Приказ ФСТЭК России от 26.03.2019 N 60 О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 26 марта 2019 г. N 60
В ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ
ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ
СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ОТ 25 ДЕКАБРЯ 2017 Г. N 239
В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) приказываю:
1. Внести в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 9 августа 2018 г. N 138 (зарегистрирован Министерством юстиции Российской Федерации 5 сентября 2018 г., регистрационный N 52071), следующие изменения:
1) в пункте 10:
в подпункте "д" слова "организационные и технические меры, применяемые" заменить словами "требования к организационным и техническим мерам, применяемым";
дополнить подпунктом "к" следующего содержания:
"к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта.";
2) абзац четырнадцатый пункта 11.1 после слов "последствия от" дополнить словами "реализации (возникновения)";
3) в пункте 11.2:
в подпункте "в" слово "обосновываются" заменить словами "определяются и обосновываются";
абзац двенадцатый дополнить словами ", разрабатываемой в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта";
после абзаца двенадцатого дополнить абзацем следующего содержания:
"В процессе проектирования значимого объекта его категория значимости может быть уточнена.";
4) пункт 12.5 дополнить предложением следующего содержания:
"По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта и его подсистемы безопасности.";
5) в абзаце одиннадцатом пункта 12.6 слово "действие" заменить словом "эксплуатацию";
6) в абзаце пятом пункта 12.7 слово "действие" заменить словом "эксплуатацию";
7) подпункт "в" пункта 14 после слова "уничтожение" дополнить словами "или архивирование";
8) в пункте 29:
абзац пятый заменить абзацем следующего содержания:
"При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.";
абзац шестой после слов "Классы защиты" дополнить словами "и уровни доверия";
9) дополнить пунктом 29.1 следующего содержания:
"29.1. При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).
В случае отсутствия технической возможности применения в значимых объектах 1 категории значимости граничных маршрутизаторов, сертифицированных на соответствие требованиям по безопасности информации, функции безопасности граничных маршрутизаторов подлежат оценке на соответствие требованиям по безопасности в рамках приемки или испытаний значимых объектов.
Обоснование отсутствия технической возможности приводится в проектной документации на значимые объекты (подсистемы безопасности значимых объектов), разрабатываемой в соответствии с техническим заданием на создание значимых объектов и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимых объектов.";
10) пункт 31 дополнить абзацем следующего содержания:
"Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).".
11) в приложении к указанным Требованиям:
строку первую раздела I изложить в следующей редакции:
Регламентация правил и процедур идентификации и аутентификации |
в разделе II:
строку первую изложить в следующей редакции:
строку третью изложить в следующей редакции:
строку девятую изложить в следующей редакции:
Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе |
строку первую раздела III изложить в следующей редакции:
Регламентация правил и процедур ограничения программной среды |
в разделе IV:
строку первую изложить в следующей редакции:
Регламентация правил и процедур защиты машинных носителей информации |
строки шестую - восьмую изложить в следующей редакции:
Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | ||||
Контроль ввода (вывода) информации на съемные машинные носители информации | ||||
в разделе V:
строку первую изложить в следующей редакции:
строку десятую изложить в следующей редакции:
строку двенадцатую изложить в следующей редакции:
строку первую раздела VI изложить в следующей редакции:
строку первую раздела VII изложить в следующей редакции:
Регламентация правил и процедур предотвращения вторжений (компьютерных атак) |
строку первую раздела VIII изложить в следующей редакции:
строку первую раздела IX изложить в следующей редакции:
строку первую раздела X изложить в следующей редакции:
Регламентация правил и процедур защиты технических средств и систем |
в разделе XI:
строку первую изложить в следующей редакции:
Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов |
строку седьмую изложить в следующей редакции:
строки двадцать четвертую - двадцать шестую изложить в следующей редакции:
строки двадцать девятую и тридцатую изложить в следующей редакции:
строку тридцать вторую изложить в следующей редакции:
строку тридцать шестую изложить в следующей редакции:
в разделе XII:
строку первую изложить в следующей редакции:
Регламентация правил и процедур реагирования на компьютерные инциденты |
строку седьмую изложить в следующей редакции:
строку первую раздела XIII изложить в следующей редакции:
Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы |
строку первую раздела XIV изложить в следующей редакции:
Регламентация правил и процедур управления обновлениями программного обеспечения |
строку первую раздела XV изложить в следующей редакции:
Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации |
строку первую раздела XVI изложить в следующей редакции:
Регламентация правил и процедур обеспечения действий в нештатных ситуациях |
строку первую раздела XVII изложить в следующей редакции:
Регламентация правил и процедур информирования и обучения персонала |
2. Установить, что изменения, предусмотренные подпунктом 9 пункта 1 настоящего приказа, вступают в силу с 1 января 2020 г.
по техническому и экспортному контролю
В.СЕЛИН
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления