Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235

Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”

Ключевые выдержки из приказа ФСТЭК №253 от 21 декабря 2017 г.:

1) Приказ утверждает требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов КИИ:
  • К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов КИИ, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.
  • Для обеспечения безопасности значимых объектов КИИ должны применяться сертифицированные на соответствие требованиям по безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки.
  • Сертифицированные средства защиты информации применяются в случаях, установленных законодательством, а также в случае принятия решения субъектом критической информационной инфраструктуры.
  • В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ.
  • Порядок применения средств защиты информации определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ.

2) Приказ утверждает требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования:
  • Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности.
  • Системы безопасности создаются в отношении всех значимых объектов КИИ субъекта КИИ, том числе с учетом значимых объектов КИИ, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта КИИ.
  • К средствам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ.
  • Создаваемые системы безопасности должны соответствовать требованиям, предъявляемым к программным и программно-аппаратным средствам, к силам обеспечения безопасности, к организационно-распорядительным документам.

3) Приказ утверждает требования к силам обеспечения информационной безопасности на значимых объектах КИИ:
  • Руководитель субъекта КИИ или заместитель руководителя субъекта КИИ создает систему безопасности, организует и контролирует ее функционирование.
  • Субъект КИИ должен осуществлять следующие функции:
  1. проводить анализ угроз безопасности информации;
  2. разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов КИИ;
  3. обеспечивать реализацию организационных мер и применение средств защиты информации;
  4. реагировать на компьютерные инциденты;
  5. организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  6. готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов КИИ;
  7. для выполнения функций по информационной безопасности значимого объекта КИИ могут привлекаться организации, имеющие лицензии в области защиты информации, являющейся гостайной.
  • У сотрудников структурных подразделений по информационной безопасности должно быть высшее образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и документ, подтверждающий прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность". Для руководителей обязательно наличие стажа работы в сфере информационной безопасности не менее 3 лет, для штатных сотрудников опыт работы не требуется. Те сотрудники, которые имеют среднее специальное образование, могут выполнять только отдельные функции в соответствии со своей специальностью.

4) Приказ утверждает требования к организационно-распорядительным документам по безопасности значимых объектов:
  • Субъектом КИИ в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов КИИ.
  • Организационно-распорядительные документы должны включать:
  1. цели и задачи обеспечения безопасности значимых объектов КИИ;
  2. планы мероприятий по обеспечению информационной безопасности;
  3. правила безопасной работы при возникновении компьютерных инцидентов и других внештатных ситуаций.

5) Приказ утверждает требования к функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов КИИ. Должны быть внедрены следующие процессы:
  • планирование и разработка мероприятий по обеспечению безопасности;
  • реализация (внедрение) мероприятий по обеспечению безопасности;
  • контроль состояния безопасности;
  • совершенствование безопасности.

Источник

Срок действия: не ограничен

Ответственность:
  • Административная ответственность по ст. 13.12.1 КоАП РФ
  • Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ

Ответственные лица
  • Руководители государственных органов (организаций)
  • Зам. руководителя по ИБ

Связанные документы:

ИТ-решения, которые закрывают требования нормативных документов
  • Kaspersky Symphony XDR превью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
  • Kaspersky DDoS Protection превью Минимизирует влияние DDoS-атак, обеспечивая постоянную доступность всей инфраструктуры и важнейших онлайн-ресурсов.
  • Kaspersky Scan Engine превью Комплексная защита веб-приложений, прокси-серверов, сетевых хранилищ данных и почтовых шлюзов.
  • vGate превью Средство защиты компонентов виртуальной платформы.
  • Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
  • Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
  • Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
  • Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
  • Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
  • Secret Net Studio for Linux  превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
  • Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
  • ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
  • ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
  • ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
  • ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
  • ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
  • ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
  • ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
  • ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
  • ViPNet IDS 3 превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
  • ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
  • ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
  • ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
  • ViPNet Policy Manager 4 превью Система для централизованного управления политиками безопасности.
  • ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных.
  • ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
  • ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
  • ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
  • ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
  • ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
  • ViPNet L2-10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2-10G – шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).