо думать, ТК362