- Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
- Требования к организации защиты информации, содержащейся в информационной системе
- Разработка системы защиты информации информационной системы
- Внедрение системы защиты информации информационной системы
- ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
- Аттестация информационной системы и ввод ее в действие
- Формирование требований к защите информации, содержащейся в информационной системе
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
планирование мероприятий по защите информации в информационной системе;
анализ угроз безопасности информации в информационной системе;
управление (администрирование) системой защиты информации информационной системы;
управление конфигурацией информационной системы и ее системой защиты информации;
реагирование на инциденты;
информирование и обучение персонала информационной системы;
контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.
(п. 18 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
18.1. В ходе планирования мероприятий по защите информации в информационной системе осуществляются:
определение лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе;
определение лиц, ответственных за выявление инцидентов и реагирование на них;
разработка, утверждение и актуализация плана мероприятий по защите информации в информационной системе;
определение порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом.
План мероприятий по защите информации в информационной системе утверждается вместе с правовым актом органа исполнительной власти о вводе информационной системы в эксплуатацию.
Контроль выполнения мероприятий, предусмотренных планом мероприятий по защите информации в информационной системе, осуществляется в сроки, определенные указанным планом.
(п. 18.1 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
18.2. В ходе анализа угроз безопасности информации в информационной системе в ходе ее эксплуатации осуществляются:
выявление, анализ и устранение уязвимостей информационной системы;
анализ изменения угроз безопасности информации в информационной системе;
оценка возможных последствий реализации угроз безопасности информации в информационной системе.
Периодичность проведения указанных работ определяется оператором в организационно-распорядительных документах по защите информации.
(п. 18.2 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
18.3. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
определение лиц, ответственных за управление (администрирование) системой защиты информации информационной системы;
управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в информационной системе;
управление средствами защиты информации информационной системы;
управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы;
централизованное управление системой защиты информации информационной системы (при необходимости);
мониторинг и анализ зарегистрированных событий в информационной системе, связанных с обеспечением безопасности (далее — события безопасности);
обеспечение функционирования системы защиты информации информационной системы в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.
(п. 18.3 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
18.4. В ходе управления конфигурацией информационной системы и ее системы защиты информации осуществляются:
определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий;
определение компонентов информационной системы и ее системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;
управление изменениями информационной системы и ее системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в информационную систему и ее систему защиты информации, документирование действий по внесению изменений в информационную систему и сохранение данных об изменениях конфигурации;
контроль действий по внесению изменений в информационную систему и ее систему защиты информации.
Реализованные процессы управления изменениями информационной системы и ее системы защиты информации должны включать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, информационной системы.
(п. 18.4 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
18.5. В ходе реагирования на инциденты осуществляются:
обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;
анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
планирование и принятие мер по предотвращению повторного возникновения инцидентов.
(п. 18.5 введен Приказом ФСТЭК России от 28.05.2019 N 106)
18.6. В ходе информирования и обучения персонала информационной системы осуществляются:
информирование персонала информационной системы о появлении актуальных угрозах безопасности информации, о правилах безопасной эксплуатации информационной системы;
доведение до персонала информационной системы требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;
обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;
проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;
контроль осведомленности персонала информационной системы об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
Периодичность проведения практических занятий и тренировок с персоналом, мероприятий по обучению персонала и контролю осведомленности персонала устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже 1 раза в два года.
(п. 18.6 введен Приказом ФСТЭК России от 28.05.2019 N 106)
18.7. В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:
контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы;
анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы;
документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе;
принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации.
Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе 1 класса защищенности, устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже 1 раза в год.
Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 2 и 3 классов защищенности, устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.
(п. 18.7 введен Приказом ФСТЭК России от 28.05.2019 N 106)
Требования к организации защиты информации, содержащейся в информационной системе
8. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 30, ст. 4590; N 43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874).
11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N 1, ст. 6; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012, N 31, ст. 4322; 2012, N 50, ст. 6959).
12. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее — система защиты информации информационной системы).
(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Разработка системы защиты информации информационной системы
15. Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).
Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее — ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
проектирование системы защиты информации информационной системы;
разработку эксплуатационной документации на систему защиты информации информационной системы;
макетирование и тестирование системы защиты информации информационной системы (при необходимости).
Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
15.1. При проектировании системы защиты информации информационной системы:
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Результаты проектирования системы защиты информации информационной системы отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее — ГОСТ 34.201).
Проектная документация на информационную систему и (или) ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы.
При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, для блокирования актуальных угроз безопасности информации могут быть применены меры защиты информации, реализуемые в информационно-телекоммуникационной инфраструктуре центра обработки данных.
(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)
15.2. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:структуры системы защиты информации информационной системы;состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
правил эксплуатации системы защиты информации информационной системы.
15.3. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляются:
проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы;
абзац исключен. — Приказ ФСТЭК России от 15.02.2017 N 27.
Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
Внедрение системы защиты информации информационной системы
16. Внедрение системы защиты информации информационной системы организуется обладателем информации (заказчиком).
Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
установку и настройку средств защиты информации в информационной системе;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
предварительные испытания системы защиты информации информационной системы;
опытную эксплуатацию системы защиты информации информационной системы;
анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
приемочные испытания системы защиты информации информационной системы.
К внедрению системы защиты информации информационной системы привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиком данной информационной системы.
16.1. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации.
Средства защиты информации, устанавливаемые в информационной системе, функционирующей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны быть совместимы между собой, а также со средствами защиты информации, установленными в информационно-телекоммуникационной инфраструктуре центра обработки данных.
16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:
управления (администрирования) системой защиты информации информационной системы;
выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее — инциденты), и реагирования на них;
управления конфигурацией аттестованной информационной системы и системы защиты информации информационной системы;
контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.
16.3. При внедрении организационных мер защиты информации осуществляются:
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации;
отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
16.4. Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее — ГОСТ 34.603) и включают проверку работоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы.
16.5. Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы.
16.6. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.
При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)
16.7. Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Список изменяющих документов
(в ред. Приказов ФСТЭК России от 15.02.2017 N 27, от 28.05.2019 N 106)
В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818), ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
2. Установить, что указанные в пункте 1 настоящего приказа Требования применяются для защиты информации в государственных информационных системах с 1 сентября 2013 г.
Федеральной службы по техническому
от 11 февраля 2013 г. N 17
Аттестация информационной системы и ввод ее в действие
17. Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям.
Проведение аттестационных испытаний информационной системы должностными лицами (работниками), осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27; в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
17.1. В качестве исходных данных, необходимых для аттестации информационной системы, используются модель угроз безопасности информации, акт классификации информационной системы, техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы, материалы предварительных и приемочных испытаний системы защиты информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.
17.2. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
По решению заказчика (оператора) аттестационные испытания могут быть совмещены с проведением приемочных испытаний информационной системы.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):
экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;
анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.
17.3. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.
Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.
Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.
В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.
Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
17.4. Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы должен обеспечивать поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.
(п. 17.4 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
17.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.
В случае если информационная система создается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных уполномоченного лица, такая инфраструктура центра обработки данных должна быть аттестована на соответствие настоящим Требованиям.
(в ред. Приказа ФСТЭК России от 28.05.2019 N 106)
При аттестации информационной системы должны используются результаты аттестации общей инфраструктуры оператора информационной системы.
(п. 17.6 введен Приказом ФСТЭК России от 15.02.2017 N 27)
Формирование требований к защите информации, содержащейся в информационной системе
14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее — ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее — ГОСТ Р 51624) и в том числе включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы по требованиям защиты информации (далее — классификация информационной системы);
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации информационной системы.
14.1. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:
анализ целей создания информационной системы и задач, решаемых этой информационной системой;
определение информации, подлежащей обработке в информационной системе;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц.
14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс — третий, самый высокий — первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к настоящим Требованиям.
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее — ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
Результаты классификации информационной системы оформляются актом классификации.
(сноска введена Приказом ФСТЭК России от 28.05.2019 N 106)
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее — банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818).
14.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
цель и задачи обеспечения защиты информации в информационной системе;
класс защищенности информационной системы;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе;
стадии (этапы работ) создания системы защиты информационной системы;
требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
функции заказчика и оператора по обеспечению защиты информации в информационной системе;
требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности обладателя информации (заказчика), а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (заказчика).
В случае создания информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных.
