III. Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры
III. Требования к программным и программно-аппаратным
средствам, применяемым для обеспечения безопасности
значимых объектов критической информационной инфраструктуры
17. К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.
18. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться сертифицированные на соответствие требованиям по безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2005, N 19, ст. 1752; 2007, N 19, ст. 2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N 1, ст. 5, 6; N 40, ст. 4969; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012, N 31, ст. 4322; N 50, ст. 6959; 2013, N 27, ст. 3477; N 30, ст. 4071; N 52, ст. 6961; 2014, N 26, ст. 3366; 2015, N 17, ст. 2477; N 27, ст. 3951; N 29, ст. 4342; N 48, ст. 6724; 2016, N 15, ст. 2066).
Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
19. Параметры и характеристики применяемых средств защиты информации должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры, принимаемыми в соответствии с требованиями по безопасности.
В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов критической информационной инфраструктуры (при их наличии).
20. Средства защиты информации должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации.
21. Применяемые средства защиты информации должны быть обеспечены технической поддержкой со стороны разработчиков (производителей).
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
При выборе средств защиты информации должно учитываться возможное наличие ограничений со стороны разработчиков (производителей) или иных лиц на применение этих средств на любом из принадлежащих субъекту критической информационной инфраструктуры значимых объектов критической информационной инфраструктуры.
В случае невозможности обеспечения средств защиты информации технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 239 <1>.
(абзац введен Приказом ФСТЭК России от 20.04.2023 N 69)
--------------------------------
<1> Зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524, с изменениями, внесенными приказами ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071), от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443) и от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).
(сноска введена Приказом ФСТЭК России от 20.04.2023 N 69)
22. Порядок применения средств защиты информации определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта критической информационной инфраструктуры.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей