Коллеги, добрый день! А был ли у кого- нибудь опыт реализации пункта 29.1 239 приказа "При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)"?

Я правильно понимаю, что если мы при проектировании системы защиты не рассматриваем в качестве механизма защиты функцию фильтрации трафика (или что там может быть еще) у граничного маршрутизатора, то и требование к сертификации такого маршрутизатора игнорируем - по принципу "нет ножек - нет мультиков"? :)

Нет. И вообще есть сомнения, что сейчас такое возможно (до изменения КоАП). В 187-ФЗ приказы разработал "Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".

понятно)

Так же как и с ГИС (17 приказ), в которых эти требования были введены без отсрочки, в отличии от КИИ. "26.1. При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети "Интернет", должны выбираться маршрутизаторы <2>, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)."

Валерий, спасибо! Так и предполагалось, но решил еще раз уточнить :)

Коллеги, добрый день!
Подскажите, категорирование провели, результаты приняли, значимые объекты есть, проект по защите планировали на 2021 год, но финансисты на 21 не могут заложить.
Насколько я знаю на данный момент официально прописанных санкций за отсутвие системы защиты КИИ нет, верно?

Если есть какие то санкции, прошу подскажите

Санкций нет, ситуация по короновирусу как основание поможет скорректировать любой план.

Потенциально есть два риска:
1. Уголовная ответственность в случае инцидента. Угроза довольно эфемерна, тем не менее такой риск есть.
2. Прокурорская проверка и предписание и устранить нарушения в 30дневный срок - и последствиями за ее невыполнение. Последствия не смертельные, возможность налететь на такую проверку вполне реальная - в начале года были массовые облавы на уклоняющихся от  категорирования.

в случае прихода прокуратуры, вам выпишут месяц на выполнение, потом штраф на выполнение предписания. Кроме 239 приказа, вам еще и 235 надо выполнить и приказы ФСБ

А в каком документе данные правила закреплены? Ос и антивирус необязательно должны быть сертифицированны.

ТЭК и здравоохранение в лидерах по инвентаризации ОКИИ. https://www.youtube.com/watch?v=m_B-JwXPza0&feature=youtu.be

А что у вас за объект кии ?

Как га счет однонаправленной передачи данных типа diod

У фсб насколько я знаю и не путаю, нет целевых проверок, если проверка есть то она комплексная и пройдёт по всем требованиям законодательства.

да вроде как бывает (конкретно по ГТ, например)

Погоди, я наверно неправильно понял твой вопрос. План график проверок на бушующий год можно посмотреть на сайте структуры. Или проверка придет по «залету»

Область проверки всегда чётко обозначена.

Антивирус должен быть сертифицирован.

Прошу указать на НПА и пункт.