29 Марта, 2018

Так менялся 239 Приказ ФСТЭК

Валерий Комаров

    08.12.2017 на http://regulation.gov.ru/projects#npa=76118 для общественного обсуждения опубликован проект приказа ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
    27.12.2017 на http://regulation.gov.ru/projects#npa=76118 опубликован доработанныйпо итогам общественного обсуждения проект приказа ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
   27.03.2018 официально опубликован приказ ФСТЭК от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрирован 26.03.2018 № 50524)

* Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

      Изменения, внесенные в проект Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
по итогам общественного обсуждения:



Проект от 15.11.2017,
синим удалено
Доработанный проект от 05.12.2017,
красным добавлено, синим удалено, фиолетовым добавлено и затем удалено
в окончательной редакции Приказа № 239
Приказ ФСТЭК от 25.12.2017 № 239,
темным было добавлено в доработанном проекте от 05.12.2017, красным добавлено
1.       
I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736) и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые объекты) при проведении в отношении них компьютерных атак.
I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736) и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые объекты, критическая информационная инфраструктуры) при проведении в отношении них компьютерных атак.
I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее - значимые объекты, критическая информационная инфраструктура) при проведении в отношении них компьютерных атак.
2.       
3. Действие настоящих Требований распространяется на следующие значимые объекты:
 а) информационные системы, представляющие собой совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
б) автоматизированные системы управления, представляющие собой комплексы программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими процессами;
в) информационно-телекоммуникационные сети, представляющие собой технологические системы, предназначенные для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
2. Действие настоящих Требований распространяется на значимые объекты, принадлежащие на праве собственности, аренды или ином законном основании субъектам критической информационной инфраструктуры, к которым относятся:
а) информационные системы, представляющие собой совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
б) автоматизированные системы управления, представляющие собой комплексы программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими процессами;
в) информационно-телекоммуникационные сети, представляющие собой технологические системы, предназначенные для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
2. Действие настоящих Требований распространяется на информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, которые отнесены к значимым объектам критической информационной инфраструктуры в соответствии со статьей 7 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
3.       
2. Настоящие Требования предназначены для субъектов критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты, а также для лиц, устанавливающих требования к обеспечению безопасности значимых объектов (далее - заказчики), лиц, эксплуатирующих значимые объекты, и лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) значимых объектов  и (или) обеспечению их безопасности.
4. Реализация настоящих Требований является обязательной при обеспечении безопасности значимых объектов на всех стадиях (этапах) их жизненного цикла в ходе создания, эксплуатации и вывода из эксплуатации.
По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.
3. Настоящие Требования предназначены для субъектов критической информационной инфраструктуры, лиц, устанавливающих требования к обеспечению безопасности значимых объектов (далее – заказчики), лиц, эксплуатирующих значимые объекты, а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимых объектов и (или) обеспечению их безопасности (далее – разработчики).
По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.
3. По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.
4.       
5. Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
4. Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
4. Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
5.       
6. Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются наряду с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный № 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. № 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45933).
Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются наряду с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный № 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. № 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45933).
5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом
Требований к защите персональных данных
при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом
Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный № 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. № 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45933).
6.       
7. Для обеспечения безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются наряду с нормативными правовыми актами федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.
6. Для обеспечения безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются наряду с нормативными правовыми актами федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.
пункт 6 исключен
7.       
II. Требования к обеспечению безопасности значимых объектов в ходе их создания, эксплуатации и вывода из эксплуатации значимых объектов

8. Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, созданных субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
7. Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Обеспечение безопасности значимых объектов достигается путем реализации субъектом критической информационной инфраструктуры, заказчиком, разработчиком требований к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов, а также требований к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов.
6. Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
8.       
9. Безопасность значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов и обеспечивается на всех стадиях (этапах) их жизненного цикла.
II. Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов

8. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.
II. Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов

7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.
9.       
10. Для обеспечения безопасности значимого объекта на стадиях жизненного цикла проводятся следующие мероприятия:
формирование требований к обеспечению безопасности значимого объекта;
разработка организационных и технических мер по обеспечению безопасности значимого объекта;
внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
обеспечение безопасности значимого объекта в ходе его эксплуатации;
обеспечение безопасности значимого объекта при выводе его из эксплуатации.
9. На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) задание требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
г) обеспечение безопасности значимого объекта в ходе его эксплуатации;
д) обеспечение безопасности значимого объекта при выводе его из эксплуатации.
Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.
8. На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
г) обеспечение безопасности значимого объекта в ходе его эксплуатации;
д) обеспечение безопасности значимого объекта при выводе его из эксплуатации.
Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.
10.   
новый пункт
10. Для значимых объектов, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации (дооснащения) подсистем безопасности эксплуатируемых значимых объектов. Модернизация (дооснащение) подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации (дооснащению) значимых объектов.
9. Для значимых объектов, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации или дооснащения подсистем безопасности эксплуатируемых значимых объектов. Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов.
11.   
Формирование требований к обеспечению безопасности значимого объекта

11. Формирование требований к
обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры (заказчиком).
Формирование требований к обеспечению безопасности значимого объекта включает:
категорирование объекта;
задание требований к обеспечению безопасности значимого объекта.
11.1. Категорирование объекта проводится субъектом критической информационной инфраструктуры (заказчиком) в соответствии с порядком осуществления категорирования объектов критической информационной инфраструктуры Российской Федерации, установленным в соответствии с пунктом 1 части 2 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Устанавливаются три категории значимости объектов, определяющие уровни защищенности значимых объектов. Самая высокая категория – первая, самая низкая – третья.
Требование к категории значимости включается в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта (в случае его разработки).
Категория значимости может быть уточнена в ходе проектирования значимого объекта с учетом особенностей его функционирования.
11.2. Требования к обеспечению безопасности значимого объекта задаются субъектом критической информационной инфраструктуры или заказчиком в зависимости от категории значимости значимого объекта.
Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
цель и задачи обеспечения безопасности значимого объекта;
категория значимости значимого объекта;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;
перечень защищаемых информационных ресурсов (объектов защиты) значимого объекта;
требования к организационным мерам и средствам защиты информации, применяемым для обеспечения безопасности значимого объекта;
стадии (этапы работ) создания подсистемы безопасности значимого объекта;
требования к поставляемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);
требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.
При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры (далее – документы по безопасности значимых объектов).
Задание требований к обеспечению безопасности значимого объекта

11. Задание требований к
обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры (заказчиком) в соответствии с категорией значимости значимого объекта, определенной в соответствии с порядком осуществления категорирования объектов критической информационной инфраструктуры Российской Федерации, установленным в соответствии с пунктом 1 части 2 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».







Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
а) цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта;
б) категорию значимости значимого объекта;
в) перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;
г) перечень типов объектов защиты значимого объекта;
д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта;
е) стадии (этапы работ) создания подсистемы безопасности значимого объекта;
ж) требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
з) требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);
и) требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капительного строительства.
При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – организационно-распорядительные документы по безопасности значимых объектов).
Установление требований к обеспечению безопасности значимого объекта

10. Задание требований к
обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования
объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2018, № 8, ст. 1204).
Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
а) цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта;
б) категорию значимости значимого объекта;
в) перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;
г) перечень типов объектов защиты значимого объекта;
д) организационные и технические меры, применяемые для обеспечения безопасности значимого объекта;
е) стадии (этапы работ) создания подсистемы безопасности значимого объекта;
ж) требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
з) требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);
и) требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капитального строительства.
При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - организационно-распорядительные документы по безопасности значимых объектов).
12.   
Разработка организационных и технических мер по обеспечению безопасности значимого объекта

12. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и включает:
определение угроз безопасности информации и разработку на их основе модели угроз безопасности информации;
проектирование подсистемы безопасности значимого объекта;
разработку эксплуатационной документации на значимый объект.
Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны препятствовать достижению целей создания значимого объекта и его функционированию.
При разработке организационных и технических меры по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.
Разработка организационных и технических мер по обеспечению безопасности значимого объекта

12. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется разработчиком в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и включает:
а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
б) проектирование подсистемы безопасности значимого объекта;
в) разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны препятствовать достижению целей создания значимого объекта и его функционированию.
При разработке организационных и технических мер по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
Разработка организационных и технических мер по обеспечению безопасности значимого объекта

11. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимого объекта и (или) обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и должна включать:
а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
б) проектирование подсистемы безопасности значимого объекта;
в) разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны оказывать негативного влияния на создание и функционирование значимого объекта.
При разработке организационных и технических мер по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
13.   
12.1. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа потенциальных уязвимостей значимого объекта, возможных способов реализации угроз безопасности информации и последствий от их реализации.
При определении угроз безопасности информации подлежат оценке, в первую очередь, угрозы, связанные с компьютерными атаками на значимый объект.
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211, официальный интернет-портал правовой информации http://www.pravo.gov.ru, 25.11.2017) (далее – банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются архитектура значимого объекта, включая состав значимого объекта, физические и логические взаимосвязи между сегментами значимого объекта и иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами и информационно-телекоммуникационными сетями, режимы обработки информации в значимом объекте и в его отдельных сегментах, а также иные характеристики и особенности функционирования значимого объекта.
По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структуры (архитектуры) значимого объекта, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание архитектуры значимого объекта и описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), потенциальных уязвимостей значимого объекта, способов реализации угроз безопасности информации и последствий от их реализации.
Для нескольких значимых объектов, имеющих одинаковую архитектуру и типовые угрозы безопасности информации, может разрабатываться единая модель угроз безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
12.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий от их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей между компонентами значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее – архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации включает:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198)
(далее – банк данных угроз безопасности информации ФСТЭК России), а также иные доступные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
По результатам анализа угроз безопасности информации могут разрабатываться рекомендации по корректировке архитектуры значимого объекта и организационно-распорядительных документов по безопасности значимых объектов, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации представляет собой описательное представление свойств и характеристик угроз безопасности информации и должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации (для преднамеренных угроз приводится описание возможностей нарушителей (модель нарушителя) и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
а) источник угрозы безопасности информации;
б) уязвимости, которые могут быть использованы для реализации угрозы безопасности информации;

в) возможные способы (сценарии) реализации угрозы безопасности информации;
г) возможные последствия от угрозы безопасности информации.
Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
11.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта,
взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее - архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации должен включать:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется
ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, №49, ст. 5192; 2008, №43, ст. 4921; №47, ст. 5431; 2012, №7, ст. 818; 2013, № 26, ст. 3314; № 53, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198) (далее - банк данных угроз безопасности информации ФСТЭК России), а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации.
По результатам анализа угроз безопасности информации могут быть разработаны рекомендации по корректировке архитектуры значимого объекта и организационно-распорядительных документов по безопасности значимых объектов, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.




Описание каждой угрозы безопасности информации должно включать:
а) источник угрозы безопасности информации;
б) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
в) возможные способы (сценарии) реализации угрозы безопасности информации;
г) возможные последствия от угрозы безопасности информации.
Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
14.   
12.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться на основе модели угроз безопасности информации и предусматривать обоснование необходимости принятия организационных и технических мер по обеспечению безопасности значимого объекта, направленных на защиту значимого объекта от угроз безопасности информации.
При проектировании подсистемы безопасности значимого объекта:
определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа, к которым относятся информационные ресурсы значимого объекта, подлежащие защите;
определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная) и правила разграничения доступа субъектов доступа к объектам доступа;
обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;
определяется структура подсистемы безопасности значимого объекта, включая состав, места размещения средств защиты информации и их взаимодействие;
осуществляется выбор средств защиты информации с учетом их стоимости, совместимости с применяемыми программными и программно-аппаратными средствами, функций безопасности этих средств и особенностей их реализации, а также категории значимого объекта;
определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, а также устранение возможных уязвимостей, приводящих к возникновению угроз безопасности информации;
определяются меры при информационном взаимодействии с иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации (эскизном (техническом) проекте и в рабочей документации) на значимый объект (подсистему безопасности значимого объекта).
В целях тестирования функционирования подсистемы безопасности значимых объектов в ходе проектирования осуществляется ее макетирование (создание тестовой среды). Тестирование должно быть направлено:
на обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта;
на практическую отработку выполнения выбранными средствами защиты информации требований к ним и подсистеме безопасности значимого объекта;
на исключение влияния подсистемы безопасности на штатный режим функционирования значимого объекта.
Макетирование подсистемы безопасности значимого объекта и ее тестирование может проводиться в том числе с использованием средств и методов моделирования, а также с использованием технологий виртуализации.
При проектировании подсистем безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования подлежат применению наряду с Требованиями к проектированию сетей электросвязи, утвержденными приказом Минкомсвязи России от 9 марта 2017 г. № 101 (зарегистрирован Минюстом России 31 мая 2017 г., регистрационный  № 46915), а также иными нормативными правовыми актами федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политике и нормативно-правовому регулированию в области связи, изданными в соответствии с Федеральным законом «О связи».
12.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
При проектировании подсистемы безопасности значимого объекта:
а) определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа;
б) определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная);
в) обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
г) определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;
д) осуществляется выбор средств защиты информации и (или) их разработка с учетом категории значимости значимого объекта, совместимости с программными и программно-аппаратными средствами, выполняемых функций безопасности и ограничений на эксплуатацию;
е) разрабатывается архитектура подсистемы безопасности значимого объекта, включающая состав, места установки, взаимосвязи средств защиты информации;
ж) определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта;
з) определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
В случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка проводится в соответствии со стандартами безопасной разработки программного обеспечения.
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта).
В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено:
на обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта;
на практическую отработку выполнения средствами защиты информации функций безопасности;
на исключение влияния подсистемы безопасности на функционирование значимого объекта.
Макетирование подсистемы безопасности значимого объекта и ее тестирование может проводиться с использованием средств и методов моделирования, а также с использованием технологий виртуализации.
При проектировании подсистем безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются в части, не противоречащей Требованиям к проектированию сетей электросвязи, утвержденным приказом Минкомсвязи России от 9 марта 2017 г. № 101 (зарегистрирован Минюстом России 31 мая 2017 г., регистрационный  № 46915), а также иным нормативным правовым актам федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
При проектировании подсистемы безопасности значимого объекта:
а) определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа;
б) определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная);
в) обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
г) определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;
д) осуществляется выбор средств защиты информации и (или) их разработка с учетом категории значимости значимого объекта, совместимости с программными и программно-аппаратными средствами, выполняемых функций безопасности и ограничений на эксплуатацию;
е) разрабатывается архитектура подсистемы безопасности значимого объекта, включающая состав, места установки, взаимосвязи средств защиты информации;
ж) определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта;
з) определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
В случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка проводится в соответствии со стандартами безопасной разработки программного обеспечения.
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта).
В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:
обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта;
практическую отработку выполнения средствами защиты информации функций безопасности;
исключение влияния подсистемы безопасности на функционирование значимого объекта.
Макетирование подсистемы безопасности значимого объекта и ее тестирование может проводиться с использованием средств и методов моделирования, а также с использованием технологий виртуализации.
При проектировании подсистем безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются с учетом Требований к
проектированию сетей электросвязи, утвержденных приказом Минкомсвязи России от 9 марта 2017 г. № 101 (зарегистрирован Минюстом России 31 мая 2017 г., регистрационный № 46915), а также иных нормативных правовых актов федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.
15.   
12.3. Разработка эксплуатационной документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.
Эксплуатационная документация на значимый объект должна содержать:
структуру подсистемы безопасности значимого объекта;
состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и аппаратных средств;
правила эксплуатации средств защиты информации значимого объекта.
Состав и формы эксплуатационной документации определяются субъектом критической информационной инфраструктуры в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.
12.3. Разработка рабочей (эксплуатационной) документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта на основе проектной документации.
Рабочая (эксплуатационная) документация на значимый объект должна содержать:
архитектуру подсистемы безопасности значимого объекта;
порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.
11.3. Разработка рабочей (эксплуатационной) документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта на основе проектной документации.
Рабочая (эксплуатационная) документация на значимый объект должна содержать:
описание архитектуры подсистемы безопасности значимого объекта;
порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.
16.   
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие

13. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры.
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта осуществляется в соответствии с проектной и эксплуатационной документацией на значимый объект и включает:
установку и настройку средств защиты информации;
разработку документов по безопасности значимого объекта;
внедрение организационных мер по обеспечению безопасности значимого объекта;
предварительные испытания значимого объекта и его подсистемы безопасности;
опытную эксплуатацию значимого объекта и его подсистемы безопасности;
выявление уязвимостей значимого объекта и принятие мер по их устранению;
приемочные испытания значимого объекта и его подсистемы безопасности.
По решению субъекта критической информационной инфраструктуры к внедрению организационных и технических мер по обеспечению безопасности значимого объекта привлекается лицо, эксплуатирующее значимый объект, в случае, если оно определено таковым в соответствии с законодательством Российской Федерации к моменту внедрения организационных мер и не является субъектом критической информационной инфраструктуры.
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие

13. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры.
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта осуществляется в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, стандартами организаций и включает:
а) установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;
б) разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта;
в) внедрение организационных мер по обеспечению безопасности значимого объекта;
г) предварительные испытания значимого объекта и его подсистемы безопасности;
д) опытную эксплуатацию значимого объекта и его подсистемы безопасности;
е) анализ уязвимостей значимого объекта и принятие мер по их устранению;
ж) приемочные испытания значимого объекта и его подсистемы безопасности.
К разработке и внедрению организационных и технических мер по обеспечению безопасности значимого объекта привлекается лицо, эксплуатирующее (планирующее эксплуатировать) значимый объект.
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие

12. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, стандартами организаций и включает:
а) установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;
б) разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта;
в) внедрение организационных мер по обеспечению безопасности значимого объекта;
г) предварительные испытания значимого объекта и его подсистемы безопасности;
д) опытную эксплуатацию значимого объекта и его подсистемы безопасности;
е) анализ уязвимостей значимого объекта и принятие мер по их устранению;
ж) приемочные испытания значимого объекта и его подсистемы безопасности.
По решению субъекта критической информационной инфраструктуры к разработке и внедрению организационных и технических мер по обеспечению безопасности значимого объекта может привлекаться лицо, эксплуатирующее (планирующее эксплуатировать) значимый объект.
17.   
13.1. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и эксплуатационной документацией на значимый объект, а также в соответствии с документацией на средства защиты информации.
При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию средств защиты информации, в случае наличия таковых в эксплуатационной документации.
13.1. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, а также в соответствии с эксплуатационной документацией на отдельные средства защиты информации.
При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию этих средств защиты информации, в случае наличия таковых в эксплуатационной документации.
12.1. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, а также в соответствии с эксплуатационной документацией на отдельные средства защиты информации.
При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию этих средств защиты информации, в случае их наличия в эксплуатационной документации.
18.   
13.2. Разрабатываемые документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с разделом III настоящих Требований.
Документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников субъекта критической информационной инфраструктуры (пользователей) на значимом объекте критической информационной инфраструктуры, а также действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций (инструкции, руководства).
Состав и формы документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.
13.2. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с разделом III настоящих Требований.
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование (сопровождение, обслуживание, ремонт) значимых объектов, а также действия работников при возникновении нештатных (непредвиденных) ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.
12.2. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с главой III настоящих Требований.
Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.
19.   
13.3. При внедрении организационных мер защиты информации осуществляются:
организация контроля доступа к программно-аппаратным средствам значимого объекта и его линиям связи;
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств;
проверка полноты и детальности описания в документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер;
отработка действий пользователей и администраторов значимого объекта по реализации организационных мер.
13.3. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются:
а) организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи;
б) реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств;
в) проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер;
г) определение администратора безопасности значимого объекта;
д) отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта.
12.3. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются:
а) организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи;
б) реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств;
в) проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер;
г) определение администратора безопасности значимого объекта;
д) отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта.
20.   
13.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и ее отдельных средств зашиты информации, оценку влияния подсистемы безопасности на штатный режим функционирования значимого объекта, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
13.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств зашиты информации, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
12.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
21.   
13.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также готовность пользователей и администраторов к эксплуатации значимого объекта и его подсистемы безопасности.
13.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии с программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также готовности пользователей и администраторов к эксплуатации значимого объекта и его подсистемы безопасности.
12.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии с программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также знаний и умений пользователей и администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности.
22.   
13.6. Выявление уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования нарушителями для реализации угроз безопасности информации. При этом выявлению подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Выявление уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
Выявление уязвимостей осуществляется следующими способами:
анализ проектной, эксплуатационной документации и документов по безопасности значимого объекта;
анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;
выявление известных уязвимостей программных и программно-аппаратных средств посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;
выявление известных уязвимостей программных и программно-аппаратных средств, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;
тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации
Выбор способов выявления уязвимостей и применяемых средств осуществляется субъектом критической информационной с учетом особенностей функционирования значимого объекта.
Допускается выявление уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта. При этом макет (тестовая зона) должны полностью соответствовать значимому объекту или отдельным сегментам значимого объекта.
В случае выявления уязвимостей значимого объекта, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры по обеспечению безопасности значимого объекта, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
Выявление уязвимостей значимого объекта проводится до ввода его в промышленную эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.
По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанным в пункте 12.1 настоящих Требований, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.
13.6. Анализ уязвимостей значимого
объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации.
При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
При проведении анализа уязвимостей применяются следующие способы их выявления:
а) анализ проектной, рабочей (эксплуатационной) документации и организационно-распорядительных документов по безопасности значимого объекта;
б) анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;
в) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;
г) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;
д) тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.
Выбор способов выявления уязвимостей и применяемых при этом средств осуществляется субъектом критической информационной инфраструктуры с учетом особенностей функционирования значимого объекта.
Допускается проведение анализа уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта.
Анализ уязвимостей значимого объекта проводится до ввода его в действие на этапах, определяемых субъектом критической информационной инфраструктуры.
В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации (способствовать возникновению) угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанном в пункте 12.1 настоящих Требований, или уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта.
12.6. Анализ уязвимостей значимого
объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации.
При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
При проведении анализа уязвимостей применяются следующие способы их выявления:
а) анализ проектной, рабочей (эксплуатационной) документации и организационно-распорядительных документов по безопасности значимого объекта;
б) анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;
в) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;
г) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;
д) тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.
Применение способов и средств выявления уязвимостей осуществляется субъектом критической информационной инфраструктуры с учетом особенностей функционирования значимого объекта.
Допускается проведение анализа уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта.
Анализ уязвимостей значимого объекта проводится до ввода его в действие на этапах, определяемых субъектом критической информационной инфраструктуры.
В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации (способствовать возникновению) угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанном в пункте 11.1 настоящих Требований, или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта.
23.   
13.7. Приемочные испытания значимого объекта и его подсистемы безопасности должны предусматривать проведение комплекса организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям.
В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт категорирования, эксплуатационная документация на значимый объект,
документы по безопасности значимого объекта, результаты выявления уязвимостей значимого объекта, материалы предварительных испытаний, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания значимого объекта и его подсистемы безопасности проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний значимого объекта и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки значимого объекта в эксплуатацию.
В случае, если значимый объект является государственной информационной системой, а также в иных случаях установленных законодательством Российской Федерации и (или) в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки о соответствии значимого объекта установленным требованиям по обеспечению безопасности (или в аттестате соответствия).
13.7. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям, а также требованиям технического задания на создание значимого объекта и (или) технического задания (частного технического задания) на создание подсистемы безопасности значимого объекта.
В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, результаты (акт) категорирования, техническое задание на создание (модернизацию) значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, проектная и рабочая (эксплуатационная) документация на значимый объект, организационно-распорядительные документы по безопасности значимых объектов, результаты анализа уязвимостей значимого объекта, материалы предварительных испытаний и опытной эксплуатации, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания значимого объекта и его подсистемы безопасности проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний значимого объекта и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки значимого объекта в эксплуатацию.
В случае если значимый объект является государственной информационной системой, в иных случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
12.7. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям, а также требованиям технического задания на создание значимого объекта и (или) технического задания (частного технического задания) на создание подсистемы безопасности значимого объекта.
В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, результаты (акт) категорирования, техническое задание на создание (модернизацию) значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, проектная и рабочая (эксплуатационная) документация на значимый объект, организационно-распорядительные документы по безопасности значимых объектов, результаты анализа уязвимостей значимого объекта, материалы предварительных испытаний и опытной эксплуатации, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания значимого объекта и его подсистемы безопасности проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний значимого объекта и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки значимого объекта в эксплуатацию.
В случае если значимый объект является государственной информационной системой, в иных случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
24.   
Обеспечение безопасности значимого объекта в ходе его эксплуатации

14. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и документами по безопасности значимого объекта и включает следующие процедуры:
планирование мероприятий по обеспечению безопасности значимого объекта;
периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;
управление (администрирование) подсистемой безопасности значимого объекта;
управление конфигурацией значимого объекта и его подсистемой безопасности;
реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;
информирование и обучение персонала значимого объекта;
контроль за обеспечением уровня безопасности значимого объекта.
Обеспечение безопасности значимого объекта в ходе его эксплуатации

14. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:
а) планирование мероприятий по обеспечению безопасности значимого объекта;
б) периодический анализ угроз безопасности информации в значимом объекте и последствий от их реализации;
в) управление (администрирование) подсистемой безопасности значимого объекта;
г) управление конфигурацией значимого объекта и его подсистемой безопасности;
д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
е) обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;
ж) информирование и обучение персонала значимого объекта;
з) контроль за обеспечением безопасности значимого объекта.
Обеспечение безопасности значимого объекта в ходе его эксплуатации

13. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:
а) планирование мероприятий по обеспечению безопасности значимого объекта;
б) анализ угроз безопасности
информации в значимом объекте и последствий от их реализации;
в) управление (администрирование) подсистемой безопасности значимого объекта;
г) управление конфигурацией значимого объекта и его подсистемой безопасности;
д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
е) обеспечение действий в нештатных ситуациях в ходе эксплуатации значимого объекта;
ж) информирование и обучение персонала значимого объекта;
з) контроль за обеспечением безопасности значимого объекта.
25.   
14.1. В ходе планирования мероприятий по обеспечению безопасности значимого объекта осуществляются:
определение лиц, ответственных за планирование и контроль мероприятий по обеспечению безопасности значимого объекта;
разработка, утверждение и актуализация плана мероприятий по обеспечению безопасности значимого объекта;
контроль выполнения мероприятий по обеспечению безопасности значимого объекта, предусмотренных утвержденным планом.
14.1. В ходе планирования мероприятий по обеспечению безопасности значимого объекта осуществляются:
а) определение лиц, ответственных за планирование и контроль мероприятий по обеспечению безопасности значимого объекта;
б) разработка, утверждение и актуализация плана мероприятий по обеспечению безопасности значимого объекта;
в) определения порядка контроля выполнения мероприятий по обеспечению безопасности значимого объекта, предусмотренных утвержденным планом.
Планирование мероприятий по обеспечению безопасности значимого объекта должно осуществляться в рамах процесса планирования, внедренного в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
13.1. В ходе планирования мероприятий по обеспечению безопасности значимого объекта осуществляются:
а) определение лиц, ответственных за планирование и контроль мероприятий по обеспечению безопасности значимого объекта;
б) разработка, утверждение и актуализация плана мероприятий по обеспечению безопасности значимого объекта;
в) определения порядка контроля выполнения мероприятий по обеспечению безопасности значимого объекта, предусмотренных утвержденным планом.
Планирование мероприятий по обеспечению безопасности значимого объекта должно осуществляться в рамах процесса планирования, внедренного в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
26.   
14.2. В ходе анализа угроз безопасности информации в значимом объекте и возможных рисков от их реализации осуществляются:
периодическое выявление уязвимостей значимого объекта, возникающих в ходе его эксплуатации;
периодический анализ изменения угроз безопасности информации в значимом объекте, возникающих в ходе его эксплуатации;
периодическая оценка последствий от реализации угроз безопасности информации в значимом объекте.
14.2. В ходе анализа угроз безопасности информации в значимом объекте и возможных последствий от их реализации осуществляются:
а) периодический анализ уязвимостей значимого объекта, возникающих в ходе его эксплуатации;
б) периодический анализ изменения угроз безопасности информации в значимом объекте, возникающих в ходе его эксплуатации;
в) периодическая оценка возможных последствий от реализации угроз безопасности информации в значимом объекте.
Периодичность проведения указанных работ определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов с учетом категории значимости объекта и особенностей его функционирования.
13.2. В ходе анализа угроз безопасности информации в значимом объекте и возможных последствий их реализации осуществляются:

а) анализ уязвимостей значимого объекта, возникающих в ходе его эксплуатации;

б) анализ изменения угроз безопасности информации в значимом объекте, возникающих в ходе его эксплуатации;
в) оценка возможных последствий реализации угроз безопасности информации в значимом объекте.
Периодичность проведения указанных работ определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов с учетом категории значимости объекта и особенностей его функционирования.
27.   
14.3. В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:
определение лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта;
управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в значимом объекте;
управление средствами защиты информации в значимом объекте, в том числе параметрами настройки программного обеспечения;
управление обновлениями программного обеспечения, включая программное обеспечение средств защиты информации, с учетом особенностей функционирования значимого объекта;
централизованное управление подсистемой безопасности значимого объекта;
анализ зарегистрированных событий в значимом объекте, связанных с его безопасностью (далее - события безопасности);
сопровождение функционирования подсистемы безопасности значимого объекта в ходе ее эксплуатации, включая ведение эксплуатационной документации и документов по безопасности значимого объекта.
14.3. В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:
а) определение лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта;
б) управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в значимом объекте;
в) управление средствами защиты информации значимого объекта;
г) управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования значимого объекта;
д) централизованное управление подсистемой безопасности значимого объекта (при необходимости);
е) мониторинг и анализ зарегистрированных событий в значимом объекте, связанных с обеспечением безопасности (далее - события безопасности);
ж) сопровождение функционирования подсистемы безопасности значимого объекта в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документах по безопасности значимого объекта.
13.3. В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:
а) определение лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта;
б) управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в значимом объекте;
в) управление средствами защиты информации значимого объекта;
г) управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования значимого объекта;
д) централизованное управление подсистемой безопасности значимого объекта (при необходимости);
е) мониторинг и анализ зарегистрированных событий в значимом объекте, связанных с обеспечением безопасности (далее - события безопасности);
ж) сопровождение функционирования подсистемы безопасности значимого объекта в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта.
28.   
14.4. В ходе управления конфигурацией значимого объекта и его подсистемы безопасности осуществляются:
поддержание конфигурации значимого объекта и его подсистемы безопасности в соответствии с эксплуатационной документацией (поддержание базовой конфигурации значимого объекта и его подсистемы безопасности);
определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;
регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств значимого объекта;
управление изменениями базовой конфигурации значимого объекта и его подсистемы безопасности, в том числе определение типов возможных изменений базовой конфигурации, санкционирование внесения изменений в базовую конфигурацию, документирование действий по внесению изменений в базовую конфигурацию, сохранение данных об изменениях базовой конфигурации, контроль действий по внесению изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;
анализ потенциального воздействия планируемых изменений в базовой конфигурации значимого объекта и его подсистемы безопасности на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность значимого объекта и его подсистемы безопасности;
определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации программных и программно-аппаратных средств до внесения изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;
внесение информации (данных) об изменениях в базовой конфигурации значимого объекта и его подсистемы безопасности в эксплуатационную документацию.
14.4. В ходе управления конфигурацией значимого объекта и его подсистемы безопасности для целей обеспечения его безопасности осуществляются:
а) определение лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности, и их полномочий;
б) определение компонентов значимого объекта и его подсистемы безопасности, подлежащих изменению в рамках управления конфигурации (идентификация объектов управления конфигурации): программно-аппаратные, программные средства, включая средства защиты информации, и их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
в) управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации;
г) контроль действий по внесению изменений в значимый объект и его подсистему безопасности.
Реализованные процессы управления изменениями значимого объекта и его подсистемы безопасности должны охватывать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, значимого объекта.
13.4. В ходе управления конфигурацией значимого объекта и его подсистемы безопасности для целей обеспечения его безопасности осуществляются:
а) определение лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности, и их полномочий;
б) определение компонентов значимого объекта и его подсистемы безопасности, подлежащих изменению в рамках управления конфигурации (идентификация объектов управления конфигурации): программно-аппаратные, программные средства, включая средства защиты информации, и их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
в) управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации;
г) контроль действий по внесению изменений в значимый объект и его подсистему безопасности.
Реализованные процессы управления изменениями значимого объекта и его подсистемы безопасности должны охватывать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, значимого объекта.
29.   
14.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии пунктом 6 части 4 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Для реагирования на компьютерные инциденты определяются лица, ответственные за выявление компьютерных инцидентов и реагирование на них.
14.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции.
13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции.
30.   
14.6. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации значимого объекта осуществляются:
планирование мероприятий по обеспечению безопасности значимого объекта на случай возникновения нештатных (непредвиденных) ситуаций;
обучение и отработка действий персонала по обеспечению безопасности значимого объекта в случае возникновения нештатных (непредвиденных) ситуаций;
создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;
резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных (непредвиденных) ситуаций;
обеспечение возможности восстановления значимого объекта и (или) его компонентов в случае возникновения нештатных (непредвиденных) ситуаций.
14.6. Для обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации значимого объекта осуществляются:
а) планирование мероприятий по обеспечению безопасности значимого объекта на случай возникновения нештатных (непредвиденных) ситуаций;
б) обучение и отработка действий персонала по обеспечению безопасности значимого объекта в случае возникновения нештатных (непредвиденных) ситуаций;
в) создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;
г) резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных (непредвиденных) ситуаций;
д) обеспечение возможности восстановления значимого объекта и (или) его компонентов в случае возникновения нештатных (непредвиденных) ситуаций;
е) определение порядка анализа возникших нештатных (непредвиденных) ситуаций и принятия мер по недопущению их повторного возникновения.
13.6. Для обеспечения действий в нештатных ситуациях при эксплуатации значимого объекта осуществляются:
а) планирование мероприятий по обеспечению безопасности значимого объекта на случай возникновения нештатных ситуаций;

б) обучение и отработка действий персонала по обеспечению безопасности значимого объекта в случае возникновения нештатных ситуаций;

в) создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций;
г) резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных ситуаций;

д) обеспечение возможности восстановления значимого объекта и (или) его компонентов в случае возникновения нештатных ситуаций;

е) определение порядка анализа возникших нештатных ситуаций и принятия мер по недопущению их повторного возникновения.
31.   
14.7. В ходе информирования и обучения персонала значимого объекта осуществляются:
периодическое информирование персонала об угрозах безопасности информации, о правилах безопасной эксплуатации значимого объекта;
периодическое обучение персонала
правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.
14.7. В ходе информирования и обучения персонала значимого объекта осуществляются:
а) периодическое информирование персонала об угрозах безопасности информации, о правилах безопасной эксплуатации значимого объекта;
б) периодическое доведение до персонала требований по обеспечению безопасности значимых объектов, а также положений организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся;
в) периодическое обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий с персоналом;
г) периодический контроль осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения безопасности критической информационной инфраструктуры.
Периодичность проведения указанных мероприятий устанавливается субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимого объекта с учетом категории значимости и особенностей функционирования значимого объекта.
13.7. В ходе информирования и обучения персонала значимого объекта осуществляются:
а) информирование персонала
об угрозах безопасности информации, о правилах безопасной эксплуатации значимого объекта;
б) доведение до персонала
требований по обеспечению безопасности значимых объектов, а также положений организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся;
в) обучение персонала
правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий с персоналом;
г) контроль осведомленности
персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения безопасности критической информационной инфраструктуры.
Периодичность проведения указанных мероприятий устанавливается субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимого объекта с учетом категории значимости и особенностей функционирования значимого объекта.
32.   
14.8. В ходе контроля (мониторинга) за обеспечением уровня безопасности значимого объекта и его подсистемы безопасности осуществляются:
мониторинг событий безопасности и контроль за действиями персонала в значимом объекте;
контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;
анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая выявление, анализ и устранение недостатков в функционировании подсистемы безопасности значимого объекта;
документирование процедур и результатов контроля за обеспечением уровня безопасности значимого объекта;
принятие решения по результатам контроля за обеспечением уровня безопасности значимого объекта о необходимости доработки (модернизации) его подсистемы безопасности.
14.8. В ходе контроля за обеспечением безопасности значимого объекта осуществляются:
а) контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;
б) анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы безопасности значимого объекта;
в) документирование процедур и результатов контроля за обеспечением безопасности значимого объекта;
г) принятие решения по результатам контроля за обеспечением безопасности значимого объекта о необходимости доработки (модернизации) его подсистемы безопасности.
13.8. В ходе контроля за обеспечением безопасности значимого объекта осуществляются:
а) контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;
б) анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы безопасности значимого объекта;
в) документирование процедур и результатов контроля за обеспечением безопасности значимого объекта;
г) принятие решения по результатам контроля за обеспечением безопасности значимого объекта о необходимости доработки (модернизации) его подсистемы безопасности.
33.   
Обеспечение безопасности значимого объекта при выводе его из эксплуатации

15. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в случае обработки значимым объектом информации, отнесенной к информации ограниченного доступа, или в случае принятия такого решения субъектом критической информационной инфраструктуры.
В ином случае обеспечение безопасности значимого объекта при выводе из эксплуатации осуществляется в соответствии с эксплуатационной документацией на значимый объект и документами по безопасности значимого объекта и в том числе включает:
архивирование информации, содержащейся в значимом объекте;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
Обеспечение безопасности значимого объекта при выводе его из эксплуатации

15. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией на значимый объект и организационно-распорядительными документами по безопасности значимого объекта.
Обеспечение безопасности значимого объекта при выводе его из эксплуатации должно предусматривать:
а) архивирование информации, содержащейся в значимом объекте;
б) уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации;
в) уничтожение данных об архитектуре и конфигурации значимого объекта;
г) архивирование или уничтожение эксплуатационной документации на значимый объект и его подсистему безопасности и организационно-распорядительных документов по безопасности значимого объекта.
Обеспечение безопасности значимого объекта при выводе его из эксплуатации

14. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией на значимый объект и организационно-распорядительными документами по безопасности значимого объекта.
Обеспечение безопасности значимого объекта при выводе его из эксплуатации должно предусматривать:
а) архивирование информации, содержащейся в значимом объекте;
б) уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации;
в) уничтожение данных об архитектуре и конфигурации значимого объекта;
г) архивирование или уничтожение эксплуатационной документации на значимый объект и его подсистему безопасности и организационно-распорядительных документов по безопасности значимого объекта.
34.   
15.1. Архивирование информации, содержащейся в значимом объекте, должно осуществляться при необходимости дальнейшего использования информации в деятельности субъекта критической информационной инфраструктуры.
15.1. Архивирование информации, содержащейся в значимом объекте, должно осуществляться при необходимости ее дальнейшего использования в деятельности субъекта критической информационной инфраструктуры, а также в случаях, установленных законодательством Российской Федерации.
14.1. Архивирование информации, содержащейся в значимом объекте, должно осуществляться в случае ее
дальнейшего использования в деятельности субъекта критической информационной инфраструктуры.
35.   
15.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю значимого объекта или в иные организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.
15.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации осуществляется в случае обработки значимым объектом информации ограниченного доступа или в случае принятия такого решения субъектом критической информационной инфраструктуры.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю значимого объекта или в иные организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, производится или физическое уничтожение самих машинных носителей информации или уничтожение содержащейся на машинных носителях информации методами, не предусматривающими возможность ее восстановления.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации подлежит документированию в соответствии с организационно-распорядительными документами по безопасности значимого объекта.
14.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации осуществляется в случае обработки значимым объектом информации ограниченного доступа или в случае принятия такого решения субъектом критической информационной инфраструктуры.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю значимого объекта или в иные организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, производится или физическое уничтожение самих машинных носителей информации или уничтожение содержащейся на машинных носителях информации методами, не предусматривающими возможность ее восстановления.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации подлежит документированию в соответствии с организационно-распорядительными документами по безопасности значимого объекта.
36.   
новый пункт
15.3. При выводе значимого объекта из эксплуатации должен быть осуществлен сброс настроек программных и программно-аппаратных средств, в том числе средств защиты информации, удалена информация о субъектах доступа и объектах доступа, удалены учетные записи пользователей, а также идентификационная и аутентификационная информация субъектов доступа.
14.3. При выводе значимого объекта из эксплуатации должен быть осуществлен сброс настроек программных и программно-аппаратных средств, в том числе средств защиты информации, удалена информация о субъектах доступа и объектах доступа, удалены учетные записи пользователей, а также идентификационная и аутентификационная информация субъектов доступа.
37.   
новый пункт
15.4. При выводе значимого объекта из эксплуатации вся эксплуатационная документация на значимый объект и его подсистему безопасности, эксплуатационная документация на отдельные средства защиты информации подлежит архивному хранению.
Сроки хранения документации определяются субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимого объекта.
По решению субъекта критической информационной инфраструктуры эксплуатационная документация на значимый объект и его подсистему безопасности, а также организационно-распорядительные документы по безопасности значимого объекта (инструкции, руководства) могут быть уничтожены. В этом случае факт уничтожения подлежит документированию субъектом критической информационной инфраструктуры с указанием наименования, состава документов, способов и даты их уничтожения.
14.4. При выводе значимого объекта из эксплуатации вся эксплуатационная документация на значимый объект и его подсистему безопасности, эксплуатационная документация на отдельные средства защиты информации подлежит архивному хранению.
Сроки хранения документации определяются субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимого объекта.
По решению субъекта критической информационной инфраструктуры эксплуатационная документация на значимый объект и его подсистему безопасности, а также организационно-распорядительные документы по безопасности значимого объекта (инструкции, руководства) могут быть уничтожены. В этом случае факт уничтожения подлежит документированию субъектом критической информационной инфраструктуры с указанием наименования, состава документов, способов и даты их уничтожения.
38.   
III. Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов

­новый пункт
III. Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов

16. Целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации.
III. Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов

15. Целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации.
39.   
­новый пункт
17. Основными задачами обеспечения безопасности значимого объекта являются:
а) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
б) недопущение информационного воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта;
в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;
г) обеспечение возможности восстановления функционирования значимого объекта критической информационной инфраструктуры.
16. Задачами обеспечения безопасности значимого объекта являются:
а) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
б) недопущение информационного воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта;
в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;
г) обеспечение возможности восстановления функционирования значимого объекта критической информационной инфраструктуры.
40.   
­новый пункт
18. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация информационной системы;
б) в информационно-телекоммуникационных сетях:
информация, передаваемая по линиям связи;
телекоммуникационное оборудование (в том числе программное обеспечение, система управления);
средства защиты информации;
архитектура и конфигурация информационно-телекоммуникационной сети;
в) в автоматизированных системах управления:
информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
программно-аппаратные средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация автоматизированной системы управления.
17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация информационной системы;
б) в информационно-телекоммуникационных сетях:
информация, передаваемая по линиям связи;
телекоммуникационное оборудование (в том числе программное обеспечение, система управления);
средства защиты информации;
архитектура и конфигурация информационно-телекоммуникационной сети;
в) в автоматизированных системах управления:
информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
программно-аппаратные средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация автоматизированной системы управления.
41.   
­новый пункт
19. Обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).
Организационные и технические меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры совместно с лицом, эксплуатирующим значимый объект (при его наличии). При этом между субъектом критической информационной инфраструктуры и лицом, эксплуатирующим значимый объект, должно быть проведено разграничение функций по обеспечению безопасности значимого объекта в ходе его эксплуатации.
18. Обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).
Организационные и технические меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры совместно с лицом, эксплуатирующим значимый объект (при его наличии). При этом между субъектом критической информационной инфраструктуры и лицом, эксплуатирующим значимый объект, должно быть проведено разграничение функций по обеспечению безопасности значимого объекта в ходе его эксплуатации.
42.   
­новый пункт
20. Меры по обеспечению безопасности выбираются и реализуются в значимом объекте с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.
19. Меры по обеспечению безопасности выбираются и реализуются в значимом объекте с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.
43.   
­новый пункт
21. Меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры самостоятельно или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации
20. Меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры самостоятельно или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации
44.   
16. Безопасность значимых объектов обеспечивается принятием организационных мер и применением средств защиты информации, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования значимого объекта.
Принимаемые меры по обеспечению безопасности значимых объектов (далее – меры по обеспечению безопасности) должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности значимого объекта и не должны оказывать отрицательного влияния на штатный режим функционирования значимого объекта.
22. Принимаемые организационные и технические меры по обеспечению безопасности значимого объекта должны соотноситься с мерами по промышленной, функциональной безопасности, иными мерами по обеспечению безопасности значимого объекта и обеспечивающего (управляемого, контролируемого) объекта или процесса. При этом меры по обеспечению безопасности значимого объекта не должны оказывать отрицательного влияния на функционирование значимого объекта в проектных режимах его работы.
21. Принимаемые организационные и технические меры по обеспечению безопасности значимого объекта должны соотноситься с мерами по промышленной, функциональной безопасности, иными мерами по обеспечению безопасности значимого объекта и обеспечивающего (управляемого, контролируемого) объекта или процесса. При этом меры по обеспечению безопасности значимого объекта не должны оказывать отрицательного влияния на функционирование значимого объекта в проектных режимах его работы.
45.   
17. На значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы организационные и технические меры, обеспечивающие:
идентификацию и аутентификацию (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защиту машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусную защиту (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защиту технических средств и систем (ЗТС);
защиту информационной (автоматизированной) системы (сети) и ее компонентов (ЗИС);
реагирование на инциденты информационной безопасности (ИНЦ);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
планирование мероприятий по обеспечению безопасности (ПЛН);
обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС);
информирование и обучение персонала (ИПО).
Состав мер и их базовые наборы для соответствующих категорий значимости значимых объектов приведены в приложении к настоящим Требованиям.
Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
23. В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:
идентификация и аутентификация (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защита машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусная защита (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защита технических средств и систем (ЗТС);
защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
планирование мероприятий по обеспечению безопасности (ПЛН);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
реагирование на инциденты информационной безопасности (ИНЦ);
обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС);
информирование и обучение персонала (ИПО).
Состав мер по обеспечению безопасности значимых объектов в зависимости от категории значимости приведен в приложении к настоящим Требованиям.
При реализации мер по обеспечению безопасности значимых объектов применяются методические документы, разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
22. В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:
идентификация и аутентификация (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защита машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусная защита (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защита технических средств и систем (ЗТС);
защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
планирование мероприятий по обеспечению безопасности (ПЛН);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
реагирование на инциденты информационной безопасности (ИНЦ);
обеспечение действий в нештатных ситуациях (ДНС);
информирование и обучение персонала (ИПО).
Состав мер по обеспечению безопасности значимых объектов в зависимости от категории значимости приведен в приложении к настоящим Требованиям.
При реализации мер по обеспечению безопасности значимых объектов применяются методические документы, разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
46.   
18. Выбор мер для их реализации на значимом объекте включает:
определение базового набора мер по обеспечению безопасности для установленной категории значимости значимого объекта в соответствии с базовыми наборами мер, приведенными в приложении к настоящим Требованиям;
адаптацию базового набора мер по обеспечению безопасности применительно к угрозам безопасности информации, архитектуре и условиям эксплуатации значимого объекта;
дополнение адаптированного набора мер по обеспечению безопасности мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.
24. Выбор мер по обеспечению безопасности значимых объектов для их реализации включает:
а) определение базового набора мер по обеспечению безопасности значимого объекта;
б) адаптацию базового набора мер по обеспечению безопасности значимого объекта;
в) дополнение адаптированного набора мер по обеспечению безопасности значимого объекта мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.
Базовый набор мер по обеспечению безопасности значимого объекта определяется на основе установленной категории значимости значимого объекта в соответствии с приложением к настоящим Требованиям.
Базовый набор мер по обеспечению безопасности значимого объекта подлежит адаптации в соответствии с угрозами безопасности информации, применяемыми информационными технологиями и особенностями функционирования значимого объекта. При этом из базового набора могут быть исключены меры, непосредственно связанные с информационными технологиями, не используемыми в значимом объекте, или характеристиками, не свойственными значимому объекту. При адаптации базового набора мер по обеспечению безопасности значимого объекта для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких угроз безопасности или снижающие возможность ее реализации исходя из условий функционирования значимого объекта. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к настоящим Требованиям.
Дополнение адаптированного набора мер по обеспечению безопасности значимого объекта осуществляется с целью выполнения требований, установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры.
23. Выбор мер по обеспечению безопасности значимых объектов для их реализации включает:
а) определение базового набора мер по обеспечению безопасности значимого объекта;
б) адаптацию базового набора мер по обеспечению безопасности значимого объекта;
в) дополнение адаптированного набора мер по обеспечению безопасности значимого объекта мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.
Базовый набор мер по обеспечению безопасности значимого объекта определяется на основе установленной категории значимости значимого объекта в соответствии с приложением к настоящим Требованиям.
Базовый набор мер по обеспечению безопасности значимого объекта подлежит адаптации в соответствии с угрозами безопасности информации, применяемыми информационными технологиями и особенностями функционирования значимого объекта. При этом из базового набора могут быть исключены меры, непосредственно связанные с информационными технологиями, не используемыми в значимом объекте, или характеристиками, не свойственными значимому объекту. При адаптации базового набора мер по обеспечению безопасности значимого объекта для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких угроз безопасности или снижающие возможность ее реализации исходя из условий функционирования значимого объекта. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к настоящим Требованиям.
Дополнение адаптированного набора мер по обеспечению безопасности значимого объекта осуществляется с целью выполнения требований, установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры.
47.   
19. В значимом объекте соответствующей категории значимости должны быть реализованы меры, выбранные в соответствии с пунктами 17 и 18 настоящих Требований и обеспечивающие блокирование (нейтрализацию) угроз безопасности информации, актуальных для каждого уровня значимого объекта (аппаратного, общесистемного, прикладного, сетевого).
При этом в значимом объекте должен быть, как минимум, реализован адаптированный базовый набор мер по обеспечению безопасности, соответствующий установленной категории значимости значимого объекта.
пункт с таким содержанием исключен

48.   
новый пункт
25. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.
24. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.
49.   
20. В целях исключения избыточности в реализации мер по обеспечению безопасности и в случае, если принятые в значимом объекте меры по обеспечению промышленной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры защиты информации, выбранные в соответствии с пунктами 17 и 18 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть проведено обоснование достаточности применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.
26. Если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 23 и 24 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.
25. Если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 22 и 23 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.
50.   
21. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на штатный режим функционирования значимого объекта, на этапах адаптации базового набора мер по обеспечению безопасности разрабатываются компенсирующие меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности значимого объекта.
В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению промышленной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.
В этом случае в ходе разработки организационных и технических мер должно быть проведено обоснование применения компенсирующих мер, а при
приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
27. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование значимого объекта в проектных режимах значимого объекта, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта.
При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.
26. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование значимого объекта в проектных режимах значимого объекта, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта.
При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.
51.   
22. Выбранные и реализованные в значимом объекте меры по обеспечению безопасности, как минимум, должны обеспечивать:
в значимых объектах 1 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
в значимых объектах 2 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже базового повышенного уровня;
в значимых объектах 3 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с базовым потенциалом.
Потенциал нарушителя определяется в ходе оценки его возможностей (потенциала), проводимой при анализе угроз безопасности информации в соответствии с пунктом 12.1 настоящих Требований.
Субъектом критической информационной инфраструктуры может быть принято решение о применении в значимом объекте соответствующей категории мер, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.
пункт с таким содержанием исключен

52.   
23. Технические меры в значимом объекте реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения значимых объектов при их наличии. При этом:
в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
в значимых объектах 3 категории применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.
В значимых объектах 1 и 2 категорий применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Субъектом критической информационной инфраструктуры в зависимости от потенциала нарушителя может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.
28. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов – средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).
При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).
27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).
При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).
53.   
новый пункт
29. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.
28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.
54.   
23. Технические меры в значимом объекте реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения значимых объектов при их наличии. При этом:
в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
в значимых объектах 3 категории применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.
В значимых объектах 1 и 2 категорий применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Субъектом критической информационной инфраструктуры в зависимости от потенциала нарушителя может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.
30. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:






а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;
б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;
в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.
При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.
Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
При использовании в значимом объекте средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).
Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований.
29. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:






а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;
б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;
в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.
При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.
Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
При использовании в значимом объекте средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).
Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований.
55.   
новый пункт
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства зашиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией.
30. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией.
56.   
24. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства зашиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
Для гарантийной и технической поддержки средств защиты информации, в рамках которой предусматриваются услуги по их установке, монтажу, наладке, испытаниям, ремонту, привлекаются организации, имеющие лицензии на деятельность в области защиты информации.
При выборе программных и программно-аппаратных средств, в том числе средств зашиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.
В значимом объекте не допускается:
наличие прямого удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не имеющих отношения к субъекту критической информационной инфраструктуры, без ведома субъекта критической информационной инфраструктуры;
передача информации, в том числе технологической информации, разработчику (производителю) или иным лицам без ведома субъекта критической информационной инфраструктуры.
32. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства зашиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
При выборе программных и программно-аппаратных средств, в том числе средств зашиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.
В значимом объекте не допускаются:
наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
передача информации, в том числе технологической информации, разработчику (производителю) или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
При выборе программных и программно-аппаратных средств, в том числе средств зашиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.
В значимом объекте не допускаются:
наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.
57.   
новый пункт
33. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 27 настоящих Требований.
32. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.