45. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Контроль соответствия требованиям Приказа ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
Приказ ФСТЭК №17 от 11 февраля 2013 года
ПРИКАЗ. от 11 февраля 2013 г. N 17. Об утверждении требований. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Зарегистрировано в Минюсте России 31.05.2013 N 28608). ПРИКАЗ от 11 февраля 2013 г. N 17. Об утверждении требований о защите информации, не составляющей государственную тайну, Содержащейся в государственных информационных системах. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утв. приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17). СТP-К) и «Автоматизированные системы. Если в рассматриваемых информационных системах обрабатываются ПДн, то требования Приказа 17 применяются "наряду с требованиями Постановления Правительства РФ №1119 " (п.5.). А вот, например, Приказ 21 нигде в документе не упоминается.
Правительство Саратовской области
N 149-ФЗ "Об информации, информационных технологиях и о защите информации" Собрание законодательства Российской Федерации, 2006, N 31, ст. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст.
Пункт 26. Новые мероприятия по обеспечению ЗИ п. Комплекс мероприятий по планированию мер по защите информации в ГИС включает: определение лиц, ответственных за планирование и контроль мероприятий по защите информации в ГИС; определение лиц, ответственных, за выявление инцидентов и реагирование на них; разработка, утверждение и актуализация плана мероприятий по защите информации в ГИС; определение порядка контроля выполнения мероприятий по обеспечению защиты информации в ГИС, предусмотренных утвержденным планом. Для выполнения данных мероприятий оператор должен подготовить следующие организационно-распорядительные документы ОРД : перечень лиц, ответственных за планирование и контроль мероприятий по защите информации в ГИС; перечень лиц, ответственных за выявление инцидентов и реагирование на них; план мероприятий по защите информации, в котором будет указан порядок контроля выполнения мероприятий. Для выполнения данных мероприятий оператор должен периодически актуализировать модель угроз. Комплекс мероприятий по информированию и обучению персонала ГИС включает: информирование персонала ГИС о появлении актуальных угроз безопасности информации, о правилах безопасной эксплуатации ГИС; доведение до персонала ГИС требований по защите информации, а также положений — организационно-распорядительных документов по защите информации с учетом внесенных в них изменений; обучение персонала ГИС правилам эксплуатации отдельных СрЗИ; проведение практических занятий и тренировок с персоналом ГИС по блокированию угроз безопасности информации и реагированию на инциденты; контроль осведомленности персонала ГИС об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
Периодичность информирования и обучения должна быть не реже 1 раза в два года. Комплекс мероприятий, требующих проведения аудита пентеста : контроль анализ защищенности информации с учетом особенностей функционирования ИС п.
Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации заказчиком и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях этапах ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации в информационной системе, в рамках системы подсистемы защиты информации информационной системы далее - система защиты информации информационной системы. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение: неправомерных доступа, копирования, предоставления или распространения информации обеспечение конфиденциальности информации ; неправомерных уничтожения или модифицирования информации обеспечение целостности информации ; неправомерного блокирования информации обеспечение доступности информации.
Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение системы защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации далее - аттестация информационной системы и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Формирование требований к защите информации, содержащейся в информационной системе 14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации заказчиком. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и в том числе включает: принятие решения о необходимости защиты информации, содержащейся в информационной системе; классификацию информационной системы по требованиям защиты информации далее - классификация информационной системы ; определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты информации информационной системы.
При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется: анализ целей создания информационной системы и задач, решаемых этой информационной системой; определение информации, подлежащей обработке в информационной системе; анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации заказчика , оператора и уполномоченных лиц. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы федеральный, региональный, объектовый. Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов составных частей. Требование к классу защищенности включается в техническое задание на создание информационной системы и или техническое задание частное техническое задание на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.
Комплекс стандартов на автоматизированные системы.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и или техническое задание частное техническое задание на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34. При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности обладателя информации заказчика , а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации заказчика. В случае создания информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных. Разработка системы защиты информации информационной системы 15.
Разработка системы защиты информации информационной системы организуется обладателем информации заказчиком. Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и или техническим заданием частным техническим заданием на создание системы защиты информации информационной системы с учетом ГОСТ 34. Автоматизированные системы. Стадии создания" далее - ГОСТ 34. Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию. При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов мощностей , предоставляемых уполномоченным лицом для обработки информации. Результаты проектирования системы защиты информации информационной системы отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на информационную систему систему защиты информации информационной системы , разрабатываемых с учетом ГОСТ 34.
Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Проектная документация на информационную систему и или ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы. При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка доработка средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и или ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации. При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, для блокирования актуальных угроз безопасности информации могут быть применены меры защиты информации, реализуемые в информационно-телекоммуникационной инфраструктуре центра обработки данных. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и или техническим заданием частным техническим заданием на создание системы защиты информации информационной системы. Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляются: проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами; проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы; корректировка проектных решений, разработанных при создании информационной системы и или системы защиты информации информационной системы; абзац исключен.
Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации. Внедрение системы защиты информации информационной системы 16. Внедрение системы защиты информации информационной системы организуется обладателем информации заказчиком. Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает: установку и настройку средств защиты информации в информационной системе; разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации далее - организационно-распорядительные документы по защите информации ; внедрение организационных мер защиты информации; предварительные испытания системы защиты информации информационной системы; опытную эксплуатацию системы защиты информации информационной системы; анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению; приемочные испытания системы защиты информации информационной системы. К внедрению системы защиты информации информационной системы привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиком данной информационной системы. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации. Средства защиты информации, устанавливаемые в информационной системе, функционирующей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны быть совместимы между собой, а также со средствами защиты информации, установленными в информационно-телекоммуникационной инфраструктуре центра обработки данных.
Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры: управления администрирования системой защиты информации информационной системы; выявления инцидентов одного события или группы событий , которые могут привести к сбоям или нарушению функционирования информационной системы и или к возникновению угроз безопасности информации далее - инциденты , и реагирования на них; управления конфигурацией аттестованной информационной системы и системы защиты информации информационной системы; контроля мониторинга за обеспечением уровня защищенности информации, содержащейся в информационной системе; защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации. При внедрении организационных мер защиты информации осуществляются: реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации; отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации. Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации. Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.
Обзор изменений приказа ФСТЭК №17 утверждённых 28.05.2019
ПРИКАЗ 11 февраля 2013 г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. Утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17 ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. Контроль соответствия требованиям Приказа ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
17 приказ фстэк кратко
Приказом ФСТЭК России от 11 февраля 2013 года № 17 были утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 11 февраля 2013 года № 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных. Контроль соответствия требованиям Приказа ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. применяются для защиты информации в государственных информационных системах с 1 сентября 2013 г. Директор Федеральной службы по техническому и экспортному контролю УТВЕРЖДЕНЫ приказом ФСТЭК России от 11 февраля 2013 г. N 17. СТP-К) и «Автоматизированные системы. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанном в пункте 11.1 настоящих Требований.
Приказ ФСТЭК России от 11.02.2013 № 17
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Номер документа. Приказом ФСТЭК России от 11 февраля 2013 года № 17 были утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Если в рассматриваемых информационных системах обрабатываются ПДн, то требования Приказа 17 применяются "наряду с требованиями Постановления Правительства РФ №1119 " (п.5.). А вот, например, Приказ 21 нигде в документе не упоминается. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 11 февраля 2013 года № 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных.
Создание СЗИ ИС в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17
Селин Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах I. Общие положения 1. Настоящие Требования разработаны в соответствии с Федеральным законом от 27 июля 2006 г. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну далее - информация , от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию носители информации в целях ее добывания, уничтожения, искажения или блокирования доступа к ней далее - защита информации при обработке указанной информации в государственных информационных системах. Настоящие Требования могут применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации". В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных криптографических средств защиты информации.
Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы далее - заказчики и операторов государственных информационных систем далее - операторы. Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации заказчика или оператора и или предоставляющее им вычислительные ресурсы мощности для обработки информации на основании заключенного договора далее - уполномоченное лицо , обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями. При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 Собрание законодательства Российской Федерации, 2012, N 45, ст.
По решению обладателя информации заказчика или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах. Защита информации, содержащейся в государственной информационной системе далее - информационная система , обеспечивается путем выполнения обладателем информации заказчиком и или оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе. Требования к организации защиты информации, содержащейся в информационной системе 8. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации , общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации заказчиком и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г.
Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации в информационной системе, в рамках системы подсистемы защиты информации информационной системы далее - система защиты информации информационной системы. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение: неправомерных доступа, копирования, предоставления или распространения информации обеспечение конфиденциальности информации ; неправомерных уничтожения или модифицирования информации обеспечение целостности информации ; неправомерного блокирования информации обеспечение доступности информации. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение системы защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации далее - аттестация информационной системы и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Формирование требований к защите информации, содержащейся в информационной системе 14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации заказчиком.
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и в том числе включает: принятие решения о необходимости защиты информации, содержащейся в информационной системе; классификацию информационной системы по требованиям защиты информации далее - классификация информационной системы ; определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты информации информационной системы.
Мнения экспертов при принятии новых регулятивных актов крайне важны: законодательство в сфере ИБ еще очень зыбко и может по-разному интерпретироваться. Доказательством того, что подобные акты требуют значительной доработки, может стать активная критика Алексея Лукацкого некоторых законов в области ИБ , несмотря на его участие в их составлении.
Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и или техническое задание частное техническое задание на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации заказчика. Разработка системы защиты информации информационной системы 15. Разработка системы защиты информации информационной системы организуется обладателем информации заказчиком. Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и или техническим заданием частным техническим заданием на создание системы защиты информации информационной системы с учетом ГОСТ 34. Автоматизированные системы. Стадии создания» далее — ГОСТ 34. Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию. При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов мощностей , предоставляемых уполномоченным лицом для обработки информации. Результаты проектирования системы защиты информации информационной системы отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на информационную систему систему защиты информации информационной системы , разрабатываемых с учетом ГОСТ 34. Виды, комплектность и обозначение документов при создании автоматизированных систем» далее — ГОСТ 34. Проектная документация на информационную систему и или ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы. При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка доработка средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и или ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и или техническим заданием частным техническим заданием на создание системы защиты информации информационной системы. Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляются: проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами; проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы; корректировка проектных решений, разработанных при создании информационной системы и или системы защиты информации информационной системы; корректировка проектной и эксплуатационной документации на систему защиты информации информационной системы. Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации. Внедрение системы защиты информации информационной системы 16. Внедрение системы защиты информации информационной системы организуется обладателем информации заказчиком. Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает: установку и настройку средств защиты информации в информационной системе; разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации далее — организационно-распорядительные документы по защите информации ; внедрение организационных мер защиты информации; предварительные испытания системы защиты информации информационной системы; опытную эксплуатацию системы защиты информации информационной системы; анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению; приемочные испытания системы защиты информации информационной системы. К внедрению системы защиты информации информационной системы привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиком данной информационной системы. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры: управления администрирования системой защиты информации информационной системы; выявления инцидентов одного события или группы событий , которые могут привести к сбоям или нарушению функционирования информационной системы и или к возникновению угроз безопасности информации далее — инциденты , и реагирования на них; управления конфигурацией аттестованной информационной системы и системы защиты информации информационной системы; контроля мониторинга за обеспечением уровня защищенности информации, содержащейся в информационной системе; защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации. При внедрении организационных мер защиты информации осуществляются: реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации; отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации. Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.
Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы далее - заказчики и операторов государственных информационных систем далее - операторы. Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации заказчика или оператора и или предоставляющее им вычислительные ресурсы мощности для обработки информации на основании заключенного договора далее - уполномоченное лицо , обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями. При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 Собрание законодательства Российской Федерации, 2012, N 45, ст. По решению обладателя информации заказчика или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах. Защита информации, содержащейся в государственной информационной системе далее - информационная система , обеспечивается путем выполнения обладателем информации заказчиком и или оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе. Требования к организации защиты информации, содержащейся в информационной системе 8. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации , общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации заказчиком и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях этапах ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации в информационной системе, в рамках системы подсистемы защиты информации информационной системы далее - система защиты информации информационной системы. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение: неправомерных доступа, копирования, предоставления или распространения информации обеспечение конфиденциальности информации ; неправомерных уничтожения или модифицирования информации обеспечение целостности информации ; неправомерного блокирования информации обеспечение доступности информации. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение системы защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации далее - аттестация информационной системы и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Формирование требований к защите информации, содержащейся в информационной системе 14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации заказчиком. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и в том числе включает: принятие решения о необходимости защиты информации, содержащейся в информационной системе; классификацию информационной системы по требованиям защиты информации далее - классификация информационной системы ; определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты информации информационной системы. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется: анализ целей создания информационной системы и задач, решаемых этой информационной системой; определение информации, подлежащей обработке в информационной системе; анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации заказчика , оператора и уполномоченных лиц. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы федеральный, региональный, объектовый. Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов составных частей. Требование к классу защищенности включается в техническое задание на создание информационной системы и или техническое задание частное техническое задание на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" далее - ГОСТ 34. Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы оформляются актом классификации. N 127 зарегистрирован Минюстом России 5 ноября 2013 г. N 266 зарегистрирован Минюстом России 14 июля 2016 г.