fbpx

Приказ ФСТЭК № 239. Обзор изменений.

Анализ изменений Приказа ФСТЭК № 239 от 25 декабря 2017 г. «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ». Цветом отмечены изменения. 

 

Пункт Было Стало Комментарии
П. 10.д изменить д) организационные и технические меры, применяемые для обеспечения безопасности значимого объекта д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта Не меры, а требования к ним
П. 10.к добавить   к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта  
П. 11.1 дополнить г) возможные последствия от угрозы безопасности информации г) возможные последствия от реализации (возникновения) угрозы безопасности информации  
П. 11.2.в дополнить в) обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта; в) определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;  
П. 11.2.в дополнить Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта) Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта), разрабатываемой в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.
В процессе проектирования значимого объекта его категория значимости может быть уточнена.
Результаты проектирования разрабатываются в соответствии с ТЗ
П. 12.5 дополнить … администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности … администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности.
По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта и его подсистемы безопасности.
По результатам опытной эксплуатации принимается решение о проведении приемочных испытаний
П. 12.6 изменить … Анализ уязвимостей значимого объекта проводится до ввода его в действие на этапах, определяемых субъектом критической информационной инфраструктуры. … Анализ уязвимостей значимого объекта проводится до ввода его в эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.  
П. 12.7 изменить … Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности … Ввод в эксплуатацию значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности  
П. 14.в
дополнить
в) уничтожение данных об архитектуре и конфигурации значимого объекта; в) уничтожение или архивирование данных об архитектуре и конфигурации значимого объекта; Предусмотрено архивирование данных при вывода объекта из эксплуатации
П. 29
изменить
… При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации. … При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия Разделена 1 и 2 категория значимости. Кроме того, идет описание 3 категории значимости.
П. 29
дополнить
… Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. … Классы защиты и уровни доверия определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085  
П. 29.1
добавить
 

29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).

В случае отсутствия технической возможности применения в значимых объектах 1 категории значимости граничных маршрутизаторов, сертифицированных на соответствие требованиям по безопасности информации, функции безопасности граничных маршрутизаторов подлежат оценке на соответствие требованиям по безопасности в рамках приемки или испытаний значимых объектов.

Обоснование отсутствия технической возможности приводится в проектной документации на значимые объекты (подсистемы безопасности значимых объектов), разрабатываемой в соответствии с техническим заданием на создание значимых объектов и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимых объектов.

Необходимо использовать сертифицированные граничные маршрутизаторы для объектов 1 категории значимости.
П. 31
добавить
  Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации). Средства хранения и обработки информации в составе значимого объекта 1 категории должны находится на территории Российской Федерации за исключением случаев установленных законодательством

 

Приложение к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239.  Знаком «+» отмечены категории значимости 3-2-1 соответственно.

 

Пункт Было Стало Комментарии
ИАФ.0, ПД.0, ОПС.0,ЗНИ.0, АУД.0, АВЗ.0, СОВ.0, ОЦЛ.0, ОДТ.0, ЗТС.0, ЗИС.0, НЦ.0, УКФ.0,ОПО.0, ПЛН.0, НС.0, ИПО.0 Разработка политики… Регламентация правил и процедур… Понятие «Разработка политики» заменено на «Регламентация правил и процедур»
УПД.2 Реализация политик управления доступом + + + Реализация модели управления доступом + + +  
УПД.8 Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе     + Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе       Не обязательно для 1 категории
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации + + + Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации + + + Рассматриваются съемные носители
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации     + Контроль ввода (вывода) информации на съемные машинные носители информации     +
ЗНИ.7 Контроль подключения машинных носителей информации + + + Контроль подключения съемных машинных носителей информации + + +
АУД.9 Анализ действий пользователей     + Анализ действий отдельных пользователей     +  
АУД.11 Проведение внешних аудитов     + Проведение внешних аудитов       Не обязательно для 1 категории
ЗИС.6 Управление сетевыми потоками       Управление сетевыми потоками + + + Добавлено для 1, 2 и 3 категории
ЗИС.23 Контроль использования мобильного кода   + + Контроль использования мобильного кода       Не обязательно для 1 и 2 категории
ЗИС.24 Контроль передачи речевой информации   + + Контроль передачи речевой информации      
ЗИС.25 Контроль передачи видеоинформации   + + Контроль передачи видеоинформации      
ЗИС.28 Исключение возможности отрицания отправки информации   + + Исключение возможности отрицания отправки информации       Не обязательно для 1 и 2 категории
ЗИС.29 Исключение возможности отрицания получения информации   + + Исключение возможности отрицания получения информации      
ЗИС.31 Защита от скрытых каналов передачи информации       Защита от скрытых каналов передачи информации       Не обязательно для 1 категории
ЗИС.35 Управление сетевыми соединениями   + + Управление сетевыми соединениями + + + Добавлена 3 категория
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах     + Хранение и защита информации о компьютерных инцидентах + + + Добавлена 2 и 3 категория

 

Если вы читаете этот материал, значит вы уже достаточно погрузились в тему 187-ФЗ «О безопасности КИИ» и скорее всего определили что ваше предприятие является субъектом КИИ. Значит вам непременно будет полезен наш онлайн-тест. С помощью теста вы определите категорию значимости объектов КИИ своего предприятия. Ответив на предлагаемые вопросы, вы мгновенно получите значение категории объекта КИИ. Хотим предупредить – процесс заполнения не легкий, но на сколько ответственно вы к нему подойдёте на столько будет точно определена категория объекта КИИ.

 

 

 

 


 

На личном опыте и опыте наших клиентов знаем, на сколько работы по выполнению требований 187-ФЗ трудоемкий процесс. Текущая загруженность или отсутствие штатных специалистов по информационной безопасности, нехватка компетенций, пробелы и постоянные изменения в законодательстве, нагнетание ситуации со стороны регуляторов – факторы которые усложняют выполнение работ собственными ресурсами.

 

Оцените возможности своих специалистов по ИБ и сравните с нашим предложением. Заполните опросный лист, и мы предоставим ТКП чтобы вы приняли взвешенное решение!

 


 

 

 

Назад

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *