ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 21 декабря 2017 года N 235

Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования

(с изменениями на 20 апреля 2023 года)

В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736)

приказываю:

Утвердить прилагаемые Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Директор
Федеральной службы по
техническому и
экспортному контролю
В.Селин

Зарегистрировано

в Министерстве юстиции

Российской Федерации

22 февраля 2018 года,

регистрационный N 50118

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 21 декабря 2017 года N 235

     

Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования

(с изменениями на 20 апреля 2023 года)

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и устанавливают требования к созданию субъектами критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) систем безопасности значимых объектов критической информационной инфраструктуры (далее - системы безопасности) и по обеспечению их функционирования.

2. Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности (защиты информации) субъектов критической информационной инфраструктуры.

3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры с учетом значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.

(Абзац в редакции, введенной в действие с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64. - См. предыдущую редакцию)

4. Системы безопасности включают силы обеспечения безопасности значимых объектов критической информационной инфраструктуры и используемые ими средства обеспечения безопасности значимых объектов критической информационной инфраструктуры.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся:

подразделения (работники) субъекта критической информационной инфраструктуры, ответственные за обеспечение безопасности значимых объектов критической информационной инфраструктуры;

подразделения (работники), эксплуатирующие значимые объекты критической информационной инфраструктуры;

подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) значимых объектов критической информационной инфраструктуры;

иные подразделения (работники), участвующие в обеспечении безопасности значимых объектов критической информационной инфраструктуры.

К средствам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

5. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов критической информационной инфраструктуры, разрабатываемыми субъектами критической информационной инфраструктуры в соответствии с настоящими Требованиями (далее - организационно-распорядительные документы по безопасности значимых объектов).

6. Системы безопасности должны обеспечивать:

предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов критической информационной инфраструктуры;

восстановление функционирования значимых объектов критической информационной инфраструктуры, в том числе за счет создания и хранения резервных копий необходимой для этого информации;

непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которое осуществляется в соответствии со статьей 5 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

7. Создаваемые системы безопасности должны соответствовать требованиям, предъявляемым к:

силам обеспечения безопасности значимых объектов критической информационной инфраструктуры;

программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры;

организационно-распорядительным документам по безопасности значимых объектов;

функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

II. Требования к силам обеспечения безопасности значимых объектов критической информационной инфраструктуры

8. Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по обеспечению информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - ответственное лицо), создает систему безопасности, организует и контролирует ее функционирование.

(Пункт в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.

(Абзац дополнительно включен с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64)

10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (ответственному лицу);

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;

обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);

обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";

организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;

готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.

Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.

10.1. По решению руководителя субъекта критической информационной инфраструктуры (ответственного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют ответственное лицо и (или) структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры.

(Пункт дополнительно включен с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64)

10.2. В случае если субъект критической информационной инфраструктуры является хозяйственным обществом (товариществом), имеющим дочерние общества, также являющиеся субъектами критической информационной инфраструктуры, или некоммерческой организацией, участвующей в организациях, являющихся субъектами критической информационной инфраструктуры, в которых некоммерческая организация имеет возможность определять принимаемые этими организациями решения, то структурные подразделения по безопасности, специалисты по безопасности основного хозяйственного общества (товарищества), некоммерческой организации должны осуществлять координацию структурных подразделений по безопасности, специалистов по безопасности дочерних обществ, организаций, в которых участвует некоммерческая организация.     

(Пункт дополнительно включен с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64)

11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации).

12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность", наличие стажа работы в сфере информационной безопасности не менее 3 лет;

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования с прохождением обучения по программе повышения квалификации по направлению "Информационная безопасность;

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

прохождение не реже одного раза в 3 года обучения по программам повышения квалификации по направлению "Информационная безопасность".

(Абзац в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)

(Пункт в редакции, введенной в действие с 1 января 2021 года приказом ФСТЭК России от 27 марта 2019 года N 64. - См. предыдущую редакцию)       

12.1 На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью.

(Пункт дополнительно включен с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69)

13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.

Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).