Приказ ФСТЭК России от 28.08.2024 N 159 (ред. от 11.04.2025) О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 28 августа 2024 г. N 159

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ

ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ

ИНФОРМАЦИОННЫХ СИСТЕМАХ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ

СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 11 ФЕВРАЛЯ

2013 Г. N 17, И ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ

СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ОТ 25 ДЕКАБРЯ 2017 Г. N 239

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", пунктом 2, подпунктом 9.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказываю:

Внести в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 (зарегистрирован Министерством юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 15 февраля 2017 г. N 27 (зарегистрирован Министерством юстиции Российской Федерации 14 марта 2017 г., регистрационный N 45933), от 28 мая 2019 г. N 106 (зарегистрирован Министерством юстиции Российской Федерации 13 сентября 2019 г., регистрационный N 55924), и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) (с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 9 августа 2018 г. N 138 (зарегистрирован Министерством юстиции Российской Федерации 5 сентября 2018 г., регистрационный N 52071), от 26 марта 2019 г. N 60 (зарегистрирован Министерством юстиции Российской Федерации 18 апреля 2019 г., регистрационный N 54443), от 20 февраля 2020 г. N 35 (зарегистрирован Министерством юстиции Российской Федерации 11 сентября 2020 г., регистрационный N 59793), изменения согласно приложению к настоящему приказу.

Директор федеральной службы

по техническому и экспортному контролю

В.СЕЛИН

Приложение

к приказу ФСТЭК России

от 28 августа 2024 г. N 159

ИЗМЕНЕНИЯ,

КОТОРЫЕ ВНОСЯТСЯ В ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ,

НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ

В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, УТВЕРЖДЕННЫЕ

ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ

КОНТРОЛЮ ОТ 11 ФЕВРАЛЯ 2013 Г. N 17, И В ТРЕБОВАНИЯ

ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ

ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ,

УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ

И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 25 ДЕКАБРЯ 2017 Г. N 239

1. Утратил силу с 1 марта 2026 года. - Приказ ФСТЭК России от 11.04.2025 N 117.

2. В Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239:

1) пункт 22 изложить в следующей редакции:

"22. В значимых объектах в зависимости от их категории значимости и угроз безопасности информации посредством исполнения организационных и технических мер, определяемых в соответствии с приложением к настоящим Требованиям, осуществляются:

а) идентификация и аутентификация субъектов доступа и объектов доступа;

б) управление доступом субъектов доступа к объектам доступа;

в) ограничение программной среды;

г) защита машинных носителей информации;

д) аудит безопасности;

е) антивирусная защита;

ж) предотвращение вторжений (компьютерных атак);

з) обеспечение целостности;

и) обеспечение доступности;

к) защита технических средств и систем;

л) защита информационной (автоматизированной) системы и ее компонентов;

м) планирование мероприятий по обеспечению безопасности;

н) управление конфигурацией;

о) управление обновлениями программного обеспечения;

п) реагирование на инциденты информационной безопасности;

р) обеспечение действий в нештатных ситуациях;

с) информирование и обучение персонала;

т) защита значимых объектов от атак, направленных на отказ в обслуживании.".

2) дополнить пунктом 22(1) следующего содержания:

"22(1). При реализации мер по обеспечению безопасности значимых объектов применяются методические документы, разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.";

3) дополнить пунктом 22(2) следующего содержания:

"22(2). Меры по обеспечению защиты значимых объектов от атак, направленных на отказ в обслуживании, должны приниматься в отношении значимых объектов, имеющих интерфейсы и сервисы, к которым должен быть обеспечен постоянный доступ из информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и должны предусматривать:

а) выявление интерфейсов и сервисов значимых объектов, к которым должен быть обеспечен постоянный доступ из сети "Интернет", определение их принадлежности и назначения;

б) выявление публичных сетевых адресов, зарегистрированных за субъектом критической информационной инфраструктуры и (или) полученных от провайдера хостинга, и доменных имен, используемых для обеспечения функционирования значимых объектов, определение их назначения;

в) выявление и исключение из значимых объектов интерфейсов и сервисов значимых объектов, к которым обеспечен доступ из сети "Интернет", публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования значимых объектов и (или) принадлежность которых не установлена;

г) формирование перечня ресурсов сети "Интернет", с которыми могут взаимодействовать значимые объекты, включающего исходящий и входящий сетевые потоки, их характеристики и используемые протоколы (далее - матрица коммуникаций значимых объектов с сетью "Интернет");

д) определение сетевых адресов, с которыми должно быть обеспечено взаимодействие значимых объектов, формирование списка разрешенных сетевых адресов в условиях реализации атак, направленных на отказ в обслуживании;

е) использование программных, программно-аппаратных средств, обеспечивающих анализ и фильтрацию сетевых запросов в соответствии с матрицей коммуникаций значимых объектов с сетью "Интернет" на максимально возможной скорости для этих каналов связи и возможность блокирования сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, на сетевом и прикладном уровнях значимых объектов;

ж) наличие двукратного резерва пропускной способности каналов передачи данных относительно объемов трафика в условиях отсутствия реализации атак, направленных на отказ в обслуживании;

з) использование данных, полученных при взаимодействии с Центром мониторинга и управления сетью связи общего пользования <1>;

и) обеспечение хранения в течение трех лет следующей информации о фактах реализации атак, направленных на отказ в обслуживании: дата и время начала и окончания реализации атаки, тип атаки, объем (Гбит/с, сетевых пакетов/с), перечень сетевых адресов, являющихся источником атак, и сетевых адресов, подверженных атакам, принимаемые меры.";

4) дополнить сноской 1 к пункту 22(2) следующего содержания:

"<1> Пункт 4 Положения о Центре мониторинга и управления сетью связи общего пользования, утвержденного приказом Роскомнадзора от 31 июля 2019 г. N 225 (зарегистрирован Минюстом России 22 ноября 2019 г., регистрационный N 56583), с изменениями, внесенными приказом Роскомнадзора от 24 апреля 2024 г. N 73 (зарегистрирован Минюстом России 6 июня 2024 г., регистрационный N 78486) (далее - Положение о Центре мониторинга).";

5) дополнить пунктом 26(2) следующего содержания:

"26(2). Организационные меры, направленные на защиту значимых объектов от атак, направленных на отказ в обслуживании, должны предусматривать:

а) взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации <2>;

б) взаимодействие в автоматизированном режиме с Центром мониторинга и управления сетью связи общего пользования <3> в рамках противодействия атакам, направленным на отказ в обслуживании;

в) взаимодействие с провайдером хостинга или организацией, предоставляющей услуги связи, программно-аппаратные средства которых, участвующие в контроле, фильтрации и блокировании сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, должны быть расположены на территории Российской Федерации;

г) определение порядка взаимодействия с провайдером хостинга или организацией, предоставляющей услуги связи, по совместному блокированию атак, направленных на отказ в обслуживании, и разграничению зон ответственности при таком блокировании;

д) обеспечение доступности из сети "Интернет" интерфейсов и сервисов значимых объектов, подлежащих защите от атак, направленных на отказ в обслуживании, по согласованию со структурным подразделением, специалистами по защите информации после принятия мер по контролю и фильтрации исходящего и входящего сетевого трафика в соответствии с матрицей коммуникаций значимых объектов с сетью "Интернет";

е) возможность размещения значимых объектов в информационно-телекоммуникационной инфраструктуре провайдера хостинга, обеспечивающего защиту от атак, направленных на отказ в обслуживании, или осуществление защиты значимых объектов путем перенаправления сетевого трафика на программно-аппаратные средства организации, оказывающей услуги по контролю, фильтрации и блокированию сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, при отсутствии технической возможности у субъекта критической информационной инфраструктуры самостоятельно организовать защиту значимых объектов от атак, направленных на отказ в обслуживании.";

6) дополнить сносками 2 и 3 к пункту 26(2) следующего содержания:

"<2> Подпункт "б" пункта 2 Указа Президента Российской Федерации от 22 декабря 2017 г. N 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".

<3> Пункт 5 Положения о Центре мониторинга.";

7) дополнить пунктом 26(3) следующего содержания:

"26(3). Программно-аппаратные средства, используемые для осуществления контроля, фильтрации и блокирования сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, должны быть расположены на территории Российской Федерации.";

8) в абзаце первом пункта 29.1 слова "информационно-телекоммуникационной" исключить.