правил эксплуатации СЗИ ИС.

15.3. При макетировании и тестировании СЗИ ИС в том числе осуществляются:

проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;

проверка выполнения выбранными средствами защиты информации требований к СЗИ ИС;

корректировка проектных решений, разработанных при создании ИС и (или) СЗИ ИС;

абзац исключен. - Приказ ФСТЭК России от 15.02.2017 N 27.

Макетирование СЗИ ИС и ее тестирование может проводиться в том числе с использованием средств и методов моделирования ИС и технологий виртуализации.
Внедрение системы защиты информации информационной системы
16. Внедрение СЗИ ИС организуется обладателем информации (заказчиком).

Внедрение СЗИ ИС осуществляется в соответствии с проектной и эксплуатационной документацией на СЗИ ИС и в том числе включает:

установку и настройку средств защиты информации в ИС;

разработку ОРД (документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации));

внедрение организационных мер защиты информации;

предварительные испытания СЗИ ИС;

опытную эксплуатацию СЗИ ИС;

анализ уязвимостей ИС и принятие мер защиты информации по их устранению;

приемочные испытания СЗИ ИС.

К внедрению СЗИ ИС привлекается оператор ИС в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения СЗИ ИС и не является заказчиком данной ИС.

16.1. Установка и настройка средств защиты информации в ИС должна проводиться в соответствии с эксплуатационной документацией на СЗИ ИС и документацией на средства защиты информации.

Средства защиты информации, устанавливаемые в ИС, функционирующей на базе инфраструктуры ЦОД, должны быть совместимы между собой, а также со средствами защиты информации, установленными в инфраструктуре ЦОД.

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

16.2. Разрабатываемые ОРД по защите информации должны определять правила и процедуры:

управления (администрирования) СЗИ ИС;

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

---

управления конфигурацией аттестованной ИС и СЗИ ИС;

контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;

защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

16.3. При внедрении организационных мер защиты информации осуществляются:

реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;

проверка полноты и детальности описания в ОРД действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации;

отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

16.4. Предварительные испытания СЗИ ИС проводятся с учетом ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем" (далее - ГОСТ 34.603) и включают проверку работоспособности СЗИ ИС, а также принятие решения о возможности опытной эксплуатации СЗИ ИС.

16.5. Опытная эксплуатация СЗИ ИС проводится с учетом ГОСТ 34.603 и включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ ИС.

16.6. Анализ уязвимостей ИС проводится в целях оценки возможности преодоления нарушителем СЗИ ИС и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей ИС включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения ИС.

При анализе уязвимостей ИС проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

В случае выявления уязвимостей ИС, приводящих к возникновению дополнительных угроз безопасности информации

---

, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в ИС отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

16.7. Приемочные испытания СЗИ ИС проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к СЗИ ИС в соответствии с ТЗ на создание ИС и (или) ТЗ (частным ТЗ) на создание СЗИ ИС.
Аттестация информационной системы и ввод ее в действие
17. Аттестация ИС организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ ИС настоящим Требованиям.

Проведение аттестационных испытаний ИС должностными лицами (работниками), осуществляющими проектирование и (или) внедрение СЗИ ИС, не допускается.

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27; в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

17.1. В качестве исходных данных, необходимых для аттестации ИС, используются:

• 
  модель угроз безопасности информации,
  
• 
  акт классификации ИС,
  
• 
  ТЗ на создание ИС и (или) ТЗ (частное ТЗ) на СЗИ ИС,
  
• 
  проектная и эксплуатационная документация на СЗИ ИС,
  
• 
  ОРД,
  
• 
  результаты анализа уязвимостей ИС,
  
• 
  материалы предварительных и приемочных испытаний СЗИ ИС,
  
• 
  а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.
  

17.2. Аттестация ИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ИС. Для проведения аттестации ИС применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

По решению заказчика (оператора) аттестационные испытания могут быть совмещены с проведением приемочных испытаний ИС.

---

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии ИС требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.

При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

экспертно-документальный метод, предусматривающий проверку соответствия СЗИ ИС установленным требованиям по защите информации, на основе оценки:

• 
  эксплуатационной документации,
  
• 
  ОРД,
  
• 
  а также условий функционирования информационной системы;
  

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

анализ уязвимостей ИС, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

испытания СЗИ путем осуществления попыток несанкционированного доступа (воздействия) к ИС в обход ее СЗИ.

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

17.3. Допускается аттестация ИС на основе результатов аттестационных испытаний выделенного набора сегментов ИС, реализующих полную технологию обработки информации.

В этом случае распространение аттестата соответствия на другие сегменты ИС осуществляется при условии их соответствия сегментам ИС, прошедшим аттестационные испытания.

Сегмент считается соответствующим сегменту ИС, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по ИС и ее СЗИ.

Соответствие сегмента, на который распространяется аттестат соответствия, сегменту ИС, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний ИС или сегментов ИС.

В сегментах ИС, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на СЗИ ИС и ОРД.

Особенности аттестации ИС на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты ИС определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

---

17.4. Аттестат соответствия выдается на весь срок эксплуатации ИС. Оператор (обладатель информации) в ходе эксплуатации ИС должен обеспечивать поддержку соответствия СЗИ аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.

(п. 17.4 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

17.5. Ввод в действие ИС осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

17.6. ИС, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

В случае если ИС создается на базе инфраструктуры ЦОД уполномоченного лица, такая инфраструктура ЦОД должна быть аттестована на соответствие настоящим Требованиям.

(в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

При аттестации ИС должны используются результаты аттестации общей инфраструктуры оператора ИС.

(п. 17.6 введен Приказом ФСТЭК России от 15.02.2017 N 27)
Обеспечение защиты информации в ходе эксплуатации

аттестованной информационной системы
18. Обеспечение защиты информации в ходе эксплуатации ИС должно осуществляться оператором в соответствии с эксплуатационной документацией и ОРД и включать следующие мероприятия:

планирование мероприятий по защите информации в ИС;

анализ угроз безопасности информации в ИС;

управление (администрирование) СЗИ ИС;

управление конфигурацией ИС и ее СЗИ;

реагирование на инциденты;

информирование и обучение персонала ИС;

контроль за обеспечением уровня защищенности информации, содержащейся в ИС.

(п. 18 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.1. В ходе планирования мероприятий по защите информации в ИС осуществляются:

определение лиц, ответственных за планирование и контроль мероприятий по защите информации в ИС;

определение лиц, ответственных за выявление инцидентов и реагирование на них;

разработка, утверждение и актуализация плана мероприятий по защите информации в ИС;

определение порядка контроля выполнения мероприятий по обеспечению защиты информации в ИС, предусмотренных утвержденным планом.

План мероприятий по защите информации в ИС утверждается вместе с правовым актом органа исполнительной власти о вводе ИС в эксплуатацию.

---

Смотрите также файлы

• Специфика добровольческой работы с социальноуязвимыми категориями населения.docx

• Viii тарау. 17(Viia), 16(via), 15(VA), 14(iva) топ элементтері жне оларды осылыстары.docx

• Ссылки на документы.docx

• Литература используемая при проведении занятия Приказ мчс россии 153 от 30. 03. 2011г. Наставление по физ подготовке.docx

• Задача 1 Задача 1.doc