Приказ ФСБ от 06.05.2019 № 196

Приказ ФСБ от 06.05.2019 № 196
  Важность данного приказа рассматривал очень давно , уж больно сильно задержалась его публикация. Дополню, что воспринимать его лучше с учетом позиции Д. Кузнецова .
Таблицу  нормативных документов обновил.
name='more'>
Изменения, внесенные в Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:


Проект от 08.02.2018,
синим удалено
Доработанный проект от 09.06.2018,
красным добавлено, синим удалено, фиолетовым было добавлено и затем удалено в опубликованном приказе
Приказ ФСБ от 06.05.2019 № 196,
темным было добавлено ранее,
красным добавлено
1.       
I. Общие положения

1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее – средства, если не оговорено иное).

I. Общие положения

1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее – средства ГосСОПКА).
I.   Общие положения

1.   Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства ГосСОПКА).
2.       
новый пункт 2
2. К средствам ГосСОПКА, на которые распространяются настоящие Требования, относятся:

технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее – средства обнаружения);

технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее – средства предупреждения);

технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее – средства ликвидации последствий);

технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее – средства ППКА);


технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее – средства обмена);


криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.


Средства ГосСОПКА могут реализовываться одним или несколькими техническими, программными и программно-аппаратными средствами.
2. К средствам ГосСОПКА относятся:



технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее - средства обнаружения);

технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее - средства предупреждения);

технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий);

технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - средства ППКА);

технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее - средства обмена);

криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.

Средства ГосСОПКА реализуются
одним или несколькими техническими, программными и программно-аппаратными средствами.
3.       
II. Общие требования к средствам, предназначенным для обеспечения безопасности значимых объектов КИИ

2. Средства, предназначенные для обеспечения безопасности значимых объектов КИИ, должны соответствовать требованиям:

2.1. Обеспечение выполнения следующих задач:
обнаружение компьютерных атак;
предупреждение компьютерных атак;
ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
поиск признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ;
криптографическая защита обмена информацией необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами.

2.2. Отсутствие принудительного обновления программного обеспечения (далее – ПО) и управления с территории иностранного государства.








2.3. Отсутствие возможности несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю).










2.4. Возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями.


2.5. Обеспечение гарантийной и технической поддержкой российскими организациями без участия иностранных организаций и организаций с иностранными инвестициями.



2.6. Отсутствие недекларированных возможностей в ПО.

2.7. Наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети «Интернет».
II. Общие требования к средствам ГосСОПКА


3. Средства ГосСОПКА должны соответствовать требованиям:



















3.1. Отсутствие возможности принудительного обновления или удаленного управления средствами ГосСОПКА со стороны лиц, не являющихся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации.


3.2. Отсутствие возможности бесконтрольной передачи обрабатываемой информации лицам, не являющимся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, в том числе разработчикам (производителям, правообладателям) средств ГосСОПКА и лицам, осуществляющим техническую поддержку, ремонт, гарантийное и техническое обслуживание средств ГосСОПКА.

3.3. Возможность осуществления модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

3.4. Обеспечение гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.


3.5. Исключение нарушений функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления объектов КИИ (отсутствие влияния на достижение целей и функционирование объектов КИИ).







3.6. Реализация функций собственной безопасности в соответствии с разделом VIII настоящих Требований.
II. Требования к средствам ГосСОПКА



3. Средства ГосСОПКА должны соответствовать следующим требованиям:



















3.1. В средствах ГосСОПКА должна быть исключена возможность удаленного управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации.

3.2. В средствах ГосСОПКА должна быть исключена возможность несанкционированной передачи обрабатываемой информации лицам, не являющимся работниками субъекта критической информационной инфраструктуры и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации.


3.3. Средства ГосСОПКА должны иметь возможность модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

3.4. Средства ГосСОПКА должны быть обеспечены гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

3.5. Работа средств ГосСОПКА не должна приводить к нарушениям функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее - информационные ресурсы) (должно быть исключено влияние на достижение целей и функционирование объектов критической информационной инфраструктуры).

3.6. В средствах ГосСОПКА должны быть реализованы функции безопасности в соответствии с главой VIII настоящих Требований.

3. В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции:
собственной безопасности;
визуализации информации;
построения сводных отчетов;
хранения информации.
пункт 3 исключен
пункт 3 исключен
4.       
III. Требования к средствам в части обнаружения компьютерных атак

4. Средства в части обнаружения компьютерных атак должны обладать следующими функциональными возможностями:

сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее – события ИБ);
















автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);

ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов.
III. Требования к средствам обнаружения


4. Средства обнаружения должны обладать следующими функциональными возможностями:


сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее – события ИБ);
















автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);

ретроспективный анализ событий ИБ и выявление не обнаруженных ранее компьютерных инцидентов.
III. Требования к средствам обнаружения


4. Средства обнаружения должны обладать следующими функциями:


сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов средств предотвращения утечек данных, антивирусного программного обеспечения, телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания, а также иных средств и систем защиты информации и систем мониторинга, эксплуатируемых субъектом критической информационной инфраструктуры (далее - источники событий ИБ);

автоматический анализ событий ИБ и выявление компьютерных инцидентов;


повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.
5.       
5. При осуществлении сбора и первичной обработки событий ИБ средства должны обеспечивать:

удаленный и локальный сбор событий ИБ;


сбор событий ИБ в непрерывном режиме функционирования, в случае потери связи – сразу после ее восстановления, а также по расписанию;

обработку поступающих событий ИБ и сохранение результатов их обработки;

сохранение информации о событиях ИБ, в том числе в исходном виде;

синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов);

сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;

встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.
5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать:

удаленный или локальный сбор событий ИБ;


сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи – сразу после ее восстановления;

обработку поступающих событий ИБ и сохранение результатов их обработки;

сохранение информации о событиях ИБ, в том числе в исходном виде;

синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов);

сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;

встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.
5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать:

удаленный и (или) локальный сбор событий ИБ;

сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи с источниками событий ИБ - сразу после ее восстановления;

обработку поступающих событий ИБ и сохранение результатов их обработки;

сохранение информации о событиях ИБ, в том числе в исходном виде;

абзац исключен




сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;

встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.
6.       
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства должны обеспечивать:

отбор и фильтрацию событий ИБ;

корреляцию и агрегацию событий ИБ;







выявление компьютерных инцидентов, регистрацию способов их обнаружения;


возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;

возможность корреляции для последовательности событий ИБ;

возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;

автоматическое назначение приоритетов событиям ИБ на основании заданной критичности.
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства обнаружения должны обеспечивать:

отбор и фильтрацию событий ИБ;

корреляцию и агрегацию событий ИБ;







выявление компьютерных инцидентов, регистрацию способов их обнаружения;


возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;

возможность корреляции для последовательности событий ИБ;

возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;

автоматическое назначение приоритетов событиям ИБ на основании заданной критичности.
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать:

отбор и фильтрацию событий ИБ;

выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);

выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;

возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;

возможность корреляции для последовательности событий ИБ;

возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;

автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей.
7.       
7.   При осуществлении ретроспективного анализа данных и выявления не
обнаруженных ранее компьютерных инцидентов средства должны обеспечивать:



выявление связей и зависимостей между полученными раннее данными (событиями ИБ, компьютерными инцидентами, информацией об уязвимостях и недостатках в настройке, справочной информацией и другими данными) и анализируемыми в данный момент времени событиями ИБ;














возможность настройки параметров проводимого анализа;

проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения.
7.   При осуществлении ретроспективного анализа событий ИБ и выявления не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать:



выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новой или измененной справочной информацией;




выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новыми или измененными правилами выявления инцидентов;


выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) состояниями защищенности (конфигурационные сведения, сведения об уязвимостях и т. п.);

возможность настройки параметров проводимого анализа;

проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения;


глубину ретроспективного анализа событий ИБ не менее шести месяцев.
7. При осуществлении повторного анализа ранее зарегистрированных событий ИБ и выявления на основе такого анализа не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать:

выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и вновь появившейся любой дополнительной информацией, позволяющей идентифицировать контролируемые информационные ресурсы (далее - справочная информация);

выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и новыми или измененными методами (способами) выявления компьютерных инцидентов;

выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) о состоянии защищенности;


возможность настройки параметров проводимого анализа;

проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых методов (способов) выявления компьютерных инцидентов;

хранение агрегированных событий ИБ не менее шести месяцев.
8.       
IV. Требования к средствам в части предупреждения компьютерных атак

8. Средства в части предупреждения компьютерных атак должны обладать следующими функциональными возможностями:

сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;








сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов;




учет угроз безопасности информации.
IV. Требования к средствам предупреждения

8. Средства предупреждения должны обладать следующими функциональными возможностями:

сбор и обработка сведений об инфраструктуре контролируемых информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее – информационные ресурсы) и справочной информации;

сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее – ПО), используемого в контролируемых информационных ресурсах;

новый абзац


учет угроз безопасности информации.
IV. Требования к средствам предупреждения

8. Средства предупреждения должны обладать следующими функциями:


сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;








сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее - ПО), используемого в контролируемых информационных ресурсах;

формирование рекомендаций по минимизации угроз безопасности информации;

учет угроз безопасности информации.
9.       
9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать:


9.1.  Сбор и обработку конфигурационной информации:



об объектах, функционирующих в составе контролируемых информационных ресурсов;



о сетевых моделях контролируемых информационных ресурсов;

о контролируемых информационных ресурсах;

об источниках событий ИБ, используемых в составе контролируемых информационных ресурсов;

о телекоммуникационном оборудовании, используемом в контролируемых информационных ресурсах.

9.2.  Сбор и обработку справочной информации:

о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов;


о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов;


о местоположении и географической принадлежности IP-адресов;

об известных уязвимостях;

о правилах обнаружения компьютерных атак (сведения о сигнатурах);

о бот-сетях, включая сведения об их управляющих серверах.


9.3.  Возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации.

9.4.  Возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации.
9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать:

9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию:

об объектах;




о сетевых моделях;





об источниках событий ИБ;



о телекоммуникационном оборудовании.



9.2. Сбор и обработку справочной информации:

о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов;


о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов;


о местоположении и географической принадлежности IP-адресов;

об известных уязвимостях;




о бот-сетях, включая сведения об их управляющих серверах.


пункт 9.3. исключен




9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации.
9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать:

9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию:

об архитектуре и объектах контролируемых информационных ресурсов (сетевые адреса и имена, наименования и версии используемого ПО);

о выполняющихся на объектах контролируемых информационных ресурсов сетевых службах;



об источниках событий ИБ.



абзац исключен



9.2. Сбор и обработку справочной информации:

о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;

о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;

о местоположении и географической принадлежности сетевых адресов;

об известных уязвимостях используемого ПО;



о компьютерных сетях, состоящих из управляемых с использованием вредоносного ПО средств вычислительной техники, включая сведения об их управляющих серверах.





9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации.
10.   
10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов средства должны обеспечивать:


сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов;

сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты);

формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса);

формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса);

возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).
10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в
контролируемых информационных ресурсах, средства предупреждения должны обеспечивать:


сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов;

сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты и другое);

формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса);

формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса);

возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).
10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в
контролируемых информационных ресурсах, средства предупреждения должны обеспечивать:

сбор данных о дате и времени
проведения исследования контролируемых информационных ресурсов;

абзац исключен






абзац исключен



формирование перечня выявленных уязвимостей и недостатков в настройке используемого ПО (для каждого объекта контролируемого информационного ресурса);

возможность статистической и аналитической обработки полученной информации.
11.   
новый пункт 11
новый пункт 11
11. Формируемые рекомендации по минимизации угроз безопасности информации должны содержать перечень мер, направленных на устранение уязвимостей и недостатков в настройке ПО, используемого в контролируемых информационных ресурсах.
12.   
11.  При осуществлении учета угроз безопасности информации средства должны обеспечивать:

создание и изменение формализованной записи об угрозе безопасности информации в ручном режиме;













создание формализованной записи
об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами;
создание формализованной записи об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с НКЦКИ;

автоматизированный обмен информацией об угрозах безопасности информации с НКЦКИ;

создание и изменение инструкций по обработке угроз безопасности информации;

построение рабочих процессов обработки сообщений об угрозах безопасности информации и запросов от НКЦКИ.
11. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать:

создание и изменение записи, содержащей уведомление об угрозе безопасности информации;













создание записи, содержащей уведомление об угрозе безопасности информации, в автоматизированном режиме путем обмена информацией с НКЦКИ и иными системами учета угроз безопасности информации;





создание и изменение типовых сценариев реагирования на компьютерные инциденты, связанные с угрозами безопасности информации, включающих в себя рекомендованный порядок принятия решений, очередность выполняемых действий и способы организации совместных действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерных атак;




создание и изменение типовых сценариев обработки запросов, поступающих из НКЦКИ.
12. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать:

создание и изменение записи, содержащей уведомление об угрозе безопасности информации в форматах, обрабатываемых технической инфраструктурой Национального координационного центра по компьютерным инцидентам (далее - НКЦКИ), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными;

абзац исключен









создание и изменение инструкций по реагированию на компьютерные инциденты, связанные с угрозами безопасности информации, включающих порядок принятия решений, очередность выполняемых действий и способы организации совместных действий участвующих в мероприятиях по реагированию на компьютерные инциденты и ликвидации последствий компьютерных атак работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации;

создание и изменение инструкций по обработке запросов и уведомлений, поступающих из НКЦКИ.
13.   
V.  Требования к средствам в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

12. Средства в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты должны обладать следующими функциональными возможностями:

учет и обработка компьютерных инцидентов;

управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;

обеспечение взаимодействия с НКЦКИ;












информационно-аналитическое сопровождение.
V.  Требования к средствам ликвидации последствий


12. Средства ликвидации последствий должны обладать следующими функциональными возможностями:


учет и обработка компьютерных инцидентов;


управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;

осуществление взаимодействия с НКЦКИ;











информационно-аналитическое сопровождение.
V. Требования к средствам ликвидации последствий


13. Средства ликвидации последствий должны обладать следующими функциями:



учет и обработка компьютерных инцидентов;

управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;

взаимодействие с НКЦКИ посредством использования технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными;

информационно-аналитическое сопровождение пользователей.
14.   
13. При осуществлении учета и обработки компьютерных инцидентов средства должны обеспечивать:

создание и изменение типов карточек компьютерных инцидентов, определение состава полей этих карточек и требований к заполнению полей;



определение статусной модели компьютерных инцидентов в зависимости от типа инцидента;

назначение категорий и приоритетов компьютерных инцидентов по заданным критериям;

создание и изменение соглашений об уровне услуг по обработке компьютерных инцидентов;

создание и изменение правил по обработке компьютерных инцидентов;

управление доступом к данным о компьютерном инциденте;

создание формализованной карточки компьютерного инцидента в ручном режиме;

создание формализованной карточки компьютерного инцидента в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами и НКЦКИ;

создание формализованной карточки компьютерного инцидента из поступившего формализованного сообщения об угрозе безопасности информации;

учет формализованных карточек компьютерных инцидентов;

фильтрацию, сортировку и поиск хранимых карточек компьютерных инцидентов и сведений об инцидентах;

агрегирование записей о компьютерных инцидентах по заданным критериям;

регистрацию действий администраторов как по настройке средств, так и по процессу работы со сведениями о компьютерных инцидентах;

отслеживание времени внесения и сроков хранения данных, а также источников этих данных;

создание и изменение правил по обработке компьютерных инцидентов и ликвидации последствий компьютерных атак.
13. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:

создание и изменение формализованных описаний (далее – карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;

автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся индикаторы компрометации для контролируемых информационных ресурсов;


запись о текущей стадии процесса реагирования на компьютерные инциденты (например, стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора свидетельств для расследования компьютерного инцидента и т. п.) в зависимости от типа компьютерного инцидента;

запись о присвоении категорий опасности и (или) приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;









регистрацию и учет карточек компьютерных инцидентов;

фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значению полей карточек;

объединение карточек однотипных компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.
14. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:

создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;

автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов;

запись о текущей стадии процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора сведений для расследования компьютерного инцидента) в зависимости от типа компьютерного инцидента;

запись о присвоении категорий опасности и (или) определение приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;








регистрацию и учет карточек компьютерных инцидентов;

фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значениям полей карточек;

объединение карточек компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.
15.   
14. При осуществлении управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства должны обеспечивать:

обогащение данных компьютерного инцидента данными из внешних систем и предоставление контекста компьютерного инцидента, включая сведения о программных и конфигурационных уязвимостях, которые содержатся в реквизитах компьютерного инцидента;






применение типовых сценариев реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак, а также задание правил их применимости на основании сведений об инциденте;



создание задач для внешних систем и сервисов с возможностью экспорта, импорта и отслеживания статуса этих задач посредством интерфейса прикладного программирования;

уведомление о регистрации новых компьютерных инцидентов, завершении длительных задач, а также об изменении их состояния;

поддержку принятия управленческого решения при реагировании на угрозу безопасности информации или компьютерный инцидент;

поддержку координации действий сил и использования средств реагирования на компьютерный инцидент;

контроль соглашений об уровне услуг по обработке компьютерных инцидентов и контроль устранения компьютерных инцидентов.
14. Для обеспечения управления
процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать:

возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента и т. п.;

возможность назначения для карточки компьютерного инцидента шаблонного или специализированного сценария реагирования на компьютерный инцидент и ликвидации последствий компьютерных атак, а также задания правил их применимости на основании сведений о компьютерном инциденте;
















формирование электронных сообщений для организации взаимодействия и координации действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки.
15. Для обеспечения управления
процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать:

возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента;

возможность назначения для карточки компьютерного инцидента инструкций по реагированию на компьютерный инцидент, а также задания правил их применимости на основании сведений о компьютерном инциденте;


















формирование электронных сообщений для организации взаимодействия и координации действий работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки.
16.   
15. При осуществлении взаимодействия с НКЦКИ средства должны обеспечивать:


автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;






учет формализованных карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ;

оперативную коммуникацию со специалистами НКЦКИ.
15. При осуществлении взаимодействия с НКЦКИ средства ликвидации последствий должны обеспечивать:

автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;






учет карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ.
16. При взаимодействии с НКЦКИ средства ликвидации последствий должны обеспечивать:

автоматизированный обмен информацией, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, указанной в пункте 5 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденного приказом ФСБ России от 24 июля 2018 г. № 367;

учет карточек компьютерных инцидентов в соответствии с идентификацией НКЦКИ.
17.   
16. При осуществлении информационно-аналитического сопровождения средства должны обеспечивать:

интерактивное формирование выборок данных, основанных на комбинациях атрибутов и объектов из карточек компьютерных инцидентов, сообщений об угрозах безопасности информации и выходящих за рамки стандартных отчетов;

реализацию расчетов прогнозных значений анализируемых показателей на основе ретроспективных данных из карточек компьютерных инцидентов и сообщений об угрозах безопасности информации.
16. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать интерактивное формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации.
17. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать формирование выборок данных,
основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации.
18.   
VI. Требования к средствам поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ

17. Средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ должны обеспечивать:

контроль изменений параметров
настроек телекоммуникационного оборудования сети электросвязи;

контроль изменений параметров
настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;

обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием;

обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также сбора, накопления и статистической обработки результатов такого обнаружения;

хранение копий трафика внутреннего сетевого взаимодействия сетей электросвязи субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы промышленного назначения;

анализ и выгрузку фрагментов копий трафика внутреннего сетевого взаимодействия субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы с закрытыми спецификациями;

возможность определять векторы распределенных во времени компьютерных атак и соотносить их с элементами как сетевой инфраструктуры, так и технологического процесса объекта КИИ;

возможность извлечения передаваемых файлов заданного типа из сетевого трафика;

сигнализацию и уведомление о фактах обнаружения признаков компьютерных атак;



сигнализацию и уведомление о нарушениях штатного режима функционирования средств;


наличие интерфейса (интерфейсов) передачи данных о сетевом трафике, в котором обнаружены признаки компьютерных атак, а также результатов сбора, накопления и статистической обработки такой информации.
VI. Требования к средствам ППКА




17. Средства ППКА должны обладать следующими функциональными возможностями:



обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения;

обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием;

обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи;

обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;

хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев;


анализ и выгрузка фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием;











сигнализация и уведомление о фактах обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием;

сигнализация и уведомление о нарушениях штатного режима функционирования средств ППКА;

наличие интерфейса(ов) (порта(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации;

возможность формирования обобщенных сведений, представляемых в НКЦКИ.
VI. Требования к средствам ППКА




18. Средства ППКА должны обладать следующими функциями:



обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения;

обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием;

обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи;

обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;

хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев;


анализ и экспорт фрагментов копий
сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием;











уведомление о фактах
обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием;

уведомление о фактах нарушения режимов функционирования средств ППКА;


наличие интерфейса(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации;

возможность формирования информации, предусмотренной пунктом 5 Перечня, указанного в пункте 16 настоящих Требований.
19.   
VII. Требования к средствам криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак



новый пункт 18



VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак



18. Средства обмена должны обеспечивать гарантированную передачу и гарантированный прием информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак

19. Средства обмена должны обеспечивать передачу, прием и целостность при передаче и приеме информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
20.   
18. Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.
19. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.
20.            Криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств криптографической защиты информации.
21.   
VIII. Требования к средствам в части реализации функций собственной безопасности

19. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации функций собственной безопасности должны обеспечивать:

идентификацию и аутентификацию администраторов;

разграничение прав доступа к информации и уровней доступа к функциям;

регистрацию событий ИБ;

обновление программных компонентов и служебных баз данных;

самотестирование и контроль целостности ПО;

резервирование и восстановление средств.






19.1.  При осуществлении идентификации и аутентификации администраторов средства должны обеспечивать:

однозначную идентификацию администраторов;

аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;

хранение паролей в закрытом виде;

автоматическое информирование о необходимости смены паролей.

19.2.  При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства должны обеспечивать:


разграничение доступа на основе политик безопасности;



возможность блокирования и повторной активации учетных записей;

поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли;

блокирование доступа при превышении значения максимального периода отсутствия активности;

сигнализацию о несанкционированных попытках доступа к управлению средствами;

журналирование всех действий администраторов с момента авторизации.

19.3.  При осуществлении регистрации событий ИБ средства должны обеспечивать:


возможность определения перечня событий ИБ, подлежащих регистрации, и сроков хранения соответствующих записей в журналах регистрации;


возможность регистрации как минимум следующих связанных с функционированием средств сведений: идентификатора администратора, времени входа и выхода, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств, интерфейса (порта) подключения, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств;

ведение электронных журналов учета технического состояния, содержащего следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках работы оборудования
с их классификацией, информация о загрузке и инициализации программно-аппаратных средств и их останова;

защиту электронных журналов регистрации от стирания и редактирования;


автоматическое извещение о заполнении электронного журнала регистрации с возможностью его сохранения на внешнем носителе;

ведение электронных журналов регистрации с привязкой к единому источнику времени.

19.4.  При осуществлении обновления программных компонентов и служебных баз данных средства должны обеспечивать:


обновление без потери информации, необходимой для функционирования средств;



обновление только администраторами;



возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления).

19.6.  При осуществлении резервирования и восстановления средства должны обеспечивать:

возможность создания резервной копии конфигурационных данных на внешнем носителе;


возможность создания резервной копии ПО на внешнем носителе;

возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования.

19.5.  При осуществлении самотестирования и контроля целостности ПО средства должны обеспечивать:

контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора;


возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном журнале регистрации.
VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности

20. Средства ГосСОПКА в части реализации функции собственной безопасности должны обладать следующими функциональными возможностями:






идентификация и аутентификация администраторов;

разграничение прав доступа к информации и уровней доступа к функциям;

регистрация событий ИБ;

обновление программных компонентов и служебных баз данных;

резервирование и восстановление;


синхронизация от единого источника времени;


самотестирование и контроль целостности ПО (только для средств ППКА).

20.1.  При осуществлении идентификации и аутентификации администраторов средства ГосСОПКА должны обеспечивать:




аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;

хранение паролей в закрытом виде;

автоматическое информирование о необходимости смены паролей.

20.2.  При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства ГосСОПКА должны обеспечивать:

разграничение прав доступа на основе политик безопасности;



возможность блокирования и повторной активации учетных записей;

поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли;

блокирование сессии доступа при превышении значения максимального периода отсутствия активности;

уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;

журналирование всех действий администраторов с момента авторизации.

20.3.  При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать:

возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных регистрационных журналах с возможностью корректировки сроков;

возможность регистрации как минимум следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора администратора, времени авторизации,
запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА;

ведение электронных регистрационных журналов учета технического состояния, содержащих следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановки (только для средств ППКА);

защиту электронных регистрационных журналов от стирания и редактирования (только для средств ППКА);

автоматическое извещение о заполнении электронного регистрационного журнала с возможностью его сохранения на внешнем носителе информации (только для средств ППКА).



20.4.  При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать:

обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ;

обновление только администраторами;



возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления).

20.5.  При осуществлении резервирования и восстановления средства ГосСОПКА должны обеспечивать:

возможность создания резервной копии конфигурационных данных на внешнем носителе;

возможность создания резервной копии ПО на внешнем носителе;

возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА).

20.6.  При осуществлении самотестирования и контроля целостности ПО средства ППКА должны обеспечивать:

контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора;


возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном регистрационном журнале.
VIII. Требования к средствам ГосСОПКА в части реализации функций безопасности


21. Средства ГосСОПКА в части реализации функций безопасности должны обеспечивать:







идентификацию и аутентификацию пользователей;

разграничение прав доступа к информации и функциям;

регистрацию событий ИБ;

обновление программных компонентов и служебных баз данных;

резервирование и восстановление своей работоспособности;

синхронизацию системного времени и корректировку временных значений (корректировку настроек часовых поясов);

контроль целостности ПО.


21.1. При осуществлении идентификации и аутентификации пользователей средства ГосСОПКА должны обеспечивать:




аутентификацию пользователей с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;

хранение паролей в зашифрованном виде;

автоматическое информирование о необходимости смены паролей.

21.2. При осуществлении разграничения прав доступа к информации и функциям средства ГосСОПКА должны обеспечивать:


абзац исключен




поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки прав доступа для каждой роли;

возможность блокирования и повторной активации учетных записей;

блокирование сессии доступа при превышении задаваемого значения временного периода отсутствия активности;

уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;

запись всех действий пользователей с момента авторизации в электронный журнал.

21.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать:

возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных журналах с возможностью корректировки сроков;

возможность регистрации
следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора пользователя, времени авторизации,
запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА;

ведение электронных журналов учета технического состояния, содержащих следующие поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановке (только для средств ППКА);

защиту электронных журналов от редактирования и удаления содержащейся в них информации (только для средств ППКА);

автоматическое уведомление о заполнении электронного журнала и возможность его сохранения на внешнем носителе информации (только для средств ППКА).




21.4. При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать:

обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ;

обновление только пользователями, ответственными за управление (администрирование) средств ГосСОПКА;

восстановление работоспособности в случае сбоя процесса обновления (в том числе осуществление предварительного резервного копирования и последующее восстановление).


21.5. При осуществлении резервирования и восстановления своей работоспособности средства ГосСОПКА должны обеспечивать:

возможность создания резервной копии конфигурационных данных на внешнем носителе;

возможность создания резервной копии ПО на внешнем носителе;

возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА).

21.6. При осуществлении контроля целостности ПО средства ГосСОПКА должны обеспечивать:

проверку целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде пользователя, ответственного за управление (администрирование) средством ГосСОПКА;

возможность штатного самотестирования ПО в процессе функционирования;

регистрацию в электронном журнале результатов проведения контроля целостности ПО.

22.   
IX. Требования к средствам в части реализации визуализации, построения сводных отчетов и хранения информации



20. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации визуализации, построения сводных отчетов и хранения информации должны обеспечивать:

20.1.  Представление сведений:

о событиях ИБ;


об обнаруженных компьютерных инцидентах;

об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов;

об инфраструктуре контролируемых информационных ресурсов в виде схем;

в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации;

хранящихся в базе данных;

справочной и другой необходимой информации.

20.2.  Построение сводных отчетов путем реализации следующих возможностей:

построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных;

выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах;

экспорт отчетов;

автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса.

20.3.  Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.
IX. Дополнительные требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий


21. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий дополнительно предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации.

Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать:

21.1.  Визуализацию сведений:

о событиях ИБ;


об обнаруженных компьютерных инцидентах;

об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов;

об инфраструктуре контролируемых информационных ресурсов в виде схем;

в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации;

хранящихся в базе данных;

справочной и другой необходимой информации.

21.2.  Построение сводных отчетов путем реализации следующих возможностей:

построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных;

выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах;

экспорт отчетов;

автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса.

21.3.  Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.
IX. Требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий в части реализации визуализации, построения сводных отчетов и хранения информации

22. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации.


Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать:

22.1. Визуализацию в виде таблиц (списков, схем, графиков, диаграмм) сведений:

о событиях ИБ;

об обнаруженных компьютерных инцидентах;

об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах;

об инфраструктуре контролируемых информационных ресурсов;

абзац исключен





хранящихся в базе данных;

содержащих справочную и другую необходимую информацию.

22.2. Построение сводных отчетов путем реализации следующих функций:

создание таблиц (списков, схем, графиков, диаграмм), а также их визуализация на основе полученных данных;


выбор параметров, по которым строятся таблицы (списки, схемы, графики, диаграммы) в отчетах;

экспорт отчетов;

автоматическое формирование отчетов по расписанию, а также их автоматическое направление назначаемым адресатам.

22.3. Хранение загружаемой информации в течение установленного периода времени и постоянный доступ к ней, а также возможность экспорта хранящейся информации, в том числе в исходном виде.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности