Изменения, которые вносятся в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239
1. В пункте 7 слово "(модернизации)" заменить словами "(модернизации, при которой изменяется архитектура значимого объекта, в том числе подсистема его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта (далее - модернизация)".
2. Абзац шестнадцатый пункта 11.2 после слов "функций безопасности" дополнить словами ", а также выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в соответствии с пунктами 27-31 настоящих Требований".
3. Пункт 12.4 после слов "и отдельных средств защиты информации," дополнить словами "оценку выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в соответствии с пунктами 27-31 настоящих Требований,".
4. Дополнить пунктом 26.1 следующего содержания:
"26.1. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.";
5. После пункта 26.1 дополнить наименованием главы IV следующего содержания:
"IV. Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов".
6. Абзац первый пункта 27 дополнить словами ", а также обеспечения безопасности программного обеспечения и программно-аппаратных средств, применяемых в значимых объектах".
7. Абзац четвертый пункта 28 признать утратившим силу.
8. Дополнить пунктами 29.2-29.4 следующего содержания:
"29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом "ж" пункта 10 настоящих Требований.
Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно к указанным требованиям должны соответствовать 6 или более высокому уровню доверия.
Испытания (приемка) средств защиты информации на соответствие требованиям к уровню доверия и требованиям к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4 настоящих Требований.
Испытания (приемка) проводятся отдельно или в составе значимого объекта. Программа и методики испытаний (приемки) утверждаются субъектом критической информационной инфраструктуры в случае самостоятельного проведения испытаний. В случае проведения испытаний иным лицом, программа и методики испытаний (приемки) утверждаются этим лицом по согласованию с субъектом критической информационной инфраструктуры.
По результатам испытаний (приемки) средства защиты информации оформляется протокол испытаний, в котором указываются:
дата и место проведения испытаний (приемки);
описание испытываемого средства защиты информации;
описание проведенных испытаний;
результаты испытаний по каждому испытываемому параметру (характеристике);
выводы о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.
Протокол испытаний утверждается субъектом критической информационной инфраструктуры в случае самостоятельного проведения испытаний. В ином случае протокол испытаний утверждается лицом, проводившим испытания, и представляется субъекту критической информационной инфраструктуры на этапе приемочных испытаний для принятия решения о возможности применения средства защиты информации в значимом объекте.
Испытания (приемка), предусмотренные настоящим пунктом, проводятся в отношении средств защиты информации, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.
29.3. Прикладное программное обеспечение, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению (далее - программное обеспечение), должно соответствовать следующим требованиям по безопасности:
29.3.1. Требования по безопасной разработке программного обеспечения:
наличие руководства по безопасной разработке программного обеспечения;