Приказ ФСТЭК 2018

Приказ ФСТЭК 2018

12.04.2018 00:00Приказ ФСТЭК России от 25 декабря 2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации при проведении в отношении них компьютерных атак.

Действие Требований распространяется на информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, которые отнесены к значимым объектам критической информационной инфраструктуры в соответствии со статьей 7 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Приказ вступает в силу 6 апреля 2018 года

Внесенные изменения Приказом ФСТЭК России от 09.08.2018 № 138, вступающие в силу по истечении 10 дней после дня официального опубликования (опубликован на Официальном интернет-портале правовой информации http://www.pravo.gov.ru — 06.09.2018)

  • pdf (443.9 Кб) 239 с изменениями

Обзор документа

Скорректированы правила категорирования объектов критической информационной инфраструктуры (КИИ).

Если объект КИИ по одному из показателей критериев значимости отнесен к первой категории, то расчет по остальным показателям не требуется.

Уточнено, что комиссия по категорированию является постоянно действующей. Теперь она также определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость. Кроме того, комиссия оценивает необходимость категорирования вновь создаваемых информсистем, автоматизированных систем управления и информационно-телекоммуникационных сетей.

Перечень объектов КИИ направляется в уполномоченный орган в печатном и электронном виде в течение 10, а не 5 рабочих дней. При этом в него также включаются объекты филиалов и представительств.

Разрешено оформлять единый акт по результатам категорирования нескольких объектов, если они принадлежат одному субъекту КИИ.

Обновлен перечень показателей критериев значимости объектов КИИ и их значений.

Источник: информационно-правовой портал ГАРАНТ.РУ

ВАЖНО: с 1 января 2021 г. Приказ ФСТЭК России № 131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к СТЗИ и СОБИТ» признается утратившим силу в соответствии с Приказом ФСТЭК России №76 от 02.06.2020.

Текст полностью не публиковался, доступна только выписка:

  • Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 30 июля 2018 г. N 131

Дополнительные ссылки:

  • Упоминание в Информационном сообщении ФСТЭК России от 24 октября 2018 г. N 240/22/4722
  • Упоминание в Информационном сообщении ФСТЭК России от 29 марта 2019 г. N 240/24/1525
  • Упоминание в Информационном сообщении ФСТЭК России от 15 октября 2020 г. N 240/24/4268

«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. No 131, приказ зарегистрирован Минюстом России 14 ноября 2018 г. No 52686, вступил в силу с 1 августа 2018 г., применяется при проведении сертификационных испытаний с 1 мая 2019 г.

Требования доверия являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа.

Требования доверия применяются к программным и программно-техническим средствам технической защиты информации (СТЗИ), средствам обеспечения безопасности информационных технологий (СОБИТ), включая защищенные средства обработки информации.

Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

Уровни доверия

Устанавливается 6 уровней доверия. Самый низкий уровень — 6, самый высокий — 1. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ (ЗО КИИ), классы ГИС, АСУТП, ИСОП и уровни ИСПДн.

  • Уровень доверия 4:
    • Классы защиты СЗИ 4;
    • ЗО КИИ 1 категории;
    • ГИС 1 класса;
    • АСУТП 1 класса;
    • ИСПДн 1 уровня;
    • ИСОП II класса;
  • Уровень доверия 5:
    • Классы защиты СЗИ 5;
    • ЗО КИИ 2 категории;
    • ГИС 2 класса;
    • АСУТП 2 класса;
    • ИСПДн 2 уровня;
  • Уровень доверия 6:
    • Классы защиты СЗИ 6;
    • ЗО КИИ 3 категории;
    • ГИС 3 класса;
    • АСУТП 3 класса;
    • ИСПДн 3 и 4 уровня
  • Средства защиты информации, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Содержание требований доверия

Требования к обновлению средств соответствующего уровня доверия

  • Требования к обновлению средства, соответствующего 6 уровню доверия

пункт 89. Обновление средства должно предусматривать:

  • информирование потребителей средства о выпуске обновлений;
  • обеспечение возможности получения обновления средства способами, обеспечивающими его целостность.
  • Требования к обновлению средства, соответствующего 5 уровню доверия

пункт 93. Наряду с требованиями к обновлению средства, установленными пунктом 89 настоящих Требований, дополнительно предъявляются следующие требования:

  • в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
  • при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
  • Требования к обновлению средства, соответствующего 4 уровню доверия

пункт 97. Наряду с требованиями к обновлению средства, установленными пунктом 93 настоящих Требований, доведение информации о выпуске обновлений средства должно осуществляться до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.

Порядок применения Требований доверия

  • Требования к уровню доверия подлежат применению при сертификации средств защиты информации с 1 июня 2019 г.
  • В связи с утверждением Требований к уровню доверия с 1 июня 2019 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию средств защиты информации на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».
  • Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
  • Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено.

Выявление уязвимостей и недекларированных возможностей

  • В соответствии с главой IV Требований к уровням доверия в отношении средств защиты информации должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей.
  • В целях реализации указанного требования в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России разработана и утверждена 11 февраля 2019 г. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика).
  • В соответствии с Требованиями к уровням доверия и Методикой для дифференциации требований к исследованиям программного обеспечения средств защиты информации по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень — шестой, самый высокий — первый.
  • Средства защиты информации,
    • соответствующие 6 уровню доверия, проходят исследования по 6 уровню контроля,
    • соответствующие 5 уровню доверия — по 5 уровню контроля,
    • соответствующие 4 уровню доверия — по 4 уровню контроля,
    • соответствующие 3 уровню доверия — по 3 уровню контроля,
    • соответствующие 2 уровню доверия — по 2 уровню контроля,
    • соответствующие 1 уровню доверия — по 1 уровню контроля.

Дополнительный источник: Презентация Шевцова Дмитрия Николаевича, начальника управления ФСТЭК России

Приказом ФСБ России от 24.07.2018 N 366 установлено, что Национальный координационный центр по компьютерным инцидентам (НКЦКИ) является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Задачей НКЦКИ является обеспечение координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Информационно-аналитическое, организационное и материально-техническое обеспечение НКЦКИ осуществляется Центром защиты информации и специальной связи ФСБ России.

НКЦКИ осуществляет следующие функции:

  • обеспечивает своевременное доведение до субъектов критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
  • организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры;
  • участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак;
  • осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и компьютерных атаках.

Данный документ находится в системе «Помощник юриста».
Купить информационно-правовую систему для юриста «Кодекс: Помощник юриста» Вы сможете, заказав бесплатную демонстрацию в Вашем офисе.
Позвоните по телефону: +7(495)730-07-66.
Контактное лицо: Зорина Екатерина

Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям в части закона о КИИ.

8 февраля этого года вышло постановление Правительства № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Постановление предписывает субъектам КИИ – государственным органам и государственным учреждениям – утвердить до 1 сентября 2019 года перечень объектов критической информационной структуры, подлежащих категорированию. Последние изменения в постановление были внесены в середине апреля.

В нашем документе вы найдете краткий перечень основных положений постановления, упрощенный для восприятия, детализацию действий по всем пунктам и комментарии экспертов рынка.

«Информзащита» существует более 24 лет на рынке и на протяжении этих лет регулярно оказывает консалтинговые услуги по приведению в соответствие требованиям законодательства для компаний всех отраслей. В частности, у компании уже есть опыт успешных проектов по формированию перечня объектов КИИ и дальнейшего категорирования объектов КИИ.

Посмотреть еще:

  • Приказ о создании обособленного подразделения образец 2018

    Создание обособленного подразделения — это открытие территориально обособленной от головного предприятия структурной единицы. Таким правом…

  • Приказ 1077

    Приказ Министерства культуры РФ от 8 октября 2012 г. N 1077 "Об утверждении Порядка учета…

  • Приказ 65 ГСМ

    Что такое ГСМ в вакансии (работа)? ГСМ и есть ГСМ - горюче-смазочные материалы. В вакансии…

  • График работы почты России на ноябрь 2018

    В связи с празднованием Дня народного единства изменится график работы отделений Почты России в период…

  • Акций мегионнефтегаз 2018

    Перед вами обычные акции отечественной компании Славнефть-Мегионнефтегаз. На протяжении года котировки акций Славнефть-Мегионнефтегаз следовали за…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *