Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239

Приказ Федеральной службы по техническому и экспортному контролю
от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Ключевые выдержки из приказа ФСТЭК от 25 декабря 2017 г. № 239:

1) Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов:

- В приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ.
- Для обеспечения безопасности значимых объектов КИИ должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
- В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:
а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;
б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;
в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.

- При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).
- Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации должны соответствовать 6 или более высокому уровню доверия
- Прикладное программное обеспечение, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению, должно соответствовать следующим требованиям по безопасности:
а) требования по безопасной разработке программного обеспечения;
б) требования к испытаниям по выявлению уязвимостей в программном обеспечении;
в) требования к поддержке безопасности программного обеспечения.

- Применяемые программные и программно-аппаратные средства, в том числе средства защиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией.
- Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
- В значимом объекте не допускается:
а) наличие удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ;
б) наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, его дочерних и зависимых обществ;
в) передача информации, в том числе технологической, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта ㅤкритической информационной инфраструктуры;
г) в случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие определение лиц и устройств, которым разрешен удаленный доступ; контроль доступа; мониторинг и регистрацию действий лиц, которым разрешен удаленный доступ.

- Входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации.

2) Требования по обеспечению безопасности значимых объектов КИИ:

- Действие настоящих Требований распространяется на информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети.
- Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, требует использования сертифицированных средств защиты информации.
- При обеспечении безопасности объектов КИИ, являющихся информационными системами персональных данных, настоящие требования применяются с учетом требований к защите персональных данных при их обработке.
- Необходимо взаимодействовать с ГОССОПКА при наступлении инцидентов.


Источник

Срок действия: не ограничен

Ответственность:

• Административная ответственность по ст. 13.12.1 КоАП РФ
• Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ

Ответственные лица

• Руководители государственных органов (организаций)
• Зам. руководителя по ИБ

Связанные документы:

• Федеральный закон № 187-ФЗ от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации»
• Закон Российской Федерации № 5485−1 «О государственной тайне»
• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
• Приказ ФСТЭК России от 11 февраля 2013 г. № 17
• Указ Президента Российской Федерации от 16 августа 2004 г. № 1085.

ИТ-решения, которые закрывают требования нормативных документов

• Indeed PAM превью Программно-аппаратный комплекс, реализующий централизованную политику контроля и управления привилегированным доступом.
• Indeed AM превью Программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации.
• Indeed Certificate Manager превью Централизованная система управления инфраструктурой открытых ключей, поддерживающая аудит инфраструктуры PKI и интеграцию с различными сторонними системами
• Kaspersky Symphony XDR превью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
• Kaspersky DDoS Protection превью Минимизирует влияние DDoS-атак, обеспечивая постоянную доступность всей инфраструктуры и важнейших онлайн-ресурсов.
• Kaspersky Scan Engine превью Комплексная защита веб-приложений, прокси-серверов, сетевых хранилищ данных и почтовых шлюзов.
• vGate превью Средство защиты компонентов виртуальной платформы.
• Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
• Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
• Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
• Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
• Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
• Secret Net Studio for Linux превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
• Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
• Кибер Бэкап превью Надежное решение для резервного копирования с точной оценкой потенциальных уязвимостей и эффективной защитой от вредоносного ПО
• RedCheck превью Комплексное решение для анализа защищённости и управления ИБ для предприятий любого масштаба.
• R‑Vision SOAR превью Система агрегирует данные по инцидентам из множества источников, автоматизирует обогащение, реагирование и внедрение защитных мер, обеспечивает единое пространство для совместной работы ИБ-специалистов.
• R‑Vision SGRC превью Обеспечивает своевременное выявление рисков, облегчает контроль за соблюдением внешних требований и помогает сформировать системы внутренней нормативной документации.
• R‑Vision SIEM превью Технология для централизованного управления событиями в информационных системах, обеспечивающая безопасность и целостность бизнеса.
• R‑Vision TDP превью Комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.
• R‑Vision UEBA превью Осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.
• R‑Vision TIP превью Обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.
• СИНОНИКС превью Программный комплекс позволяет организовать непрерывный обмен данными между двумя изолированными сегментами сети и обеспечить безопасность обмена с сохранением их изоляции.
• СКДПУ НТ превью Эффективная и взаимодополняющая система, которая обеспечивает всю функциональность PAM: от входа пользователя в систему до «умного» анализа потенциального инцидента.
• ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
• ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
• ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
• ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
• ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
• ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
• ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
• ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
• ViPNet IDS 3 превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
• ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
• ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
• ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
• ViPNet Policy Manager 4 превью Система для централизованного управления политиками безопасности.
• ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных.
• ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
• ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
• ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
• ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
• ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
• ViPNet L2-10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2-10G – шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).