Есть официальная позиция ФСТЭК на эту тему. По запросу они вам ответят. Они определяют требования к удаленному доступу. И устанавливают, что защищаться можно как угодно, но чтобы это считали "локальным" доступом, нужна сертифицированная крипта. А дальше вам решать, по какому пути идти

Требования определяет регулятор в нормативных документах, их ответ, пусть и официальный - не является нпа

В последнее время в различных блогах и данном чате озвучивается очень много кулуарных мнений регулятора, не имеющих никакой юридической силы и противоречащих букве закона

Спасибо, теперь понятно что имелось в виду.

Коллега, Вы и правы и не правы одновременно, и одновременно с Вами многие, и я в том числе, согласны и не согласны. Учитывая тот факт, я процетирую Алексея Л., "фз коряв, но он фз", регулятор не может ничего сделать, кроме того как что-то пояснить разъяснить, со своей точки зрения. Наше право к нему прислушиваться или нет. Но если мы не согласны, мы долдны быть уверены в своих силах чтобы жто длказать регулятору, не просто сказать а привести доводы обоснованные. Более того регулятор именно он и он будет проверять Ваши бумаги и если будут вопросы он будет Вам из задавать. Мы можем прислушиваться к мнению регулятора ведь ничего противозаконного он не говорит, но иногда предложенные меры-весьма дорогостоющие.

В тех же "Мерах для ГИС" есть фраза "Защита информации  обеспечивается путем  защиты каналов связи  от несанкционированного  физического доступа  (подключения) к ним и (или) применения в соответствии с  законодательством РФ СКЗИ или иными методами".
А законодательство РФ на СКЗИ - это НМД от ФСБ России, а там только сертификация предусмотрена.

Вот в 152 Инструкции "контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией", а на нее и ПКЗ-2005 ссылается.
В 378 приказе вообще конкретные классы СКЗИ указаны, которые только в рамках сертификации возникают.
Таким образом, если позиционируете это как VPN с шифрованием, то это только сертифицированные СКЗИ.

Хотя в более широком смысле VPN может быть и без шифрования :)
http://docs.cntd.ru/document/1200082207

Вот именно, меры - для ГИС. 378 приказ - для ПДн. Кусок из 152 инструкции вы вырвали из контекста, там сказано, что лицензиат обязан контролировать соблюдение "эксплуатационной, технической документации, сертификата ФАПСИ И настоящей инструкции". А не требование использования сертифицированных средств

Алексей, я не отрицаю, что данные документы носят зональный характер (имеют свою область применения).
Если бы всё было построчно прописано, то нас бы с Вами здесь не было, и возможно  этого чата то же.

Здесь действует принцип, что на безрыбье и рак - рыба. И практика использования методички по 17 приказу ФСТЭК для отличных от ГИС случаев является нормальной, но, разумеется, опциональной. С приказом ФСБ № 378 аналогичная ситуация.
Конечно, с правовой и методической точки зрения это неверно, но уж как есть. Тем более, что ФСТЭК кормит нас заверениями, что вот вот появится общая методичка, и одной проблемой станет меньше.

Про методичку: Шёл третий "второй квартал"

Интересно, после опубликованного проекта приказа Минцифры (ранее Минкомсвязи) "Об утверждении порядка, технических условий установки и эксплуатации средств ППКА..." (тут http://regulation.gov.ru/Projects/List#npa=86142),  что будет с проектом Минкомсвязи, который застрял в январе 2018 года на этапе размещения текста проекта (тут http://regulation.gov.ru/projects#npa=77187)? То есть получается, если Министерство "переназвали", то все проекты НПА после предшественника надо перезалить на regulation.gov

Почему? Право приемственности должно остаться, где-нибудь Приказ должен быть на этот счет

однозначно приемственность есть, но видмо только для уже утвержденных НПА. Могли бы убрать проект, чтобы не сбивать с толку людей)

а помнят ли они об этом проекте документа?

Исполнитель один и тот же, не мог же он забыть, что уже что-то такое готовил?

даже может быть такое, что при приемственности не учли этот момент, а именно проекты НПА)

Добрый день, коллеги. наша компания предоставляет услуги ЦОД, имеется соответствующие лицензии на связь и телематику от минкомсвязи. Подскажите, по отнесении ИС к КИИ. Исходя из определения, все кто оказывает услуги связи, является КИИ. Но мы небольшая компания, соответственно, как можно отписаться от отнесения к объектам КИИ?

Размер компании никак не влияет на причисление или не причисление к числу субъектов КИИ. Формально надо удовлетворять определению субъекта КИИ, приведённого в 187-ФЗ, т. е. иметь ИС/ИТС/АСУ из ряда сфер (ну или как позиционирует регулятор, осуществлять деятельность хотя бы в одной из этих сфер).
Другой момент, что Вы можете просто не подавать перечень ОКИИ, подлежащих категорированию, в ФСТЭК...