Подключаться нужно вне зависимости от наличия значимых ОКИИ.

это где написано?

Написано прямо противоположное: можно пользоваться инфраструктурой НКЦКИ, а можно и не пользоваться. Но дьявол в деталях.

При инциденте со значимым объектом КИИ в ответ на сообщение об инциденте ФСБ может запросить дополнительную информацию (логи, запись сетевого трафика, образец файла и т.п.). Передать эту информацию по телефону или электронной почте может не получиться, везти нарочным - долго. При этом на субъекте лежит обязанность предоставить эту информацию (точнее, "оказывать содействие", но это понятие может трактоваться очень широко)

Кроме того, многие холдинги и госкорпорации хотят, чтобы взаимодействие с НКЦКИ шло централизовано. ФСБ не против, но при одном условии: любой, кто хочет сообщать об инцидентах "за того парня", должен заключить с ФСБ соглашение и использовать инфраструктуру НКЦКИ.

Поэтому корпорации создают свои центры ГосСОПКА, а одиночные компании или рассчитывают, что им хватит телефона/почты, или задумываются об услугах коммерческих SOC

Абсолютно согласен. Про значимые объекты вопросов нет. Тем более это прописано в законе: ст.10, п.2., пп.4., я спрашивал именно про незначимые.

Сложно представить случай, когда электронной почты может не хватить )

"Значимый" я написал на автомате. По части ГосСОПКА разницы между значимыми и незначимыми объектами практически нет, оператор в любом случае обязан незамедлительно информировать ГосСОПКА об инциденте (статья 9).

На статью 10 обращать внимание не стоит, это перечень задач, а не технические требования. Поскольку субъект обязан выполнять требования ФСТЭК, ему глубоко пофиг, учтена ли в этих требованиях задача "непрерывного взаимодействия с ГосСОПКА" (учтена на самом деле)

Гиговый PCAP файл по почте? А мсье знает толк в извращениях :)

положить на разные дропбоксы или облако-майл-ру, а по почте ссылку. Кстати, майл-ру само так делает (не реклама)

Вы официальные письма тоже так отправляете? "Лежит у нас в приемной, приезжайте и заберите"? Нет, если в запросе сказано "предоставить информацию", придется предоставить именно информацию, а не ссылку, по которой ее можно скачать

Разбор вариантов взаимодействия с ГосСОПКА без SOC - http://sborisov.blogspot.com/2018/10/blog-post_19.html

Главное своевременно сообщить об инциденте. Как направлять дополнительную информацию (если она вообще потребуется) всегда можно обговорить и согласовать

Да, это не основной стимул, одиночные компании не видят смысла подключаться к инфраструктуре НКЦКИ.

Коллеги,всех с Наступающим!

Появился вопрос: требуется ли применение сертифицированной криптографии в случае если взаимодействие значимых ОКИИ происходит по КС проходящим за пределами КЗ ?

Нет, но если вы собираете с них информацию в рамках корпоративной госсопке, вам потребуется скзи.

Потребуется, если необходимо обеспечивать конфиденциальность передаваемых данных и существуют актуальные угрозы ее нарушения при передаче по данным каналам

Не только конфиденциальность

Первый вопрос - обмен происходит информацией ограниченного доступа? Если да, то это прямое попадание в ПКЗ-2005

Именно сертифицированные?

Нет документов, обязывающих вас применять именно сертифицированную криптографию.

Алексей писал о слухах, что ФСТЭК начнет требовать применения именно сертифицированеых СКЗИ, но я в эти слухи не очень верю:
1. В 239 приказе разрешено использовать любые СЗИ, и непонятно, с чего ФСТЭК в этом случае требовать именно сертифициррванные.
2. Этот вопрос не в компетенции ФСТЭК, а ФСБ не уполномочена устанавливать требования к системе защиты ОКИИ.

Тем не менее, слух есть, дальше решать вам

На мой взгляд, если до сих пор у вас не было обязанности применять именно сертифицированные СКЗИ, то для вас ничего не изменилось

@malotavr ,понял, спасибо за развернутый ответ