Итог публичного обсуждения изменений в 239 приказ ФСТЭК

Итог публичного обсуждения изменений в 239 приказ ФСТЭК



   Проект изменений в 239 приказ ФСТЭК прошел этап общественного обсуждения. Получены ответы на поступившие замечания и опубликована доработанная версия проекта изменений. Свои замечания по первоначальной версии публиковал  -  https://valerykomarov.blogspot.com/2020/02/239.html    
name='more'>     Поступило 37 замечания, не учтено - 10. Такие пропорции говорят о низком уровне проработки законопроекта до публикации.

Интересное из ответов ФСТЭК:
1. Оказывается, что "Цель вносимых изменений - обеспечение безопасности ЗОКИИ путём установления требований в области безопасности информации к программному обеспечению, используемому в составе таких объектов (в том числе средств защиты информации и прикладного программного обеспечения, обеспечивающего реализацию функций значимого объекта по его назначению)", а обеспечение технологической независимости это побочный эффект "За счет установления указанных требований также достигается цель обеспечения технологической независимости  критической информационной инфраструктуры". Вот прям удивительно, а пояснительную записку к законопроекту не ФСТЭК писала? 
Вот как тогда понимать""Изменения направлены на использование в критической информационной инфраструктуре Российской Федерации преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости и безопасности, а также создания условий для продвижения российской продукции. "? 
Обеспечение безопасности КИИ стоит в тексте даже не на первом месте. Зачем заявлять создание условий для продвижения российской продукции, а потом давать ответ "Установление требований о происхождении программного обеспечения, применяемого в значимых объектах критической информационной инфраструктуры, а также правил применения программного обеспечения российского происхождения в таких объектах не относится к компетенции ФСТЭК России.".
2Указанные в вводимом пункте 29.3 требования не предусматривают представления исходных кодов программного обеспечения, так как соответствующие проверки осуществляются разработчиком (производителем) прикладного программного обеспечения, обеспечивающего выполнение функций ЗОКИИ по его назначению. Выполнение этих требований оценивается разработчиком ЗОКИИ на этапе его проектирования на основе результатов анализа материалов и документов о проведении соответствующих проверок, представляемых разработчиком (производителем) указанного программного обеспечения
3В 2022 году должно быть проведено совещание с представителями субъектов КИИ по вопросу необходимости продления срока вступления в силу указанных норм. Это просто изумительно. Так какой смысл сейчас эти изменения вносить? 
4. Все отечественные аналоги имеются для ЗОКИИ. Никаких рисков по принудительному переводу на отечественные решения в ЗОКИИ не видят.
     P.S. Опыт показывает, что выпускаются приказы в редакции, отличающейся от опубликованных на данном этапе. Нас могут ожидать сюрпризы.  Учтенные замечания.


Предложения участника общественного обсуждения
Комментарии разработчика
1         
П. 32 в данной редакции не применим.
1) "В значимом объекте не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств зашиты информации, зарубежными организациями" - использование оборота "в том числе" расширяет действие документа на все установленное оборудование АСУ ТП в стране (в том числе Siemens, ABB и т.д.), которое невозможно поменять по техническим и финансовым соображениям;
2) требование использовать оборудование только отечественных производителей (даже в СЗИ) на данный момент приведет к неоправданным финансовым потерям. Как из-за замены уже установленного оборудования на существующих объектах, так и проведению работ по замене ПО на объектах. Не стоит забывать, что большинство объектов КИИ не могут быть выведны из работы сиюминутно и на небольшой период времени;
3) в документе сказано про "программные средства" и не конкретизированно какое именно ПО именно имеется ввиду. Хочу напомнить, что большинство даже отечественных СЗИ имеют веб-интерфейс (PT ISIM, Vipnet, Континент и т.д.), который ориентрован на использование браузера Chrome. Согласно данному документу браузер однозначно попадает под данное ограничение и не может использоватся для управления СЗИ.
Предложение: убрать из п.32 фразу "в том числе" и ввести период в 10 лет для подготовки объектов/субъектов КИИ к данному изменению (в ходе текущих и плановых модернизаций ИС объекта).
Соответствующие положения исключены
из проекта
2         
Добрый день ! В проекте
9. В пункте 31:
в абзаце четвертом слова «не являющихся работниками субъекта критической информационной инфраструктуры» заменить словами «являющихся работниками зарубежных организаций, а также организаций, находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц»;,
заменить словами «являющихся работниками зарубежных организаций, и/или имеющих двойное или второе гражданство..." далее по тексту.
В данной же редакции, я (условно) как работник со вторым или двойным гражданством (при этом не являющимся работником зарубежной организации) на законных основаниях могу иметь доступ к программным и программно-аппаратным средствам, в том числе средствам зашиты информации КИИ.
Соответствующие положения исключены
из проекта
3         
Пункт 9 (абзац 2) проекта приказа запрещает осуществлять прямой удаленный доступ в ПО и программно-аппаратным средствам значимых объектов КИИ работников организаций, находящихся под прямым или косвенным контролем иностранных юридических лиц. Учитывая, что ряд ИТ-продуктов (я даже не говорю про ИБ-решения) достаточно сложны и иногда требуют помощи со стороны работников производителя, это нововведение означает, что его будут либо обходить (слово "прямой" можно трактовать по-разному), либо в случае какой-либо проблемы или сложной ситуации, она так и останется неразрешенной. Кроме того, данный пункт означает запрет на использование на значимых объектах КИИ зарубежных облачных сервисов, неважно где расположенных. А, вспоминая, что у нас в КИИ включаются не только объекты ТЭК или транспорта, но и финансовые организации, образование, медицина, наука и т.п., а они активно используют в своей основной деятельности тот же YouTube или Google, Amazon или Azure, то работа этих сервисов будет парализована. Должна быть другая формулировка допускающая экспертные оценки иностранных юридических лиц в сложных случаях.
Соответствующие положения исключены
из проекта
4         
Пункт 10 проекта приказа запрещает техническую поддержку ПО и программно-аппаратным средствам значимых объектов КИИ организациями, находящихся под прямым или косвенным контролем иностранных юридических лиц. Этот пункт самый значимый и он означает полный запрет на поставку любого иностранного оборудования и ПО в любые значимые объекты КИИ, так как техническая поддержка (пусть часто и ограниченная) является частью любой продажи. Тут так же следует внести корректировки в части согласования решения по поддержки. Например наличия центра компетенций, куда может прийти любой желающий и ознакомится с исходным кодом, как это сделал Евгений Касперсий.
Соответствующие положения исключены из проекта
5         
Пункт 8 проекта приказа в части нового требования 29.2 требует, чтобы средства защиты информации соответствовали 5-му уровню доверия и выше. 5-й уровень доверия означает предоставление исходных кодов для средства защиты, что в соответствие с законодательством ряда стран передача исходных кодов на ИТ-продукцию и средства защиты в определенные страны может нанести ущерб национальной безопасности. Для большинства иностранных компаний это означает фактический запрет на продажу средств защиты информации для значимых объектов КИИ, так как они должны быть либо сертифицированными (что, как показывает опыт последних двух лет, почти невозможно для "иностранцев"), либо прошедшими оценку по 5-му уровню доверия (что также практически невозможно). Длительность сертификации сегодня составляет сегодня не менее года.
Изложено в следующей редакции:
«29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.
Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно
к указанным требованиям должны соответствовать
6 или более высокому уровню доверия.
Испытания (приемка), предусмотренные настоящим пунктом, проводятся в отношении средств защиты информации, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.».
Для испытаний (приемки) по 6 уровню контроля
не требуется наличия исходных кодов программного обеспечения
6         
Пункт 32 представляется целесообразным исключить. Не выполнимым представляется пункт 32 проекта, поскольку для оказания услуг связи возможно использование иностранного оборудования. Соответственно, гарантийная и техническая поддержка программного и программно-аппаратного обеспечения иностранной разработки не может осуществляться без участия зарубежных организаций, отсутствие оперативной техподдержки может привести к нарушению установленных сроков восстановления после сбоев.
Соответствующие положения исключены из проекта
7         
Исключить требования проверки ППО на отсутствие НДВ в подпункте б) пункта 29.3 и пункта 29.5, поскольку на настоящий момент требования к порядку и условиям контроля прикладного и системного программного обеспечения на отсутствие НДВ, определяет документ ФСТЭК России – "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (введен Приказом Гостехкомиссии РФ от 04.06.1999 N 114)
В этом документе (пункт 1.5) определен минимально достаточный 4-й уровень контроля НДВ (далее – НДВ-4) для программного обеспечения систем, предназначенных для обработки информации, не отнесенной к государственной тайне.
Обязательными условиями контроля по НДВ-4 является наличие следующих формальных документов на программное обеспечение:
        спецификация по ГОСТ 19.202-78 ;
        описание ГОСТ 19.202-78;
        описание применения по ГОСТ 19.202-78;
        тексты программ по ГОСТ 19.401- 78.
Наличие указанных документов не является достаточным для обеспечения контроля НДВ. Ещё должны быть проведены сложные работы высококвалифицированным персоналом по анализу содержания этих документов с целью выявления расхождений текстов программ и их детальных описаний, а также выявления не описанных функций программ по их кодам.
Требование по проведению динамического анализа исходных текстов программ применяется для обеспечения уровня НДВ -1,2,3 для ПО, используемого при защите информации, отнесенной к государственной тайне
«ВымпелКом» для своей основной деятельности, характеризующейся большим масштабом и разнообразием операций, вынужден широко использовать программное обеспечение иностранного производства. Практически на все применяемое  программное обеспечение существуют ограничения при его поставке. Данные ограничения касаются, в том числе, запрета на предоставление исходных кодов программ.
Таким образом, ВымпелКом не имеет возможности выполнить требования нормативных документов ФСТЭК России по контролю НДВ.
Кроме того, в подтверждении вышеуказанного рассмотрим детализацию программного обеспечения серверов в части системного и прикладного программного обеспечения.
На системное программное обеспечение (далее – СПО) отсутствуют указанные выше документы, разработанные в соответствии с требованиями Российских государственных стандартов. Например, никакое СПО семейства Windows не проходило проверку на контроль НДВ в системе сертификации средств защиты информации №РОСС RU.0001.01БИ00 ФСТЭК России[1] (за исключением устаревшей ОС Windows NT 4.0 Server). Замена используемого СПО на какое-либо другое, сертифицированное по уровню контроля НДВ, потребует от ПАО «ВымпелКом» неприемлемых и несоответствующих определенному выше уровню вреда финансовых затрат. Помимо смены системного обеспечения ПАО «ВымпелКом» пришлось бы менять и прикладное программное обеспечение, которое не совместимо с другим СПО.
«ВымпелКом» использует прикладное программное обеспечение (далее – ППО) иностранного и российского производства. На используемое ППО иностранного производства отсутствуют необходимые документы, разработанные в соответствии с требованиями Российских государственных стандартов. Используемые в ППО иностранного производства встроенные средства защиты в системе сертификации средств защиты информации №РОСС RU.0001.01БИ00 ФСТЭК России не проходили сертификацию на НДВ. Например, используемые автоматизированные системы расчетов с абонентами (биллинговые системы), системы управления сетевым оборудованием не проходили проверку на контроль НДВ по требованиям ФСТЭК России, и вместе с тем, это ППО разрешено другими регуляторами к применению в России. Замена используемого ППО на другое ППО, сертифицированное по уровню контроля НДВ, технически невозможно по причине отсутствия требуемой функциональности и глубокой взаимной интеграции применяемого в настоящее время ППО с другими программными и техническими средствами (например, станциями коммутации).
Слова «недекларированных возможностей» из вводимых пунктов 29.3 и 29.3.3 исключены.
Указанные в вводимых пунктах 29.3 и 29.3.3 требования не предусматривают представления исходных кодов программного обеспечения, так как соответствующие проверки осуществляются разработчиком (производителем) прикладного программного обеспечения, обеспечивающего выполнение функций значимого объекта по его назначению. Выполнение этих требований оценивается разработчиком значимого объекта на этапе его проектирования на основе результатов анализа материалов и документов о проведении соответствующих проверок, представляемых разработчиком (производителем) указанного программного обеспечения
8         
Также, в нормативно-методических документах ФСТЭК России не рассмотрены вопросы регулярной установки обновлений в СПО и ППО. Наличие этих обновлений от вендора является необходимым условием корректного функционирования СПО и ППО.
Соответствующие меры входят в состав базовых наборов мер по обеспечению безопасности для значимых объектов критической информационной инфраструктуры всех категорий значимости. К таким мерам относятся:
регламентация правил и процедур управления обновлениями программного обеспечения (ОПО.0);
поиск, получение обновлений программного обеспечения от доверенного источника (ОПО.1);
контроль целостности обновлений программного обеспечения (ОПО.2);
тестирование обновлений программного обеспечения (ОПО.3);
установка обновлений программного обеспечения (ОПО.4)
9         
По "1. Пункт 7 дополнить абзацем следующего содержания:
"Модернизацией является изменение архитектуры подсистемы безопасности значимого объекта в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.". Непонятно, почему модернизацией ЗОКИИ (информационной системы) является изменение архитектуры исключительно подсистемы безопасности ЗОКИИ. Необходимо уточнить формулировку.
Изложено в следующей редакции:
«Модернизацией является изменение архитектуры значимого объекта, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.»
10     
Предлагаемое изменение "в абзаце четвертом слова "не являющихся работниками субъекта критической информационной инфраструктуры" заменить словами "являющихся работниками зарубежных организаций, а также организаций, находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц"; создает существенные трудности для субъектов КИИ при их выполнении. Субъект КИИ имеет все возможности по разграничению "работник/не работник субъекта" при выполнении требований действующей редакции приказа. Механизм процедуры определения субъектом КИИ организаций , находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц в законопроекте не обозначен. В предлагаемой редакции не исполним. Необходимо оставить формулировку без изменений и не вносить правки.
Соответствующие положения исключены
из проекта
11     
Предлагаемый "10. Пункт 32 изложить в следующей редакции:
"32. В значимом объекте не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.". носит декларативный характер и не выполним субъектом КИИ, так как в приказе отсутствует механизм процедуры определения субъектом КИИ организаций , находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц в законопроекте не обозначен. В предлагаемой редакции не исполним. Необходимо оставить формулировку без изменений и не вносить правки.
Соответствующие положения исключены
из проекта
12     
1.1. Пунктом 1. проектируемых изменений, пункт 7 Требований дополнен абзацем следующего содержания:
«Модернизацией является изменение архитектуры подсистемы безопасности значимого объекта в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта».
Между тем, дополняемый пункт 7 говорит о создании (модернизации) самого значимого объекта, а не только подсистемы безопасности.
В целях исключения противоречий проекта приказа действующему акту, предлагаем изложить редакцию п. 1 проекта в следующей редакции:
«При модернизации значимого объекта, должна выполняться модернизация подсистем безопасности значимого объекта в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта».
Изложено в следующей редакции:
«Модернизацией является изменение архитектуры значимого объекта, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.»
13     
Пунктом 10 проектируемого акта установлено, что не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств зашиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.
Однако, из пояснительной записки не усматривается информация о возможности субъектам КИИ полнофункционально заменить зарубежный системный софт и обеспечить замену всех технических и программных средств без полной остановки всех технологических процессов для выполнения поставленной в проекте приказа задаче.
Предлагаем провести полноценный анализ наличия независимых от иностранных компаний российских сервисных организаций, обладающих компетенциями по самостоятельной поддержке программных средств и переходу на российские IТ- и ИБ-продукты.
Соответствующие положения исключены
из проекта
14     
Комментарий к п. 8:
"Для программного обеспечения, планируемого к применению в значимых объектах 1 и 2 категории значимости, дополнительно осуществляется анализ результатов динамического анализа исходного кода программного обеспечения."
Словосочетание динамический анализ исходного кода некорректно. Может быть, СТАТИСТИЧЕСКИЙ анализ ИСХОДНОГО кода, или ДИНАМИЧЕСКИЙ анализ ИСПОЛНЯЕМОГО кода.
Изложено в следующей редакции:
«Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости, дополнительно осуществляется анализ результатов динамического анализа программного обеспечения.»
15     
Комментарий к пункту 10:
"10. Пункт 32 изложить в следующей редакции:
«32. В значимом объекте не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств зашиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.»"
1) требуется исправить опечатку в словосочетании "средств заЩиты информации".
2) требуется раскрыть понятие "техническая поддержка", что под ней подразумевается в рамках данного приказа? Имеется ввиду приобретение дополнительных услуг от разработчика по поддержке ПО? Или же под это понятие подходит, в т.ч. распространение и выпуск обязательных обновлений?
Кроме того, ГОСТ Р ИСО/МЭК 12207-2010, ГОСТ 34.601-90 не содержат такого понятия как "техническая поддержка" в стадиях жизненного цикла ПО.
Соответствующие положения исключены
из проекта
16     
Согласно п. 10 проекта приказа предлагается дополнить Требования положениями о недопустимости технической поддержки программных и программно – аппаратных средств в значимом объекте зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц (п. 32 Требований).
Указанное требование является невыполнимым в полном объеме в отношении АО «СО ЕЭС», а его реализация в отношении значимых объектов КИИ в сфере электроэнергетики может привести к обратному эффекту для обеспечения их безопасности в связи со следующим.
1. АО «СО ЕЭС» (Системный оператор Единой энергетической системы) является специализированной государственной инфраструктурной компанией, единолично осуществляющей централизованное оперативно-диспетчерское управление в Единой энергетической системе России (ЕЭС России).
Для реализации возложенных на него функций по планированию и управлению электроэнергетическим режимом энергосистемы, моделированию режимов работы электроэнергетических систем и входящих в них объектов, обеспечению технологий функционирования рынков электрической энергии и мощности АО «СО ЕЭС» использует уникальные специализированные программные и программно – аппаратные средства, ряд решений и компонентов которых не имеет российских аналогов и (или) может быть предоставлен только определенными компаниями, являющимися единственными поставщиками продукции и услуг в данной сфере. Разработка такого сложного программного обеспечения производится на основании детально проработанных АО «СО ЕЭС» технологических решений и технических заданий, учитывающих требования информационной безопасности.
Отказ от использования таких программных и программно – аппаратных средств или их соответствующих компонентов повлечет невозможность планирования и управления ЕЭС России и выполнения иных значимых функций по оперативно – диспетчерскому управлению в электроэнергетике, необходимых для нормальной работы российской энергетической системы.
С учетом специализированного отраслевого характера, технологической сложности используемых ИТ-решений техническая поддержка указанных уникальных программных и программно-аппаратных средств также требует привлечения соответствующих специализированных компаний – разработчиков и не может быть обеспечена без взаимодействия с ними.
2. В соответствии с подпунктом «е» пункта 12 и иными пунктами Требований при обеспечении защиты от целенаправленного воздействия злоумышленников с использованием программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры (КИИ), сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования, одним из мероприятий является обновление компонентов значимого объекта КИИ.
В ряде случаев отказ от технической поддержки таких компонентов, при наличии уязвимостей программных и программно – аппаратных средств, приведет к невозможности восстановления значимого объекта КИИ.
Замена таких компонентов на российские аналоги потребует проведения всех мероприятий, необходимых для самостоятельного создания и введения в промышленную эксплуатацию такой продукции на российском рынке, а именно: научно-техническая разработка, организация промышленного производства, проведение предварительных и комплексных испытаний, прохождение опытной эксплуатации, поддержка в течение всего жизненного цикла, а также обеспечение совместимости со связанными объектами КИИ других организаций по результатам изменения архитектуры значимого объекта.
Создание исключительно российских программных, программно-аппаратных средств, включая все используемые в них компоненты, и рынка услуг по их технической поддержке российскими компаниями с отказом от любых форм локализации такого рода технологий и производств и исключением любых форм взаимосвязи (взаимодействия) привлекаемых для этого российских компаний с иностранными юридическими лицами, на текущий момент невозможно.
3. Из содержания проекта приказа также непонятно, что подразумевается под «косвенным контролем иностранных физических и (или) юридических лиц». Отсутствие четких критериев форм такого контроля значительно расширяет круг компаний, созданных и функционирующих на российском рынке ИТ-продукции и услуг, привлечение которых для технической поддержки значимых объектов КИИ не допускается.
С учетом вышеизложенного предлагаю доработать формулировку п. 32 Требований в части:
- сохранения возможности привлечения соответствующих организаций для технической поддержки сложных программных, программно-аппаратных средств, разработанных по заказу государственных компаний для выполнения возложенных на них инфраструктурных функций, а также для технической поддержки отдельных компонентов таких средств, полное импортозамещение которых на всех стадиях их жизненного цикла технически или экономически невозможно;
- конкретизации критериев организаций, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.
Соответствующие положения исключены
из проекта
17     
П. 7.
В первом абзаце речь идет о модернизации объекта. Во втором абзаце про модернизацию архитектуры подсистемы безопасности. Как они связаны между собой?
Непонятно, необходимо ли обеспечение безопасности при:
- изменении значимого объекта без изменения архитектуры ПБ, например расширение, тиражирование
- изменении значимого объекта, в том числе включающего изменение ПБ
Изложено в следующей редакции:
«Модернизацией является изменение архитектуры значимого объекта, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.»
18     
П. 29.2.
Вводится новое требование о необходимости соответствия 5 или более высокому уровню доверия, при этом не раскрывается содержание требований к уровням доверия.
Если идет речь о приказе ФСТЭК № 131, то он не предназначен для субъектов КИИ, а также предполагает испытания в испытательных лабораториях что противоречит абзацу, в котором говорится, что субъекты КИИ могут самостоятельно проводить испытания СЗИ.
Изложено в следующей редакции:
«29.2. …
Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно
к указанным требованиям должны соответствовать
6 или более высокому уровню доверия.».
Мнение о том, что Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 30 июля 2018 г. № 131, не предназначены для субъектов критической информационной инфраструктуры необоснованно и ошибочно.
Испытания (приемка) по 6 уровню контроля
могут проводиться субъектом критической информационной инфраструктуры или разработчиком значимого объекта критической информационной инфраструктуры самостоятельно без привлечения испытательных лабораторий
19     
Вводимый п. 29.2.
Последний абзац, который позволяет не проводить испытаний СЗИ в эксплуатируемых на данный момент объектах – полностью перечеркивает необходимость каких мер защиты существующих объектов КИИ.   Может дойти до абсурда: субъект КИИ скажет, что вот эта маленькая черная коробочка выполняет все требуемые меры защиты, но испытания проводить не будем, так как она в эксплуатации.
Изложено в следующей редакции:
«Испытания (приемка), предусмотренные настоящим пунктом, проводятся в отношении средств защиты информации, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.».
Для указанной нормы предусмотрен отложенный срок вступления в силу.
Кроме того, пункт 28 Требований предполагает, что при модернизации значимого объекта должны проводиться испытания (приемка) таких средств защиты информации
20     
Вводимый п. 32.
Термин Техническая поддержка не определен в данном документе, вместе с этим под технической поддержкой может пониматься почти все что угодно. И это всё не допускается.
Не допускается приобретение продуктов, включающих гарантийную поддержку?
Не допускается скачивание ПО и документации с сайтов производителей?
Не допускается приобретение расширенной технической поддержки?
Не допускается передача оборудования производителю?
Не допускается передача журналов с ошибками производителю?
Не допускается предоставление доступа производителя к объекту КИИ?

Может быть в 31 пункте необходимо было уточнить, что ПС,ПАС,СЗИ должны быть обеспечены гарантийной и (или) технической поддержкой со стороны организаций, не являющихся зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.
Соответствующие положения исключены
из проекта
21     
По нашему мнению, Проект приказа предлагает очень жесткие ограничения для иностранных компаний, участвующих в создании и разработке решений, обеспечивающих, в том числе, безопасность объектов КИИ Российской Федерации. Указанные ограничения с большой вероятностью могут привести к серьезным негативным последствиям, в первую очередь - для эффективности и устойчивости инфраструктуры объектов КИИ Российской Федерации.
В настоящее время сформировалась обширная инсталлированная база иностранного производства в организациях, подпадающих под действие приказа ФСТЭК. С вступлением в силу новых требований объекты КИИ окажутся без технической поддержки со стороны иностранных компаний разработчиков, так как техническая поддержка может оказываться только напрямую разработчиком, не через российских посредников.
Соответствующие положения исключены
из проекта
22     
Согласно п. 8 Проекта приказа, в новом требовании п. 29.2 Приказа № 239 предлагается указать, что средства защиты информации должны соответствовать 5-му уровню доверия и выше.
5-й уровень доверия означает предоставление исходных кодов для средства защиты. Практически для всех иностранных компаний это означает фактический запрет на продажу средств защиты информации для значимых объектов КИИ, так как они должны быть либо сертифицированными, либо прошедшими оценку по уровню доверия.
При этом длительность сертификации в РФ сегодня составляет не менее года. Оценка на соответствие 5-му уровню доверия также является сложным процессом. К примеру, для оценки решений американского производства, в соответствии с американским законодательством, требуется получения специального разрешения Государственного Департамента США.
Предлагаем исключить из предлагаемой редакции пункта 29.2 Приказа № 239 упоминание о необходимости соответствия 5-му уровню доверия и выше.
Изложено в следующей редакции:
«29.2. ...
Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно к указанным требованиям должны соответствовать 6 или более высокому уровню доверия.»
23     
Согласно абз. 2 п. 9 Проекта приказа, предлагается ввести запрет на осуществление прямого удаленного доступа к ПО и программно-аппаратным средствам, установленным на значимых объектах КИИ, работниками организаций, находящихся под прямым или косвенным контролем иностранных юридических и (или) физических лиц.
Также вводится запрет на сотрудничество с компаниями, руководство которых имеет двойное гражданство, а также в исполнительный орган которых входят иностранные лица.
Помимо этого, для иностранных компаний вводится запрет на оказание сервисов прямой технической поддержки специалистами иностранных компаний, а также запрет на использование на значимых объектах КИИ облачных сервисов этих компаний, расположенных, как в России, так и за рубежом.
Указанные изменения вынудят владельцев значимых объектов КИИ проверять контрагентов и отказываться от сотрудничества с российскими компаниями, у которых есть иностранные акционеры / участники.
Предлагаем оставить редакцию абзаца 4 пункта 31 Приказа № 239 в изначальном виде или, как минимум, не включать в предлагаемую редакцию формулировку «а также организаций, находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц».
Соответствующие положения исключены
из проекта
24     
Согласно п. 10 Проекта приказа, предлагается ввести запрет на техническую поддержку ПО и программно-аппаратных средств значимых объектов КИИ организациями, находящимися под прямым или косвенным контролем иностранных юридических лиц.
Для иностранных компаний это означает полный запрет на поставку оборудования и ПО в любые значимые объекты КИИ, так как техническая поддержка (пусть и ограниченная) является частью любой продажи.
Считаем такое ограничение создающим угрозу безопасности объектов КИИ, т.к. на многих из них установлены иностранные решения, которые не совместимы / не полностью совместимы с иной продукцией. При невозможности оказания услуг технической поддержки такие решения становятся неэффективными, а объекты КИИ - незащищенным от угроз.
Предлагаем оставить редакцию пункта 32 Приказа № 239 в изначальном виде.
Соответствующие положения исключены
из проекта
25     
Разрешить поддержку установленного оборудования иностранного происхождения производителями этого оборудования.
Соответствующие положения исключены
из проекта
26     
1. Комментарий к абз. 2 п.8:
‎"...По решению субъекта критической информационной инфраструктуры испытания могут проводиться им самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации, на любом из этапов создания значимого объекта."
На мой взгляд, требуется уточнить, какие именно лицензии должны быть у привлекаемой организации. Употребление слов "лицензии", "организаций" в множественном числе, подразумевает, что лицензий и организаций должно быть две и более, соответственно.
Возможно, подойдет следующая формулировка:
‎"...По решению субъекта критической информационной инфраструктуры испытания могут проводиться им самостоятельно или с привлечением организации, имеющей в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, на любом из этапов создания значимого объекта."
Изложено в предлагаемой редакции

  Не учтенные замечания.

Предложения участника общественного обсуждения
Комментарии разработчика
1         
Пункт 9 (абзац 3) проекта приказа распространяет запрет на расположение значимых объектов КИИ за пределами России не только на объекты 1-й, но и 2-й категории значимости (из трех возможных). Это означает запрет на использование на значимых объектах КИИ 1-й и 2-й категории облачных сервисов, расположенных за рубежом. Вот интересно, многие даже государственные сайты используют SSL-сертификаты, выданные не российскими УЦ, проверка которых осуществляется также зарубежом. Можно ли считать такую проверку (а без нее портал или сайт может и не заработать) расположением объекта КИИ за пределами РФ? А та же SABRE, которой пользуется Аэрофлот? Или ее не рассматривать как объект КИИ (даже несмотря на использование ее на законном основании)? И таких примеров можно вспомнить очень много; особенно если обратиться к истории с законом ФЗ-242 о локализации ПДн россиян. Поэтому как минимум, можно было бы согласовывать отдельные решения с Регулятором, в случае необходимости.
Информационные системы, обеспечивающие функционирование указанных служб и перечисленные в приведенных примерах, являются не компонентами указанных объектов критической информационной инфраструктуры, а самостоятельными системами.
В отношении компонентов информационных (автоматизированных) систем, относящихся к юрисдикции иностранных государств, должны выполняться требования, предъявляемые законодательством этих государств. Эти требования могут противоречить положениям законодательства Российской Федерации о безопасности критической информационной инфраструктуры и негативно влиять на безопасность этих систем. Таким образом, по мнению специалистов ФСТЭК России, требование о размещении исключительно на территории Российской Федерации программных и программно-аппаратных средств, осуществляющих хранение и обработку информации и входящих в состав значимых объектов критической информационной инфраструктуры
1 и 2 категорий значимости, является необходимым
2         
Пункт 8 проекта приказа в части нового требования 29.3 касается прикладного ПО, обеспечивающего выполнение функций значимого объекта по его назначению (для банков это АБС, для операторов связи системы управления сетями и биллинг, для промышленности и нефтегаза – АСУ ТП, для медицинских организаций – медицинское ПО и т.п.). Для всех иностранных производителей ПО (Siemens, SAP, Oracle, Rockwell, NCR, Microsoft и сотни других) это требования означает предоставление исходных кодов для их анализа на территории России, что затруднительно как с точки зрения корпоративных правил передачи интеллектуальной собственности, так и с точки зрения запрета на передачу исходных кодов по требованиям законодательства ряда стран. Аналогично можно было бы сделать оговорку про иные методы оценки по уровню доверия не связанные с процедурой сертификации.
Указанные в вводимом пункте 29.3 требования
не предусматривают представления исходных кодов программного обеспечения, так как соответствующие проверки осуществляются разработчиком (производителем) прикладного программного обеспечения, обеспечивающего выполнение функций значимого объекта критической информационной инфраструктуры по его назначению. Выполнение этих требований оценивается разработчиком значимого объекта критической информационной инфраструктуры на этапе его проектирования на основе результатов анализа материалов и документов
о проведении соответствующих проверок, представляемых разработчиком (производителем) указанного программного обеспечения
3         
Действующий приказ № 239 является подзаконным актом к 187-ФЗ. Сфера действия 187-ФЗ однозначно указана в Статья 1. "Сфера действия настоящего Федерального закона"
Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Для предлагаемых правок в 239 приказ указаны сферы, отличные от сферы 187-ФЗ. Таким образом, Приказ 239 не может быть направлен на принудительное использование преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости, а также создания условий для продвижения российской продукции.
Необходимо исключить из законопроекта требования, направленные на достижения вышеуказанных целей.
Цель вносимых изменений - обеспечение безопасности значимых объектов критической информационной инфраструктуры путём установления требований в области безопасности информации к программному обеспечению, используемому в составе таких объектов (в том числе средств защиты информации и прикладного программного обеспечения, обеспечивающего реализацию функций значимого объекта по его назначению)
4         
Согласно Указа Президента Российской Федерации от 16 августа 2004 г. N 1085, в задачи и полномочия ФСТЭК России не входит "создание условий для продвижения российской продукции" и/ли "обеспечение технологической независимости". Выпуск нормативного документа для достижения заявленных целей должен осуществляться соответствующими ФОИВ, наделенными необходимыми полномочиями. К тому же, в законопроекте устанавливаются требования для программного обеспечения и оборудования субъектов КИИ,а не только к средствам защиты информации. Необходимо исключить из законопроекта требования, направленные на достижения вышеуказанных целей.
Цель вносимых изменений - обеспечение безопасности значимых объектов критической информационной инфраструктуры путём установления требований в области безопасности информации программному обеспечению, используемому в составе таких объектов (в том числе средств защиты информации и прикладного программного обеспечения, обеспечивающего реализацию функций значимого объекта по его назначению). За счет установления указанных требований также достигается цель обеспечения технологической независимости  критической информационной инфраструктуры
5         
1.2. Пункт 6 проекта предлагаем исключить, т.к. вносимые изменения дублируют положения, указанные в начале этого же пункта (абзац первый п. 27 действующего акта).
Дублирование отсутствует.
В начале пункта 27 Требований речь идет о средствах защиты информации, добавляемые слова относятся к иным программным и программно-аппаратным средствам, применяемым на значимых объектах
6         
Федеральной службой по техническому и экспортному контролю разработан и опубликован для общественного обсуждения проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». Документ разработан по поручению Президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 г. (подпункт «д» пункта 1 Перечня поручений Президента Российской Федерации от 2 июля 2019 г. № Пр-1180): представить предложения о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры путём использования преимущественно отечественного программного обеспечения. Однако в проекте приказа не указаны требования преимущественного использования отечественного программного обеспечения и программно-аппаратных средств, отсутствует требование к стране происхождения применяемых в критической инфраструктуре информационно-коммуникационных технологий.
Предлагаем в соответствии с поручением Президента включить в проект приказа требования к российскому происхождению программного обеспечения и установить правила применения программного обеспечения российского происхождения на объектах критической информационной инфраструктуры Российской Федерации.
Установление требований о происхождении программного обеспечения, применяемого в значимых объектах критической информационной инфраструктуры, а также правил применения программного обеспечения российского происхождения в таких объектах не относится к компетенции ФСТЭК России.
Решение задачи обеспечения технологической независимости и безопасности критической информационной инфраструктуры путём использования преимущественно отечественного программного обеспечения достигается установлением требований в области безопасности информации к программному обеспечению и оборудованию, используемому в составе значимых объектов критической информационной инфраструктуры (в том числе средствам защиты информации и прикладному программному обеспечению, обеспечивающему реализацию функций значимого объекта по его назначению), удовлетворение которых возможно программным обеспечением и оборудованием, производимым на территории Российской Федерации российскими организациями, не находящимися под контролем иностранных физических и (или) юридических лиц
7         
Также органам, учреждениям, организациям, в которых есть объекты КИИ, придется отказаться от иностранных решений, даже если на рынке нет соответствующих российских аналогов, что ставит под угрозу как устойчивость значимых объектов КИИ, так и эксплуатацию всей существующей инфраструктуры, обеспечивающей безопасность указанных объектов, поскольку в настоящее время отечественные разработчики и производители не могут восполнить требуемый объем решений в сфере безопасности.
В долгосрочной перспективе новые требования с большой вероятностью могут привести к невозможности эффективной цифровой трансформации многих государственных процессов, которые уже построены на иностранных решениях. Кроме того, замена проверенного оборудования на новое ставит под угрозу надежность и устойчивости этих процессов в целом.
Мнение о том, что отечественные разработчики и производители не могут восполнить требуемый объем решений в сфере безопасности, необоснованно. По информации, имеющейся в ФСТЭК России, все основные типы средств защиты информации отечественного производства имеются.
Мнение о том, что замена импортного оборудования на новое ставит под угрозу надежность и устойчивость государственных процессов в целом также необоснованно. При этом вносимые в Требования изменения не предполагают такую замену.
Кроме того, для вступления в силу соответствующих положений предусмотрен отложенный срок – 1 января 2023 г.
8         
В соответствии с п. 8 Проекта приказа, новое требование п. 29.3 Приказа № 239 (во взаимосвязи с п. 29.5.) о поставках прикладного ПО, обеспечивающего выполнение функций значимого объекта КИИ по его назначению (для банков это - АБС; для операторов связи - системы управления сетями и биллинг; для промышленности и нефтегаза - АСУ ТП; для медицинских организаций - медицинское ПО и т.п.), означает предоставление исходных кодов ПО для их анализа на территории России.
При этом фактически предоставление исходных кодов затруднительно как с точки зрения корпоративных правил передачи интеллектуальной собственности, так и с точки зрения ограничений на передачу исходных кодов отдельным странам согласно требованиям иностранного законодательства.
Предлагаем исключить из предлагаемой редакции пункта 29.5 Приказа № 239 упоминание о необходимости анализа исходного кода прикладного ПО.
Указанные в вводимом пункте 29.3 требования
не предусматривают представления исходных кодов программного обеспечения, так как соответствующие проверки осуществляются разработчиком (производителем) прикладного программного обеспечения, обеспечивающего выполнение функций значимого объекта критической информационной инфраструктуры по его назначению.
Выполнение этих требований оценивается разработчиком значимого объекта критической информационной инфраструктуры на этапе его проектирования на основе результатов анализа материалов и документов
о проведении соответствующих проверок, представляемых разработчиком (производителем) указанного программного обеспечения
9         
В соответствии с абз. 3 п. 9 Проекта приказа, запрет на расположение значимых объектов КИИ за пределами России предлагается распространить не только на объекты 1 -й, но и 2-й категории значимости (из трех возможных).
Для иностранных компаний это означает запрет на использование на значимых объектах КИИ 1-й и 2-й категории облачных сервисов, расположенных за рубежом.
Считаем такое ограничение непропорциональным, нарушающим плавный процесс перехода субъектов КИИ на продукцию отечественного производства, а также создающим угрозу нарушения устойчивости текущей инфраструктуры в связи с отсутствием сопоставимых отечественных разработок для обеспечения безопасности объектов КИИ.
Предлагаем оставить редакцию абзаца 7 пункта
31 Приказа № 239 в изначальном виде.
Мнение о том, что данное положение нарушает плавный процесс перехода субъектов критической информационной инфраструктуры на продукцию отечественного производства, а также создаёт угрозу нарушения устойчивости текущей инфраструктуры в связи с отсутствием сопоставимых отечественных разработок для обеспечения безопасности объектов критической информационной инфраструктуры необоснованно. По информации, имеющейся в ФСТЭК России, все необходимые отечественные аналоги имеются.
В отношении компонентов информационных (автоматизированных) систем, относящихся к юрисдикции иностранных государств, должны выполняться требования, предъявляемые законодательством этих государств. Эти требования могут противоречить положениям законодательства Российской Федерации о безопасности критической информационной инфраструктуры и негативно влиять на безопасность этих систем. Таким образом, по мнению специалистов ФСТЭК России, требование о размещении исключительно на территории Российской Федерации программных и программно-аппаратных средств, осуществляющих хранение и обработку информации и входящих в состав значимых объектов критической информационной инфраструктуры
1 и 2 категорий значимости, является необходимым
10     
Перенести срок вступления в силу указанных изменений до 2028-го года.
В отношении вводимых пунктами 7 и 8 проекта норм установлен срок вступления их в силу с 1 января 2023 г.
Кроме того, протоколом состоявшегося 17 февраля 2019 г. совещания в ФСТЭК России с субъектами критической информационной инфраструктуры по вопросу рассмотрения предлагаемых к внесению изменений в Требования, в части установления требований к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры ФСТЭК России (8 управлению) поручено в 2022 году организовать и провести совещание с представителями субъектов критической информационной инфраструктуры по вопросу необходимости продления срока вступления в силу указанных норм
11     
Создать официальную процедуру для тестирования всех новых решений для объектов КИИ. Допускать новые решения в значимые объекты КИИ только после тестирования, подтверждающего устойчивость их работы.
Такие процедуры предусмотрены пунктами 12.4, 12.5 и 12.7 Требований, а также вводимыми пунктами 29.2-29.3.2

   Изменения в самом проекте 

Действующая редакция,
синим удалено
Доработанный проект от 21.02.2020,
темным было добавлено ранее,
красным добавлено
7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.

новый абзац
7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.

Модернизацией является изменение архитектуры значимого объекта, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:
практическую отработку выполнения средствами защиты информации функций безопасности;
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:
практическую отработку выполнения средствами защиты информации функций безопасности, а также выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации;
12.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
12.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации, оценку выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
новый пункт 26.1 – перенесено из пункта 32

32. При использовании в значимых объектах новых информационных технологий и
выявлении дополнительных угроз безопасности информации, для которых не определены меры
по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.


26.1. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.
новый раздел IV
IV. Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов
27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).
27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение, а также обеспечения безопасности программного обеспечения и программно-аппаратных средств, применяемых в значимых объектах
28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.
28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
абзац четвертый признан утратившим силу
новый пункт 29.2
29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.




Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно к указанным требованиям должны соответствовать 6 или более высокому уровню доверия.

Испытания (приемка) средств защиты информации на соответствие требованиям к уровню доверия и требованиям к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4. настоящих Требований лицом, привлекаемым к проведению работ по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности (далее - разработчик значимого объекта).


По решению субъекта критической информационной инфраструктуры испытания могут проводиться им самостоятельно или с привлечением организации, имеющей в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, на любом из этапов создания значимого объекта.

Испытания (приемка) проводятся отдельно или в составе значимого объекта. Программа и (или) методики испытаний (приемки) утверждаются (согласуются) субъектом критической информационной инфраструктуры.

По результатам испытаний (приемки) средства защиты информации оформляется протокол испытаний, в котором указываются:

дата и место проведения испытаний (приемки);

описание испытываемого средства защиты информации;

описание проведенных испытаний;

результаты испытаний по каждому испытываемому параметру (характеристике);

выводы о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.

Форма и вид протокола испытаний устанавливаются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.

Протокол испытаний
утверждается субъектом критической информационной инфраструктуры. В случае проведения испытаний (приемки) разработчиком значимого объекта протокол испытаний утверждается разработчиком
значимого объекта и предъявляется субъекту критической информационной инфраструктуры на этапе приемочных испытаний.

Испытания (приемка), предусмотренные настоящим пунктом, проводятся в отношении средств защиты информации, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.
новый пункт 29.3
29.3. Безопасность прикладного программного обеспечения, планируемого к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающего выполнение его функций по назначению (далее – программное обеспечение), обеспечивается выполнением требований по безопасности, включающих:

а) требования по безопасной разработке программного обеспечения;

б) требования к испытаниям по выявлению уязвимостей в программном обеспечении;


в) требования к поддержке безопасности программного обеспечения.

Выполнение указанных требований по безопасности оценивается разработчиком

значимого объекта на этапе его проектирования на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.

Результаты оценки включаются разработчиком значимого объекта в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.
новый пункт 29.4
29.3.1. В ходе оценки требований по безопасной разработке программного обеспечения разработчиком значимого объекта осуществляется анализ:

руководства по безопасной разработке программного обеспечения, разрабатываемого в соответствии со стандартами безопасной разработки программного обеспечения;

результатов анализа угроз безопасности информации программного обеспечения.


Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости, дополнительно осуществляется анализ описания структуры программного обеспечения на уровне подсистем и сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами.
новый пункт 29.5
29.3.2. В ходе оценки требований к испытаниям по выявлению уязвимостей в программном обеспечении разработчиком значимого объекта осуществляется анализ:


результатов статического анализа кода программного обеспечения;

результатов фаззинг-тестирования программного обеспечения, направленного на выявление в нем уязвимостей.


Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости,
дополнительно осуществляется анализ результатов динамического анализа программного обеспечения.
новый пункт 29.6
29.3.3. В ходе оценки требований к поддержке безопасности программного обеспечения разработчиком значимого объекта осуществляется анализ:

описания процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;

описания способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного
обеспечения, а также о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, а также способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности.

Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости, дополнительно осуществляется анализ обязательств разработчика (производителя) программного обеспечения об информировании субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения.
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
В значимом объекте не допускаются:

наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;











наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;


























































Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
В значимом объекте не допускаются:

наличие удаленного доступа
к программным и программно-аппаратным средствам, в том числе средствам
защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, дочерних (зависимых) обществ, юридических лиц, в которых субъект критической информационной инфраструктуры имеет возможность определять принимаемые этими лицами решения, обществ, имеющих более двадцати процентов уставного капитала субъекта критической информационной инфраструктуры, либо юридических лиц, имеющих возможность определять решения, принимаемые субъектом критической информационной инфраструктуры;

наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, дочерних (зависимых) обществ, юридических лиц, в которых субъект критической информационной инфраструктуры имеет возможность определять принимаемые этими лицами решения, обществ, имеющих более двадцати процентов уставного капитала субъекта критической информационной инфраструктуры, либо юридических лиц, имеющих возможность определять решения, принимаемые субъектом критической информационной инфраструктуры;

В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие:

определение лиц и устройств, которым разрешен удаленный доступ к  программным и программно-аппаратным средствам значимого объекта, а также прав их доступа, назначение им минимально необходимых привилегий;

контроль доступа к программным и программно-аппаратным средствам значимого объекта;

защита информации и данных при их передаче по каналам связи при удаленном доступе к программным и программно-аппаратным средствам значимого объекта;

мониторинг и регистрация действий лиц, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий;

обеспечение невозможности отказа лиц от фактов совершенных ими действий при осуществлении удаленного доступа к программным и программно-аппаратным средствам значимого объекта.

В значимом объекте могут приниматься дополнительные организационные и технические меры по обеспечению безопасности удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопасности информации, приведенных в модели угроз безопасности информации, разрабатываемой в соответствии с пунктом 11.1 настоящих Требований.

Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
старый пункт 32 перенесен в новый пункт 26.1 и изложен в новой редакции

32. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.



пункт 32 признан утратившим силу

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности