Изменения, которые вносятся в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239
1. В Требованиях о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17:
1) пункт 20 изложить в следующей редакции:
"20. Посредством исполнения организационных и технических мер защиты информации, определяемых в соответствии с приложением № 2 к настоящим Требованиям и реализуемых в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы осуществляются:
а) идентификация и аутентификация субъектов доступа и объектов доступа;
б) управление доступом субъектов доступа к объектам доступа;
в) ограничение программной среды;
г) защита машинных носителей информации;
д) регистрация событий безопасности;
е) антивирусная защита;
ж) обнаружение (предотвращение) вторжений;
з) контроль (анализ) защищенности информации;
и) целостность информационной системы и информации;
к) доступность информации;
л) защита среды виртуализации;
м) защита технических средств;
н) защита информационной системы, ее средств, систем связи и передачи данных;
о) защита информационной системы от атак, направленных на отказ в обслуживании.";
2) после пункта 20.13 дополнить пунктом 20.14 следующего содержания:
"20.14. Меры по защите информационной системы от атак, направленных на отказ в обслуживании, должны приниматься в отношении информационной системы, имеющей интерфейсы и сервисы, к которым должен быть обеспечен постоянный доступ из информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и должны предусматривать:
а) выявление интерфейсов и сервисов информационной системы, к которым должен быть обеспечен постоянный доступ из сети "Интернет", определение их принадлежности и назначения;
б) выявление публичных сетевых адресов, зарегистрированных за оператором и (или) полученных от провайдера хостинга, и доменных имен, используемых для обеспечения функционирования информационной системы, определение их назначения;
в) выявление и исключение из информационной системы интерфейсов и сервисов информационных систем, к которым обеспечен доступ из сети "Интернет", публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования информационной системы и (или) принадлежность которых не установлена;
г) формирование перечня ресурсов сети "Интернет", с которыми может взаимодействовать информационная система, включающего исходящий и входящий сетевые потоки, их характеристики и используемые протоколы (далее - матрица коммуникаций информационной системы с сетью "Интернет");
д) определение сетевых адресов, с которыми должно быть обеспечено взаимодействие информационной системы, формирование списка разрешенных сетевых адресов в условиях реализации атак, направленных на отказ в обслуживании;
е) использование программных, программно-аппаратных средств, обеспечивающих анализ и фильтрацию сетевых запросов в соответствии с матрицей коммуникаций информационной системы с сетью "Интернет" на максимально возможной скорости для этих каналов связи и возможность блокирования сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, на сетевом и прикладном уровнях информационной системы;
ж) наличие двукратного резерва пропускной способности каналов передачи данных относительно объемов трафика в условиях отсутствия реализации атак, направленных на отказ в обслуживании;