Изменения, которые вносятся в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17
1. В Требованиях о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608):
1) в абзаце втором пункта 3 слова ", Высшего Арбитражного Суда Российской Федерации" исключить;
2) в абзаце первом пункта 12 слова "и в ходе эксплуатации" заменить словами ", в ходе эксплуатации и вывода из эксплуатации";
3) в абзаце втором пункта 14.2 слово "четыре" заменить словом "три", слово "четвертый" заменить словом "третий";
4) в пункте 14.3:
в абзаце первом слова ", оснащенности и мотивации" исключить;
дополнить абзацем вторым следующего содержания:
"В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 53, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211) (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.";
5) в пункте 14.4:
после абзаца седьмого дополнить абзацами следующего содержания:
"стадии (этапы работ) создания системы защиты информационной системы;
требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
функции заказчика и оператора по обеспечению защиты информации в информационной системе;
требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);";
слова "в случае их разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" исключить;
6) в абзаце восьмом пункта 15.1 слова "параметры настройки" заменить словами "требования к параметрам настройки";
7) абзац пятый пункта 15.3 исключить;
8) пункт 16.6 дополнить абзацем следующего содержания:
"По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно";
9) пункт 17 дополнить абзацем следующего содержания:
"Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается";
10) пункт 17.2 дополнить абзацами следующего содержания:
"При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):
экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;
анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.";
11) в пункте 17.4 слова "в случае окончания срока действия аттестата соответствия" заменить словами "по окончании срока действия аттестата соответствия, который не может превышать 5 лет,";