Файл: Требования о защите информации, не составляющей государственную тайну, Содержащейся в государственных информационных системах.odt

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 109

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.

Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.

В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

17.4. Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы должен обеспечивать поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.

(п. 17.4 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

17.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

В случае если информационная система создается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных уполномоченного лица, такая инфраструктура центра обработки данных должна быть аттестована на соответствие настоящим Требованиям.


(в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

При аттестации информационной системы должны используются результаты аттестации общей инфраструктуры оператора информационной системы.

(п. 17.6 введен Приказом ФСТЭК России от 15.02.2017 N 27)


Обеспечение защиты информации в ходе эксплуатации

аттестованной информационной системы
18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:

планирование мероприятий по защите информации в информационной системе;

анализ угроз безопасности информации в информационной системе;

управление (администрирование) системой защиты информации информационной системы;

управление конфигурацией информационной системы и ее системой защиты информации;

реагирование на инциденты;

информирование и обучение персонала информационной системы;

контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.

(п. 18 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.1. В ходе планирования мероприятий по защите информации в информационной системе осуществляются:

определение лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе;

определение лиц, ответственных за выявление инцидентов и реагирование на них;

разработка, утверждение и актуализация плана мероприятий по защите информации в информационной системе;

определение порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом.

План мероприятий по защите информации в информационной системе утверждается вместе с правовым актом органа исполнительной власти о вводе информационной системы в эксплуатацию.

Контроль выполнения мероприятий, предусмотренных планом мероприятий по защите информации в информационной системе, осуществляется в сроки, определенные указанным планом.

(п. 18.1 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.2. В ходе анализа угроз безопасности информации в информационной системе в ходе ее эксплуатации осуществляются:

выявление, анализ и устранение уязвимостей информационной системы;

анализ изменения угроз безопасности информации в информационной системе;

оценка возможных последствий реализации угроз безопасности информации в информационной системе.

Периодичность проведения указанных работ определяется оператором в организационно-распорядительных документах по защите информации.


(п. 18.2 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.3. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:

определение лиц, ответственных за управление (администрирование) системой защиты информации информационной системы;

управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в информационной системе;

управление средствами защиты информации информационной системы;

управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы;

централизованное управление системой защиты информации информационной системы (при необходимости);

мониторинг и анализ зарегистрированных событий в информационной системе, связанных с обеспечением безопасности (далее - события безопасности);

обеспечение функционирования системы защиты информации информационной системы в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.

(п. 18.3 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.4. В ходе управления конфигурацией информационной системы и ее системы защиты информации осуществляются:

определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий;

определение компонентов информационной системы и ее системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;

управление изменениями информационной системы и ее системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в информационную систему и ее систему защиты информации, документирование действий по внесению изменений в информационную систему и сохранение данных об изменениях конфигурации;

контроль действий по внесению изменений в информационную систему и ее систему защиты информации.


Реализованные процессы управления изменениями информационной системы и ее системы защиты информации должны включать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, информационной системы.

(п. 18.4 в ред. Приказа ФСТЭК России от 28.05.2019 N 106)

18.5. В ходе реагирования на инциденты осуществляются:

обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

планирование и принятие мер по предотвращению повторного возникновения инцидентов.

(п. 18.5 введен Приказом ФСТЭК России от 28.05.2019 N 106)

18.6. В ходе информирования и обучения персонала информационной системы осуществляются:

информирование персонала информационной системы о появлении актуальных угрозах безопасности информации, о правилах безопасной эксплуатации информационной системы;

доведение до персонала информационной системы требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;

обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;

проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;