Важность данного приказа рассматривал очень давно , уж больно сильно задержалась его публикация. Дополню, что воспринимать его лучше с учетом позиции Д. Кузнецова .
Таблицу нормативных документов обновил.
name='more'>
Изменения, внесенные в Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Таблицу нормативных документов обновил.
name='more'>
Изменения, внесенные в Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:
Проект от 08.02.2018, синим удалено | Доработанный проект от 09.06.2018, красным добавлено, синим удалено, фиолетовым было добавлено и затем удалено в опубликованном приказе | Приказ ФСБ от 06.05.2019 № 196, темным было добавлено ранее, красным добавлено | |
1. | I. Общие положения 1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее – средства, если не оговорено иное). | I. Общие положения 1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее – средства ГосСОПКА). | I. Общие положения 1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства ГосСОПКА). |
2. | новый пункт 2 | 2. К средствам ГосСОПКА, на которые распространяются настоящие Требования, относятся: технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее – средства обнаружения); технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее – средства предупреждения); технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее – средства ликвидации последствий); технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее – средства ППКА); технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее – средства обмена); криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. Средства ГосСОПКА могут реализовываться одним или несколькими техническими, программными и программно-аппаратными средствами. | 2. К средствам ГосСОПКА относятся: технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее - средства обнаружения); технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее - средства предупреждения); технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий); технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - средства ППКА); технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее - средства обмена); криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. Средства ГосСОПКА реализуются одним или несколькими техническими, программными и программно-аппаратными средствами. |
3. | II. Общие требования к средствам, предназначенным для обеспечения безопасности значимых объектов КИИ 2. Средства, предназначенные для обеспечения безопасности значимых объектов КИИ, должны соответствовать требованиям: 2.1. Обеспечение выполнения следующих задач: обнаружение компьютерных атак; предупреждение компьютерных атак; ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты; поиск признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ; криптографическая защита обмена информацией необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами. 2.2. Отсутствие принудительного обновления программного обеспечения (далее – ПО) и управления с территории иностранного государства. 2.3. Отсутствие возможности несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю). 2.4. Возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями. 2.5. Обеспечение гарантийной и технической поддержкой российскими организациями без участия иностранных организаций и организаций с иностранными инвестициями. 2.6. Отсутствие недекларированных возможностей в ПО. 2.7. Наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети «Интернет». | II. Общие требования к средствам ГосСОПКА 3. Средства ГосСОПКА должны соответствовать требованиям: 3.1. Отсутствие возможности принудительного обновления или удаленного управления средствами ГосСОПКА со стороны лиц, не являющихся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации. 3.2. Отсутствие возможности бесконтрольной передачи обрабатываемой информации лицам, не являющимся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, в том числе разработчикам (производителям, правообладателям) средств ГосСОПКА и лицам, осуществляющим техническую поддержку, ремонт, гарантийное и техническое обслуживание средств ГосСОПКА. 3.3. Возможность осуществления модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.4. Обеспечение гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.5. Исключение нарушений функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления объектов КИИ (отсутствие влияния на достижение целей и функционирование объектов КИИ). 3.6. Реализация функций собственной безопасности в соответствии с разделом VIII настоящих Требований. | II. Требования к средствам ГосСОПКА 3. Средства ГосСОПКА должны соответствовать следующим требованиям: 3.1. В средствах ГосСОПКА должна быть исключена возможность удаленного управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации. 3.2. В средствах ГосСОПКА должна быть исключена возможность несанкционированной передачи обрабатываемой информации лицам, не являющимся работниками субъекта критической информационной инфраструктуры и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации. 3.3. Средства ГосСОПКА должны иметь возможность модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.4. Средства ГосСОПКА должны быть обеспечены гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.5. Работа средств ГосСОПКА не должна приводить к нарушениям функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее - информационные ресурсы) (должно быть исключено влияние на достижение целей и функционирование объектов критической информационной инфраструктуры). 3.6. В средствах ГосСОПКА должны быть реализованы функции безопасности в соответствии с главой VIII настоящих Требований. |
3. В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции: собственной безопасности; визуализации информации; построения сводных отчетов; хранения информации. | пункт 3 исключен | пункт 3 исключен | |
