Анализ изменений Приказа ФСТЭК № 239 от 25 декабря 2017 г. «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ». Цветом отмечены изменения.
| Пункт | Было | Стало | Комментарии |
| П. 10.д изменить | д) организационные и технические меры, применяемые для обеспечения безопасности значимого объекта | д) требования к организационным и техническим мерам, применяемымдля обеспечения безопасности значимого объекта | Не меры, а требования к ним |
| П. 10.к добавить | к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта | ||
| П. 11.1 дополнить | г) возможные последствия от угрозы безопасности информации | г) возможные последствия от реализации (возникновения) угрозы безопасности информации | |
| П. 11.2.в дополнить | в) обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта; | в) определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта; | |
| П. 11.2.в дополнить | Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта) |
Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта), разрабатываемой в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта. В процессе проектирования значимого объекта его категория значимости может быть уточнена. |
Результаты проектирования разрабатываются в соответствии с ТЗ |
| П. 12.5 дополнить | … администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности |
… администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности. По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта и его подсистемы безопасности. |
По результатам опытной эксплуатации принимается решение о проведении приемочных испытаний |
| П. 12.6 изменить | … Анализ уязвимостей значимого объекта проводится до ввода его в действие на этапах, определяемых субъектом критической информационной инфраструктуры. | … Анализ уязвимостей значимого объекта проводится до ввода его в эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры. | |
| П. 12.7 изменить | … Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности | … Ввод в эксплуатацию значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности | |
|
П. 14.в дополнить |
в) уничтожение данных об архитектуре и конфигурации значимого объекта; | в) уничтожение или архивирование данных об архитектуре и конфигурации значимого объекта; | Предусмотрено архивирование данных при вывода объекта из эксплуатации |
|
П. 29 изменить |
… При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации. | … При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия | Разделена 1 и 2 категория значимости. Кроме того, идет описание 3 категории значимости. |
|
П. 29 дополнить |
… Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. | … Классы защиты и уровни доверия определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 | |
|
П. 29.1 добавить |
29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности). В случае отсутствия технической возможности применения в значимых объектах 1 категории значимости граничных маршрутизаторов, сертифицированных на соответствие требованиям по безопасности информации, функции безопасности граничных маршрутизаторов подлежат оценке на соответствие требованиям по безопасности в рамках приемки или испытаний значимых объектов. Обоснование отсутствия технической возможности приводится в проектной документации на значимые объекты (подсистемы безопасности значимых объектов), разрабатываемой в соответствии с техническим заданием на создание значимых объектов и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимых объектов. |
Необходимо использовать сертифицированные граничные маршрутизаторы для объектов 1 категории значимости. | |
|
П. 31 добавить |
Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации). | Средства хранения и обработки информации в составе значимого объекта 1 категории должны находится на территории Российской Федерации за исключением случаев установленных законодательством |
Приложение к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239. Знаком «+» отмечены категории значимости 3-2-1 соответственно.
| Пункт | Было | Стало | Комментарии | ||||||
| ИАФ.0, ПД.0, ОПС.0,ЗНИ.0, АУД.0, АВЗ.0, СОВ.0, ОЦЛ.0, ОДТ.0, ЗТС.0, ЗИС.0, НЦ.0, УКФ.0,ОПО.0, ПЛН.0, НС.0, ИПО.0 | Разработка политики… | Регламентация правил и процедур… | Понятие «Разработка политики» заменено на «Регламентация правил и процедур» | ||||||
| УПД.2 | Реализация политик управления доступом | + | + | + | Реализация модели управления доступом | + | + | + | |
| УПД.8 | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | + | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | Не обязательно для 1 категории | |||||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | + | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | + | + | Рассматриваются съемные носители |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | + | Контроль ввода (вывода) информации на съемные машинные носители информации | + | |||||
| ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + | Контроль подключения съемных машинных носителей информации | + | + | + | |
| АУД.9 | Анализ действий пользователей | + | Анализ действий отдельных пользователей | + | |||||
| АУД.11 | Проведение внешних аудитов | + | Проведение внешних аудитов | Не обязательно для 1 категории | |||||
| ЗИС.6 | Управление сетевыми потоками | Управление сетевыми потоками | + | + | + | Добавлено для 1, 2 и 3 категории | |||
| ЗИС.23 | Контроль использования мобильного кода | + | + | Контроль использования мобильного кода | Не обязательно для 1 и 2 категории | ||||
| ЗИС.24 | Контроль передачи речевой информации | + | + | Контроль передачи речевой информации | |||||
| ЗИС.25 | Контроль передачи видеоинформации | + | + | Контроль передачи видеоинформации | |||||
| ЗИС.28 | Исключение возможности отрицания отправки информации | + | + | Исключение возможности отрицания отправки информации | Не обязательно для 1 и 2 категории | ||||
| ЗИС.29 | Исключение возможности отрицания получения информации | + | + | Исключение возможности отрицания получения информации | |||||
| ЗИС.31 | Защита от скрытых каналов передачи информации | Защита от скрытых каналов передачи информации | Не обязательно для 1 категории | ||||||
| ЗИС.35 | Управление сетевыми соединениями | + | + | Управление сетевыми соединениями | + | + | + | Добавлена 3 категория | |
| ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | Хранение и защита информации о компьютерных инцидентах | + | + | + | Добавлена 2 и 3 категория | ||
Если вы читаете этот материал, значит вы уже достаточно погрузились в тему 187-ФЗ «О безопасности КИИ» и скорее всего определили что ваше предприятие является субъектом КИИ. Значит вам непременно будет полезен наш онлайн-тест. С помощью теста вы определите категорию значимости объектов КИИ своего предприятия. Ответив на предлагаемые вопросы, вы мгновенно получите значение категории объекта КИИ. Хотим предупредить – процесс заполнения не легкий, но на сколько ответственно вы к нему подойдёте на столько будет точно определена категория объекта КИИ.
