ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 25 декабря 2017 года N 239
Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
(с изменениями на 20 февраля 2020 года)
(редакция, действующая с 1 января 2023 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом ФСТЭК России от 9 августа 2018 года N 138 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 06.09.2018, N 0001201809060006);
приказом ФСТЭК России от 26 марта 2019 года N 60 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 19.04.2019, N 0001201904190031) (о порядке вступления в силу см. пункт 2 приказом ФСТЭК России от 26 марта 2019 года N 60);
приказом ФСТЭК России от 20 февраля 2020 года N 35 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 14.09.2020, N 0001202009140010) (о порядке вступления в силу изменений см. пункт 2 приказа ФСТЭК России от 20 февраля 2020 года N 35).
____________________________________________________________________
В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736)
приказываю:
Утвердить прилагаемые Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Директор
Федеральной службы по техническому
и экспортному контролю
В.Селин
Зарегистрировано
в Министерстве юстиции
Российской Федерации
26 марта 2018 года,
регистрационный N 50524
УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 25 декабря 2017 года N 239
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
(с изменениями на 20 февраля 2020 года)
I. Общие положения
1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее - значимые объекты, критическая информационная инфраструктура) при проведении в отношении них компьютерных атак.
2. Действие настоящих Требований распространяется на информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, которые отнесены к значимым объектам критической информационной инфраструктуры в соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
3. По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.
4. Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).
Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17" (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).
6. Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
II. Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов
7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации, при которой изменяется архитектура значимого объекта, в том числе подсистема его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта (далее - модернизация), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.
(Пункт в редакции, введенной в действие с 25 сентября 2020 года приказом ФСТЭК России от 20 февраля 2020 года N 35. - См. предыдущую редакцию)
8. На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
г) обеспечение безопасности значимого объекта в ходе его эксплуатации;
д) обеспечение безопасности значимого объекта при выводе его из эксплуатации.
Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.
9. Для значимых объектов, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации или дооснащения подсистем безопасности эксплуатируемых значимых объектов. Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов.
Установление требований к обеспечению безопасности значимого объекта
10. Задание требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2018, N 8, ст.1204).
Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:
а) цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта;
б) категорию значимости значимого объекта;
в) перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;
г) перечень типов объектов защиты значимого объекта;
д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта;
(Подпункт в редакции, введенной в действие с 30 апреля 2019 года приказом ФСТЭК России от 26 марта 2019 года N 60. - См. предыдущую редакцию)
е) стадии (этапы работ) создания подсистемы безопасности значимого объекта;
ж) требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
з) требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);
и) требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями;
к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта.
(Подпункт дополнительно включен с 30 апреля 2019 года приказом ФСТЭК России от 26 марта 2019 года N 60)
В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капитального строительства.
При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - организационно-распорядительные документы по безопасности значимых объектов).
Разработка организационных и технических мер по обеспечению безопасности значимого объекта
11. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимого объекта и (или) обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и должна включать:
а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
б) проектирование подсистемы безопасности значимого объекта;
в) разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны оказывать негативного влияния на создание и функционирование значимого объекта.
При разработке организационных и технических мер по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
11.1. Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее - архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации должен включать:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N7, ст.818; 2013, N 26, ст.3314; N 53, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198) (далее - банк данных угроз безопасности информации ФСТЭК России), а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации.
По результатам анализа угроз безопасности информации могут быть разработаны рекомендации по корректировке архитектуры значимого объекта и организационно-распорядительных документов по безопасности значимых объектов, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
а) источник угрозы безопасности информации;
б) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
в) возможные способы (сценарии) реализации угрозы безопасности информации;
г) возможные последствия от реализации (возникновения) угрозы безопасности информации.
(Абзац в редакции, введенной в действие с 30 апреля 2019 года приказом ФСТЭК России от 26 марта 2019 года N 60. - См. предыдущую редакцию)
Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
11.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
При проектировании подсистемы безопасности значимого объекта:
а) определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа;