4. | III. Требования к средствам в части обнаружения компьютерных атак 4. Средства в части обнаружения компьютерных атак должны обладать следующими функциональными возможностями: сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее – события ИБ); автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак); ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов. | III. Требования к средствам обнаружения 4. Средства обнаружения должны обладать следующими функциональными возможностями: сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее – события ИБ); автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак); ретроспективный анализ событий ИБ и выявление не обнаруженных ранее компьютерных инцидентов. | III. Требования к средствам обнаружения 4. Средства обнаружения должны обладать следующими функциями: сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов средств предотвращения утечек данных, антивирусного программного обеспечения, телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания, а также иных средств и систем защиты информации и систем мониторинга, эксплуатируемых субъектом критической информационной инфраструктуры (далее - источники событий ИБ); автоматический анализ событий ИБ и выявление компьютерных инцидентов; повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов. |
5. | 5. При осуществлении сбора и первичной обработки событий ИБ средства должны обеспечивать: удаленный и локальный сбор событий ИБ; сбор событий ИБ в непрерывном режиме функционирования, в случае потери связи – сразу после ее восстановления, а также по расписанию; обработку поступающих событий ИБ и сохранение результатов их обработки; сохранение информации о событиях ИБ, в том числе в исходном виде; синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов); сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ; встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ. | 5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать: удаленный или локальный сбор событий ИБ; сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи – сразу после ее восстановления; обработку поступающих событий ИБ и сохранение результатов их обработки; сохранение информации о событиях ИБ, в том числе в исходном виде; синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов); сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ; встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ. | 5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать: удаленный и (или) локальный сбор событий ИБ; сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи с источниками событий ИБ - сразу после ее восстановления; обработку поступающих событий ИБ и сохранение результатов их обработки; сохранение информации о событиях ИБ, в том числе в исходном виде; абзац исключен сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ; встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ. |
6. | 6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства должны обеспечивать: отбор и фильтрацию событий ИБ; корреляцию и агрегацию событий ИБ; выявление компьютерных инцидентов, регистрацию способов их обнаружения; возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ; возможность корреляции для последовательности событий ИБ; возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил; автоматическое назначение приоритетов событиям ИБ на основании заданной критичности. | 6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства обнаружения должны обеспечивать: отбор и фильтрацию событий ИБ; корреляцию и агрегацию событий ИБ; выявление компьютерных инцидентов, регистрацию способов их обнаружения; возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ; возможность корреляции для последовательности событий ИБ; возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил; автоматическое назначение приоритетов событиям ИБ на основании заданной критичности. | 6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать: отбор и фильтрацию событий ИБ; выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация); выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения; возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ; возможность корреляции для последовательности событий ИБ; возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил; автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей. |
7. | 7. При осуществлении ретроспективного анализа данных и выявления не обнаруженных ранее компьютерных инцидентов средства должны обеспечивать: выявление связей и зависимостей между полученными раннее данными (событиями ИБ, компьютерными инцидентами, информацией об уязвимостях и недостатках в настройке, справочной информацией и другими данными) и анализируемыми в данный момент времени событиями ИБ; возможность настройки параметров проводимого анализа; проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения. | 7. При осуществлении ретроспективного анализа событий ИБ и выявления не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать: выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новой или измененной справочной информацией; выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новыми или измененными правилами выявления инцидентов; выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) состояниями защищенности (конфигурационные сведения, сведения об уязвимостях и т. п.); возможность настройки параметров проводимого анализа; проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения; глубину ретроспективного анализа событий ИБ не менее шести месяцев. | 7. При осуществлении повторного анализа ранее зарегистрированных событий ИБ и выявления на основе такого анализа не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать: выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и вновь появившейся любой дополнительной информацией, позволяющей идентифицировать контролируемые информационные ресурсы (далее - справочная информация); выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и новыми или измененными методами (способами) выявления компьютерных инцидентов; выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) о состоянии защищенности; возможность настройки параметров проводимого анализа; проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых методов (способов) выявления компьютерных инцидентов; хранение агрегированных событий ИБ не менее шести месяцев. |
8. | IV. Требования к средствам в части предупреждения компьютерных атак 8. Средства в части предупреждения компьютерных атак должны обладать следующими функциональными возможностями: сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации; сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов; учет угроз безопасности информации. | IV. Требования к средствам предупреждения 8. Средства предупреждения должны обладать следующими функциональными возможностями: сбор и обработка сведений об инфраструктуре контролируемых информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее – информационные ресурсы) и справочной информации; сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее – ПО), используемого в контролируемых информационных ресурсах; новый абзац учет угроз безопасности информации. | IV. Требования к средствам предупреждения 8. Средства предупреждения должны обладать следующими функциями: сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации; сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее - ПО), используемого в контролируемых информационных ресурсах; формирование рекомендаций по минимизации угроз безопасности информации; учет угроз безопасности информации. |
9. | 9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать: 9.1. Сбор и обработку конфигурационной информации: об объектах, функционирующих в составе контролируемых информационных ресурсов; о сетевых моделях контролируемых информационных ресурсов; о контролируемых информационных ресурсах; об источниках событий ИБ, используемых в составе контролируемых информационных ресурсов; о телекоммуникационном оборудовании, используемом в контролируемых информационных ресурсах. 9.2. Сбор и обработку справочной информации: о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов; о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов; о местоположении и географической принадлежности IP-адресов; об известных уязвимостях; о правилах обнаружения компьютерных атак (сведения о сигнатурах); о бот-сетях, включая сведения об их управляющих серверах. 9.3. Возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации. 9.4. Возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации. | 9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать: 9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию: об объектах; о сетевых моделях; об источниках событий ИБ; о телекоммуникационном оборудовании. 9.2. Сбор и обработку справочной информации: о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов; о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов; о местоположении и географической принадлежности IP-адресов; об известных уязвимостях; о бот-сетях, включая сведения об их управляющих серверах. пункт 9.3. исключен 9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации. | 9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать: 9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию: об архитектуре и объектах контролируемых информационных ресурсов (сетевые адреса и имена, наименования и версии используемого ПО); о выполняющихся на объектах контролируемых информационных ресурсов сетевых службах; об источниках событий ИБ. абзац исключен 9.2. Сбор и обработку справочной информации: о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен; о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен; о местоположении и географической принадлежности сетевых адресов; об известных уязвимостях используемого ПО; о компьютерных сетях, состоящих из управляемых с использованием вредоносного ПО средств вычислительной техники, включая сведения об их управляющих серверах. 9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации. |
10. | 10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов средства должны обеспечивать: сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов; сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты); формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса); формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса); возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ). | 10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах, средства предупреждения должны обеспечивать: сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов; сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты и другое); формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса); формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса); возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ). | 10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах, средства предупреждения должны обеспечивать: сбор данных о дате и времени проведения исследования контролируемых информационных ресурсов; абзац исключен абзац исключен формирование перечня выявленных уязвимостей и недостатков в настройке используемого ПО (для каждого объекта контролируемого информационного ресурса); возможность статистической и аналитической обработки полученной информации. |
11. | новый пункт 11 | новый пункт 11 | 11. Формируемые рекомендации по минимизации угроз безопасности информации должны содержать перечень мер, направленных на устранение уязвимостей и недостатков в настройке ПО, используемого в контролируемых информационных ресурсах. |
12. | 11. При осуществлении учета угроз безопасности информации средства должны обеспечивать: создание и изменение формализованной записи об угрозе безопасности информации в ручном режиме; создание формализованной записи об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами; создание формализованной записи об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с НКЦКИ; автоматизированный обмен информацией об угрозах безопасности информации с НКЦКИ; создание и изменение инструкций по обработке угроз безопасности информации; построение рабочих процессов обработки сообщений об угрозах безопасности информации и запросов от НКЦКИ. | 11. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать: создание и изменение записи, содержащей уведомление об угрозе безопасности информации; создание записи, содержащей уведомление об угрозе безопасности информации, в автоматизированном режиме путем обмена информацией с НКЦКИ и иными системами учета угроз безопасности информации; создание и изменение типовых сценариев реагирования на компьютерные инциденты, связанные с угрозами безопасности информации, включающих в себя рекомендованный порядок принятия решений, очередность выполняемых действий и способы организации совместных действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерных атак; создание и изменение типовых сценариев обработки запросов, поступающих из НКЦКИ. | 12. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать: создание и изменение записи, содержащей уведомление об угрозе безопасности информации в форматах, обрабатываемых технической инфраструктурой Национального координационного центра по компьютерным инцидентам (далее - НКЦКИ), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными; абзац исключен создание и изменение инструкций по реагированию на компьютерные инциденты, связанные с угрозами безопасности информации, включающих порядок принятия решений, очередность выполняемых действий и способы организации совместных действий участвующих в мероприятиях по реагированию на компьютерные инциденты и ликвидации последствий компьютерных атак работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации; создание и изменение инструкций по обработке запросов и уведомлений, поступающих из НКЦКИ. |
13. | V. Требования к средствам в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты 12. Средства в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты должны обладать следующими функциональными возможностями: учет и обработка компьютерных инцидентов; управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак; обеспечение взаимодействия с НКЦКИ; информационно-аналитическое сопровождение. | V. Требования к средствам ликвидации последствий 12. Средства ликвидации последствий должны обладать следующими функциональными возможностями: учет и обработка компьютерных инцидентов; управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак; осуществление взаимодействия с НКЦКИ; информационно-аналитическое сопровождение. | V. Требования к средствам ликвидации последствий 13. Средства ликвидации последствий должны обладать следующими функциями: учет и обработка компьютерных инцидентов; управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак; взаимодействие с НКЦКИ посредством использования технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными; информационно-аналитическое сопровождение пользователей. |
14. | 13. При осуществлении учета и обработки компьютерных инцидентов средства должны обеспечивать: создание и изменение типов карточек компьютерных инцидентов, определение состава полей этих карточек и требований к заполнению полей; определение статусной модели компьютерных инцидентов в зависимости от типа инцидента; назначение категорий и приоритетов компьютерных инцидентов по заданным критериям; создание и изменение соглашений об уровне услуг по обработке компьютерных инцидентов; создание и изменение правил по обработке компьютерных инцидентов; управление доступом к данным о компьютерном инциденте; создание формализованной карточки компьютерного инцидента в ручном режиме; создание формализованной карточки компьютерного инцидента в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами и НКЦКИ; создание формализованной карточки компьютерного инцидента из поступившего формализованного сообщения об угрозе безопасности информации; учет формализованных карточек компьютерных инцидентов; фильтрацию, сортировку и поиск хранимых карточек компьютерных инцидентов и сведений об инцидентах; агрегирование записей о компьютерных инцидентах по заданным критериям; регистрацию действий администраторов как по настройке средств, так и по процессу работы со сведениями о компьютерных инцидентах; отслеживание времени внесения и сроков хранения данных, а также источников этих данных; создание и изменение правил по обработке компьютерных инцидентов и ликвидации последствий компьютерных атак. | 13. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать: создание и изменение формализованных описаний (далее – карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента; автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся индикаторы компрометации для контролируемых информационных ресурсов; запись о текущей стадии процесса реагирования на компьютерные инциденты (например, стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора свидетельств для расследования компьютерного инцидента и т. п.) в зависимости от типа компьютерного инцидента; запись о присвоении категорий опасности и (или) приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов; регистрацию и учет карточек компьютерных инцидентов; фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значению полей карточек; объединение карточек однотипных компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек. | 14. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать: создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента; автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов; запись о текущей стадии процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора сведений для расследования компьютерного инцидента) в зависимости от типа компьютерного инцидента; запись о присвоении категорий опасности и (или) определение приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов; регистрацию и учет карточек компьютерных инцидентов; фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значениям полей карточек; объединение карточек компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек. |
15. | 14. При осуществлении управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства должны обеспечивать: обогащение данных компьютерного инцидента данными из внешних систем и предоставление контекста компьютерного инцидента, включая сведения о программных и конфигурационных уязвимостях, которые содержатся в реквизитах компьютерного инцидента; применение типовых сценариев реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак, а также задание правил их применимости на основании сведений об инциденте; создание задач для внешних систем и сервисов с возможностью экспорта, импорта и отслеживания статуса этих задач посредством интерфейса прикладного программирования; уведомление о регистрации новых компьютерных инцидентов, завершении длительных задач, а также об изменении их состояния; поддержку принятия управленческого решения при реагировании на угрозу безопасности информации или компьютерный инцидент; поддержку координации действий сил и использования средств реагирования на компьютерный инцидент; контроль соглашений об уровне услуг по обработке компьютерных инцидентов и контроль устранения компьютерных инцидентов. | 14. Для обеспечения управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать: возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента и т. п.; возможность назначения для карточки компьютерного инцидента шаблонного или специализированного сценария реагирования на компьютерный инцидент и ликвидации последствий компьютерных атак, а также задания правил их применимости на основании сведений о компьютерном инциденте; формирование электронных сообщений для организации взаимодействия и координации действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки. | 15. Для обеспечения управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать: возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента; возможность назначения для карточки компьютерного инцидента инструкций по реагированию на компьютерный инцидент, а также задания правил их применимости на основании сведений о компьютерном инциденте; формирование электронных сообщений для организации взаимодействия и координации действий работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки. |
16. | 15. При осуществлении взаимодействия с НКЦКИ средства должны обеспечивать: автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; учет формализованных карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ; оперативную коммуникацию со специалистами НКЦКИ. | 15. При осуществлении взаимодействия с НКЦКИ средства ликвидации последствий должны обеспечивать: автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; учет карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ. | 16. При взаимодействии с НКЦКИ средства ликвидации последствий должны обеспечивать: автоматизированный обмен информацией, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, указанной в пункте 5 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденного приказом ФСБ России от 24 июля 2018 г. № 367; учет карточек компьютерных инцидентов в соответствии с идентификацией НКЦКИ. |
17. | 16. При осуществлении информационно-аналитического сопровождения средства должны обеспечивать: интерактивное формирование выборок данных, основанных на комбинациях атрибутов и объектов из карточек компьютерных инцидентов, сообщений об угрозах безопасности информации и выходящих за рамки стандартных отчетов; реализацию расчетов прогнозных значений анализируемых показателей на основе ретроспективных данных из карточек компьютерных инцидентов и сообщений об угрозах безопасности информации. | 16. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать интерактивное формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации. | 17. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации. |
18. | VI. Требования к средствам поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ 17. Средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ должны обеспечивать: контроль изменений параметров настроек телекоммуникационного оборудования сети электросвязи; контроль изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи; обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием; обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также сбора, накопления и статистической обработки результатов такого обнаружения; хранение копий трафика внутреннего сетевого взаимодействия сетей электросвязи субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы промышленного назначения; анализ и выгрузку фрагментов копий трафика внутреннего сетевого взаимодействия субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы с закрытыми спецификациями; возможность определять векторы распределенных во времени компьютерных атак и соотносить их с элементами как сетевой инфраструктуры, так и технологического процесса объекта КИИ; возможность извлечения передаваемых файлов заданного типа из сетевого трафика; сигнализацию и уведомление о фактах обнаружения признаков компьютерных атак; сигнализацию и уведомление о нарушениях штатного режима функционирования средств; наличие интерфейса (интерфейсов) передачи данных о сетевом трафике, в котором обнаружены признаки компьютерных атак, а также результатов сбора, накопления и статистической обработки такой информации. | VI. Требования к средствам ППКА 17. Средства ППКА должны обладать следующими функциональными возможностями: обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения; обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием; обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи; обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи; хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев; анализ и выгрузка фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием; сигнализация и уведомление о фактах обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием; сигнализация и уведомление о нарушениях штатного режима функционирования средств ППКА; наличие интерфейса(ов) (порта(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации; возможность формирования обобщенных сведений, представляемых в НКЦКИ. | VI. Требования к средствам ППКА 18. Средства ППКА должны обладать следующими функциями: обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения; обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием; обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи; обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи; хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев; анализ и экспорт фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием; уведомление о фактах обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием; уведомление о фактах нарушения режимов функционирования средств ППКА; наличие интерфейса(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации; возможность формирования информации, предусмотренной пунктом 5 Перечня, указанного в пункте 16 настоящих Требований. |
19. | VII. Требования к средствам криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак новый пункт 18 | VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак 18. Средства обмена должны обеспечивать гарантированную передачу и гарантированный прием информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. | VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак 19. Средства обмена должны обеспечивать передачу, прием и целостность при передаче и приеме информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. |
20. | 18. Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации. | 19. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации. | 20. Криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств криптографической защиты информации. |
21. | VIII. Требования к средствам в части реализации функций собственной безопасности 19. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации функций собственной безопасности должны обеспечивать: идентификацию и аутентификацию администраторов; разграничение прав доступа к информации и уровней доступа к функциям; регистрацию событий ИБ; обновление программных компонентов и служебных баз данных; самотестирование и контроль целостности ПО; резервирование и восстановление средств. 19.1. При осуществлении идентификации и аутентификации администраторов средства должны обеспечивать: однозначную идентификацию администраторов; аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации; хранение паролей в закрытом виде; автоматическое информирование о необходимости смены паролей. 19.2. При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства должны обеспечивать: разграничение доступа на основе политик безопасности; возможность блокирования и повторной активации учетных записей; поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли; блокирование доступа при превышении значения максимального периода отсутствия активности; сигнализацию о несанкционированных попытках доступа к управлению средствами; журналирование всех действий администраторов с момента авторизации. 19.3. При осуществлении регистрации событий ИБ средства должны обеспечивать: возможность определения перечня событий ИБ, подлежащих регистрации, и сроков хранения соответствующих записей в журналах регистрации; возможность регистрации как минимум следующих связанных с функционированием средств сведений: идентификатора администратора, времени входа и выхода, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств, интерфейса (порта) подключения, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств; ведение электронных журналов учета технического состояния, содержащего следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках работы оборудования с их классификацией, информация о загрузке и инициализации программно-аппаратных средств и их останова; защиту электронных журналов регистрации от стирания и редактирования; автоматическое извещение о заполнении электронного журнала регистрации с возможностью его сохранения на внешнем носителе; ведение электронных журналов регистрации с привязкой к единому источнику времени. 19.4. При осуществлении обновления программных компонентов и служебных баз данных средства должны обеспечивать: обновление без потери информации, необходимой для функционирования средств; обновление только администраторами; возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления). 19.6. При осуществлении резервирования и восстановления средства должны обеспечивать: возможность создания резервной копии конфигурационных данных на внешнем носителе; возможность создания резервной копии ПО на внешнем носителе; возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования. 19.5. При осуществлении самотестирования и контроля целостности ПО средства должны обеспечивать: контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора; возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном журнале регистрации. | VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности 20. Средства ГосСОПКА в части реализации функции собственной безопасности должны обладать следующими функциональными возможностями: идентификация и аутентификация администраторов; разграничение прав доступа к информации и уровней доступа к функциям; регистрация событий ИБ; обновление программных компонентов и служебных баз данных; резервирование и восстановление; синхронизация от единого источника времени; самотестирование и контроль целостности ПО (только для средств ППКА). 20.1. При осуществлении идентификации и аутентификации администраторов средства ГосСОПКА должны обеспечивать: аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации; хранение паролей в закрытом виде; автоматическое информирование о необходимости смены паролей. 20.2. При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства ГосСОПКА должны обеспечивать: разграничение прав доступа на основе политик безопасности; возможность блокирования и повторной активации учетных записей; поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли; блокирование сессии доступа при превышении значения максимального периода отсутствия активности; уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА; журналирование всех действий администраторов с момента авторизации. 20.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать: возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных регистрационных журналах с возможностью корректировки сроков; возможность регистрации как минимум следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора администратора, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА; ведение электронных регистрационных журналов учета технического состояния, содержащих следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановки (только для средств ППКА); защиту электронных регистрационных журналов от стирания и редактирования (только для средств ППКА); автоматическое извещение о заполнении электронного регистрационного журнала с возможностью его сохранения на внешнем носителе информации (только для средств ППКА). 20.4. При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать: обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ; обновление только администраторами; возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления). 20.5. При осуществлении резервирования и восстановления средства ГосСОПКА должны обеспечивать: возможность создания резервной копии конфигурационных данных на внешнем носителе; возможность создания резервной копии ПО на внешнем носителе; возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА). 20.6. При осуществлении самотестирования и контроля целостности ПО средства ППКА должны обеспечивать: контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора; возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном регистрационном журнале. | VIII. Требования к средствам ГосСОПКА в части реализации функций безопасности 21. Средства ГосСОПКА в части реализации функций безопасности должны обеспечивать: идентификацию и аутентификацию пользователей; разграничение прав доступа к информации и функциям; регистрацию событий ИБ; обновление программных компонентов и служебных баз данных; резервирование и восстановление своей работоспособности; синхронизацию системного времени и корректировку временных значений (корректировку настроек часовых поясов); контроль целостности ПО. 21.1. При осуществлении идентификации и аутентификации пользователей средства ГосСОПКА должны обеспечивать: аутентификацию пользователей с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации; хранение паролей в зашифрованном виде; автоматическое информирование о необходимости смены паролей. 21.2. При осуществлении разграничения прав доступа к информации и функциям средства ГосСОПКА должны обеспечивать: абзац исключен поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки прав доступа для каждой роли; возможность блокирования и повторной активации учетных записей; блокирование сессии доступа при превышении задаваемого значения временного периода отсутствия активности; уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА; запись всех действий пользователей с момента авторизации в электронный журнал. 21.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать: возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных журналах с возможностью корректировки сроков; возможность регистрации следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора пользователя, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА; ведение электронных журналов учета технического состояния, содержащих следующие поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановке (только для средств ППКА); защиту электронных журналов от редактирования и удаления содержащейся в них информации (только для средств ППКА); автоматическое уведомление о заполнении электронного журнала и возможность его сохранения на внешнем носителе информации (только для средств ППКА). 21.4. При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать: обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ; обновление только пользователями, ответственными за управление (администрирование) средств ГосСОПКА; восстановление работоспособности в случае сбоя процесса обновления (в том числе осуществление предварительного резервного копирования и последующее восстановление). 21.5. При осуществлении резервирования и восстановления своей работоспособности средства ГосСОПКА должны обеспечивать: возможность создания резервной копии конфигурационных данных на внешнем носителе; возможность создания резервной копии ПО на внешнем носителе; возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА). 21.6. При осуществлении контроля целостности ПО средства ГосСОПКА должны обеспечивать: проверку целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде пользователя, ответственного за управление (администрирование) средством ГосСОПКА; возможность штатного самотестирования ПО в процессе функционирования; регистрацию в электронном журнале результатов проведения контроля целостности ПО. |
22. | IX. Требования к средствам в части реализации визуализации, построения сводных отчетов и хранения информации 20. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации визуализации, построения сводных отчетов и хранения информации должны обеспечивать: 20.1. Представление сведений: о событиях ИБ; об обнаруженных компьютерных инцидентах; об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов; об инфраструктуре контролируемых информационных ресурсов в виде схем; в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации; хранящихся в базе данных; справочной и другой необходимой информации. 20.2. Построение сводных отчетов путем реализации следующих возможностей: построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных; выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах; экспорт отчетов; автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса. 20.3. Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде. | IX. Дополнительные требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий 21. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий дополнительно предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации. Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать: 21.1. Визуализацию сведений: о событиях ИБ; об обнаруженных компьютерных инцидентах; об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов; об инфраструктуре контролируемых информационных ресурсов в виде схем; в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации; хранящихся в базе данных; справочной и другой необходимой информации. 21.2. Построение сводных отчетов путем реализации следующих возможностей: построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных; выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах; экспорт отчетов; автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса. 21.3. Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде. | IX. Требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий в части реализации визуализации, построения сводных отчетов и хранения информации 22. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации. Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать: 22.1. Визуализацию в виде таблиц (списков, схем, графиков, диаграмм) сведений: о событиях ИБ; об обнаруженных компьютерных инцидентах; об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах; об инфраструктуре контролируемых информационных ресурсов; абзац исключен хранящихся в базе данных; содержащих справочную и другую необходимую информацию. 22.2. Построение сводных отчетов путем реализации следующих функций: создание таблиц (списков, схем, графиков, диаграмм), а также их визуализация на основе полученных данных; выбор параметров, по которым строятся таблицы (списки, схемы, графики, диаграммы) в отчетах; экспорт отчетов; автоматическое формирование отчетов по расписанию, а также их автоматическое направление назначаемым адресатам. 22.3. Хранение загружаемой информации в течение установленного периода времени и постоянный доступ к ней, а также возможность экспорта хранящейся информации, в том числе в исходном виде. |
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.