Изменения в 239 Приказ ФСТЭК.

Изменения в 239 Приказ ФСТЭК.
     



    06.03.2019 На regulation.gov.ru для общественного обсуждения опубликован проект приказа ФСТЭК России   «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
name='more'>
      Внесение изменений  в подзаконные акты 187-ФЗ идет по План-графику подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденным Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.
Изменения в ПП127
Изменения в 236 приказ ФСТЭК
Изменения в 235 приказ ФСТЭК
   Из пояснительной записки следует:
   Проектом приказа предусмотрено внесение изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239, направленных на повышение эффективности и оптимизацию мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также на установление требования по применению сертифицированных по требованиям безопасности информации маршрутизаторов.

    При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

    Краткое содержание вносимых изменений:
    1. В ТЗ на создание значимого объекта должны включаться требования к составу и содержанию разрабатываемой документации.
    2. В процессе проектирования значимого объекта его категория значимости может быть уточнена.
    3. По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта.
    4. Замена формулировок: «ввод в действие» на «ввод в эксплуатацию», «разработка политики» на «регламентация правил и процедур».

    5. Переход с НДВ на уровни доверия. С 1 января 2020 г. должны применяться сертифицированные средства защиты информации:
в значимых объектах 1 категории - соответствующие 4 или более высокому уровню доверия.
в значимых объектах 2 категории - соответствующие 5 или более высокому уровню доверия.
в значимых объектах 3 категории - соответствующие 6 или более высокому уровню доверия.

    6. При проектировании значимых объектов 1 категории должны использоваться сертифицированные граничные маршрутизаторы, имеющие доступ к сети «Интернет».         При этом: в случае отсутствия технической возможности применения сертифицированных граничных маршрутизаторов, должны производиться соответствующие испытания на предмет оценки соответствия функций безопасности граничных маршрутизаторов требованиям по безопасности;
      отсутствие таковой технической возможности должно быть обосновано в проектной документации на значимые объекты.

    7. Программные и программно-аппаратные средства хранения и обработки информации в составе значимых объектов 1 категории должны размещаться на территории РФ, за исключением: размещения указанных средств в зарубежных подразделениях субъекта КИИ, либо случаев, установленных законодательством.
    8. Исключены из базового набора мер обеспечения безопасности:
УПД.8, АУД.11, ЗИС.31 - для 1 категории
ЗИС.23, ЗИС.24, ЗИС.25, ЗИС.28, ЗИС.29 - для 1 и 2 категории
    9. Включены в базовый набор мер обеспечения безопасности:
ЗИС.6 - для 1, 2 и 3 категории
ИНЦ.6 - для 3 и 2 категории
ЗИС.35 - для 3 категории

Итог:
1. Ужесточение требований не касается уже установленного оборудования ЗОКИИ. Вопрос с судьбой нереализованными в железе, но уже с выполненными проектами при вступлении в силу изменений дискуссионный. Хуже всего придется тем субъектам, которые при проектировании повысят свою категорию.
2. ФСТЭК начинает активно использовать свои приказы для введения ограничений не только на средства защиты информации, но и на средства обработки информации - сетевые маршрутизаторы и программные и программно-аппаратные средства, осуществляющие хранение и обработку информации. При этом, для сертификации маршрутизаторов необходим исходный код. Для 1 категории значимости ЗОКИИ предусмотрен в обязательном 4 УД.


Изменения, вносимые в Приказ ФСТЭК от 25 декабря 2017 г. № 239
«Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Действующая редакция,
синим удалено
Предлагается проектом,
красным добавлено


Требования
по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
1.       
10. Задание требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).

Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
д) организационные и технические меры, применяемые для обеспечения безопасности значимого объекта;
новый подпункт «к»
10. Задание требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).

Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта;
к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта.
2.       
11.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее - архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
г) возможные последствия от угрозы безопасности информации.
11.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее - архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
г) возможные последствия от реализации (возникновения) угрозы безопасности информации.
3.       
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.

При проектировании подсистемы безопасности значимого объекта:
в) обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта).






новый абзац
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.

При проектировании подсистемы безопасности значимого объекта:
в) определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта), разрабатываемой в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.

В процессе проектирования значимого объекта его категория значимости может быть уточнена.
4.       
12.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии с программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также знаний и умений пользователей и администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности.
12.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии с программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также знаний и умений пользователей и администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности. По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта и его подсистемы безопасности.
5.       
12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей значимого объекта проводится до ввода его в действие на этапах, определяемых субъектом критической информационной инфраструктуры.
12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей значимого объекта проводится до ввода его в эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.
6.       
12.7. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям, а также требованиям технического задания на создание значимого объекта и (или) технического задания (частного технического задания) на создание подсистемы безопасности значимого объекта.
Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
12.7. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям, а также требованиям технического задания на создание значимого объекта и (или) технического задания (частного технического задания) на создание подсистемы безопасности значимого объекта.
Ввод в эксплуатацию значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
7.       
14. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией на значимый объект и организационно-распорядительными документами по безопасности значимого объекта.

Обеспечение безопасности значимого объекта при выводе его из эксплуатации должно предусматривать:
в) уничтожение данных об архитектуре и конфигурации значимого объекта;
14. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией на значимый объект и организационно-распорядительными документами по безопасности значимого объекта.

Обеспечение безопасности значимого объекта при выводе его из эксплуатации должно предусматривать:
в) уничтожение или архивирование данных об архитектуре и конфигурации значимого объекта;
8.       
16. Задачами обеспечения безопасности значимого объекта являются:
в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;
 …
16. Задачами обеспечения безопасности значимого объекта являются:
в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации объекта;
 …
9.       


29. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:
При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.




Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
вступает в силу
с 1 января 2020 г.
29. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:
При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.

Классы защиты и уровни доверия определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
10.   
новый пункт 29.1
29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).

В случае отсутствия технической возможности применения в значимых объектах 1 категории значимости граничных маршрутизаторов, сертифицированных на соответствие требованиям по безопасности информации, функции безопасности граничных маршрутизаторов подлежат оценке на соответствие требованиям по безопасности в рамках приемки или испытаний значимых объектов.

Обоснование отсутствия технической возможности приводится в проектной документации на значимые объекты (подсистемы безопасности значимых объектов), разрабатываемой в соответствии с техническим заданием на создание значимых объектов и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимых объектов.
11.   
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
новый абзац
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).


Состав мер
по обеспечению безопасности для значимого объекта соответствующей категории значимости
12.   

Обозначе-ние и номер меры
Меры обеспечения безопасности значимого объекта
Категория значимости
3
2
1
I. Идентификация и аутентификация (ИАФ)
ИАФ.0
Разработка политики идентификации и аутентификации
+
+
+





II. Управление доступом (УПД)
УПД.0
Разработка политики управления доступом
+
+
+





УПД.2
Реализация политик управления доступом
+
+
+





УПД.8
Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе


+





III. Ограничение программной среды (ОПС)
ОПС.0
Разработка политики ограничения программной среды

+
+





IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.0
Разработка политики защиты машинных носителей информации
+
+
+





ЗНИ.5
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации
 +
+
+
ЗНИ.6
Контроль ввода (вывода) информации на машинные носители информации


+
ЗНИ.7
Контроль подключения машинных носителей информации
+
+
+





V. Аудит безопасности (АУД)
АУД.0
Разработка политики аудита безопасности
+
+
+





АУД.9
Анализ действий пользователей



+





АУД.11
Проведение внешних аудитов


+





VI. Антивирусная защита (АВЗ)
АВЗ.0
Разработка политики антивирусной защиты
+
+
+





VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0
Разработка политики предотвращения вторжений (компьютерных атак)

+
+





VIII. Обеспечение целостности (ОЦЛ)
ОЦЛ.0
Разработка политики обеспечения целостности
+
+
+





IX. Обеспечение доступности (ОДТ)
ОДТ.0
Разработка политики обеспечения доступности
+
+
+





X. Защита технических средств и систем (ЗТС)
ЗТС.0
Разработка политики защиты технических средств и систем

+
+
+





XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.0
Разработка политики защиты информационной (автоматизированной) системы и ее компонентов
+
+
+





ЗИС.6
Управление сетевыми потоками








ЗИС.23
Контроль использования мобильного кода

+
+
ЗИС.24
Контроль передачи речевой информации

+
+
ЗИС.25
Контроль передачи видеоинформации

+
+





ЗИС.28
Исключение возможности отрицания отправки информации

+
+
ЗИС.29
Исключение возможности отрицания получения информации

+
+





ЗИС.31
Защита от скрытых каналов передачи информации


+





ЗИС.35
Управление сетевыми соединениями

+
+





XII. Реагирование на компьютерные инциденты (ИНЦ)
ИНЦ.0
Разработка политики реагирования на компьютерные инциденты
+
+
+





ИНЦ.6
Хранение и защита информации о компьютерных инцидентах


+





XIII. Управление конфигурацией (УКФ)
УКФ.0
Разработка политики управления конфигурацией информационной (автоматизированной) системы
+
+
+





XIV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0
Разработка политики управления обновлениями программного обеспечения

+
+
+





XV. Планирование мероприятий по обеспечению безопасности (ПЛН)
ПЛН.0
Разработка политики планирования мероприятий по обеспечению защиты информации
+
+
+





XVI. Обеспечение действий в нештатных ситуациях (ДНС)
ДНС.0
Разработка политики обеспечения действий в нештатных ситуациях
+
+
+





XVII. Информирование и обучение персонала (ИПО)
ИПО.0
Разработка политики информирования и обучения персонала
+
+
+








Обозначе-ние и номер меры
Меры обеспечения безопасности значимого объекта
Категория значимости
3
2
1
I. Идентификация и аутентификация (ИАФ)
ИАФ.0
Регламентация правил и процедур идентификации и утентификации

+
+
+





II. Управление доступом (УПД)
УПД.0
Регламентация правил и процедур управления доступом
+
+
+





УПД.2
Реализация модели управления доступом
+
+
+






Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе








III. Ограничение программной среды (ОПС)
ОПС.0
Регламентация правил и процедур ограничения программной среды

+
+





IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.0
Регламентация правил и процедур защиты машинных носителей информации
+
+
+





ЗНИ.5
Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации
 +
+
+
ЗНИ.6
Контроль ввода (вывода) информации на съемные машинные носители информации


+
ЗНИ.7
Контроль подключения съемных машинных носителей информации
+
+
+





V. Аудит безопасности (АУД)
АУД.0
Регламентация правил и процедур аудита безопасности
+
+
+





АУД.9
Анализ действий отдельных пользователей


 +





АУД.11
Проведение внешних аудитов








VI. Антивирусная защита (АВЗ)
АВЗ.0
Регламентация правил и процедур антивирусной защиты
+
+
+





VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0
Регламентация правил и процедур предотвращения вторжений (компьютерных атак)

+
+





VIII. Обеспечение целостности (ОЦЛ)
ОЦЛ.0
Регламентация правил и процедур обеспечения целостности
+
+
+





IX. Обеспечение доступности (ОДТ)
ОДТ.0
Регламентация правил и процедур обеспечения доступности
+
+
+





X. Защита технических средств и систем (ЗТС)
ЗТС.0
Регламентация правил и процедур защиты технических средств и систем
+
+
+





XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.0
Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов
+
+
+





ЗИС.6
Управление сетевыми потоками
 +





ЗИС.23
Контроль использования мобильного кода



ЗИС.24
Контроль передачи речевой информации



ЗИС.25
Контроль передачи видеоинформации








ЗИС.28
Исключение возможности отрицания отправки информации



ЗИС.29
Исключение возможности отрицания получения информации








ЗИС.31
Защита от скрытых каналов передачи информации








ЗИС.35
Управление сетевыми соединениями
+
+
+





XII. Реагирование на компьютерные инциденты (ИНЦ)
ИНЦ.0
Регламентация правил и процедур реагирования на компьютерные инциденты
+
+
+





ИНЦ.6
Хранение и защита информации о компьютерных инцидентах
 +
 +
+





XIII. Управление конфигурацией (УКФ)
УКФ.0
Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
+
+
+





XIV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0
Регламентация правил и процедур управления обновлениями программного обеспечения
+
+
+





XV. Планирование мероприятий по обеспечению безопасности (ПЛН)
ПЛН.0
Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации
+
+
+





XVI. Обеспечение действий в нештатных ситуациях (ДНС)
ДНС.0
Регламентация правил и процедур обеспечения действий в нештатных ситуациях
+
+
+





XVII. Информирование и обучение персонала (ИПО)
ИПО.0
Регламентация правил и процедур информирования и обучения персонала
+
+
+







* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности