УТВЕРЖДЕНЫ

приказом ФСТЭК России

от 11 февраля 2013 г. N 17
Требования

о защите информации, не составляющей государственную тайну,

Содержащейся в государственных информационных системах

Список изменяющих документов

(в ред. Приказов ФСТЭК России от 15.02.2017 N 27, от 28.05.2019 N 106)
Сокращения
ЗИ – защита информации.

ГИС (ИС) – государственная(ые) информационная(ые) система(ы)

СЗИ – системы (подсистемы) защиты информации

Информация – информация ограниченного доступа, не содержащей сведения, составляющие государственную тайну

Классификация ИС – классификацию информационной системы по требованиям защиты информации

ТЗ – техническое задание

Инфраструктура - информационно-телекоммуникационной инфраструктура

ЦОД – центр обработки данных

ИТКС – информационно-телекоммуникационные сети

ОРД – организационно-распорядительные документы по защите информации (документы, определяющие правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации)

Оператор – оператор государственной информационной системы

Субъекты доступа – пользователи, процессы и иные субъекты доступа

Объекты доступа, являющихся объектами защиты – устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа

События безопасности – зарегистрированные события в ИС, связанные с обеспечением безопасности
I. Общие положения
1. Настоящие Требования разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации

---

, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328), а также с учетом национальных стандартов Российской Федерации в области защиты информации и в области создания автоматизированных систем (далее - национальные стандарты).

2. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - информация), от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации) при обработке указанной информации в государственных информационных системах.

Настоящие Требования могут применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.

3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.

Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее - заказчики) и операторов государственных информационных систем (далее - операторы).

Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

---

5. При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

6. По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.

7. Защита информации, содержащейся в государственной информационной системе (далее - информационная система), обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе.
II. Требования к организации защиты информации,

содержащейся в информационной системе
8. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства ЗИ.

9. Для обеспечения ЗИ, содержащейся в ИС, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за ЗИ.

10. Для проведения работ по ЗИ в ходе создания и эксплуатации ИС обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 30, ст. 4590; N 43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874).

11. Для обеспечения ЗИ, содержащейся в ИС, применяются средства ЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N 1, ст. 6; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012, N 31, ст. 4322; 2012, N 50, ст. 6959).

---

12. Защита информации, содержащейся в ИС, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее – СЗИ ИС).

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

Организационные и технические меры ЗИ, реализуемые в рамках СЗИ ИС, в зависимости от информации, содержащейся в ИС, целей создания ИС и задач, решаемых этой ИС, должны быть направлены на исключение:

неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

13. Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия:

формирование требований к ЗИ, содержащейся в ИС;

разработка СЗИ ИС;

внедрение СЗИ ИС;

аттестация ИС по требованиям ЗИ (далее - аттестация ИС) и ввод ее в действие;

обеспечение ЗИ в ходе эксплуатации аттестованной ИС;

обеспечение ЗИ при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации, содержащейся

в информационной системе
14. Формирование требований к ЗИ, содержащейся в ИС, осуществляется обладателем информации (заказчиком).

Формирование требований к ЗИ, содержащейся в ИС, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает:

принятие решения о необходимости ЗИ, содержащейся в ИС;

классификацию ИС по требованиям ЗИ (далее - классификация ИС);

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации;

---

определение требований к СЗИ ИС.

14.1. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

анализ целей создания ИС и задач, решаемых этой ИС;

определение информации, подлежащей обработке в ИС;

анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;

принятие решения о необходимости создания СЗИ ИС, а также определение целей и задач защиты информации в ИС, основных этапов создания СЗИ ИС и функций по обеспечению защиты информации, содержащейся в ИС, обладателя информации (заказчика), оператора и уполномоченных лиц.

14.2. Классификация ИС проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ИС (федеральный, региональный, объектовый).

Устанавливаются три класса защищенности ИС, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности ИС определяется в соответствии с приложением N 1 к настоящим Требованиям.

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

Класс защищенности определяется для ИС в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в ТЗ на создание ИС и (или) ТЗ (частное ТЗ) на создание СЗИ ИС, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Класс защищенности ИС подлежит пересмотру при изменении масштаба ИС или значимости обрабатываемой в ней информации.

Результаты классификации ИС оформляются актом классификации.

Класс защищенности ИС, функционирование которой предполагается на базе инфраструктуры ЦОД, <1> не должен быть выше класса защищенности инфраструктуры ЦОД.

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

--------------------------------

<1> Пункт 5.3 Методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, утвержденных приказом Минкомсвязи России от 31 мая 2013 г. N 127 (зарегистрирован Минюстом России 5 ноября 2013 г., регистрационный N 30318), с учетом изменений, внесенных приказом Минкомсвязи России от 15 июня 2016 г. N 266 (зарегистрирован Минюстом России 14 июля 2016 г., регистрационный N 42853).

---

Смотрите также файлы

• Специфика добровольческой работы с социальноуязвимыми категориями населения.docx

• Viii тарау. 17(Viia), 16(via), 15(VA), 14(iva) топ элементтері жне оларды осылыстары.docx

• Ссылки на документы.docx

• Литература используемая при проведении занятия Приказ мчс россии 153 от 30. 03. 2011г. Наставление по физ подготовке.docx

• Задача 1 Задача 1.doc