Куда я попал?
Приказ ФСТЭК России № 117 от 11.04.2025
Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Список требований
-
2. В случае передачи из государственной информационной системы информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее - информация ограниченного доступа), информационная система, в которую передается информация ограниченного доступа, должна соответствовать требованиям о защите информации, установленным в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <1>. Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности в соответствии с Требованиями должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем (далее - оператор (обладатель информации).
<1> Часть 8.1 статьи 14 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации". -
5. При обработке в информационных системах информации, содержащей персональные данные, должны применяться Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и Требования.
-
6. В случае если информационная система является значимым объектом критической информационной инфраструктуры Российской Федерации, защита содержащейся в ней информации должна обеспечиваться в соответствии с нормативными правовыми актами, принятыми на основании статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", и Требованиями.
-
7. В случае использования для защиты информации, содержащейся в информационных системах, шифровальных (криптографических) средств защиты информации должны применяться требования о защите информации, установленные ФСБ России в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и Требования.
-
9. Оператор (обладатель информации) должен обеспечивать защиту информации соответствии с Требованиями на всех стадиях (этапах) обработки и хранения информации, создания и развития (модернизации), эксплуатации и вывода из эксплуатации информационных систем в рамках функций, выполняемых ими в соответствии с Федеральным законом от 27 июля 2007 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
-
порядок разработки безопасного программного обеспечения <5> в случае его самостоятельной разработки оператором (обладателем информации);
<5> Пункт 3.2 национального стандарта Российской Федерации ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие приказом Госстандарта от 24 октября 2024 г. N 1504-ст (М., ФГБУ "РСТ", 2024) (далее - ГОСТ Р 56939-2024). -
порядок мониторинга информационной безопасности <6> информационных систем;
<6> Пункт 3.7 национального стандарта Российской Федерации ГОСТ Р 59547-2021 "Защита информации. Мониторинг информационной безопасности. Общие положения", утвержденного и введенного в действие приказом Росстандарта от 27 июля 2021 г. N 656-ст (М., ФГБУ "РСТ", 2021) (далее - ГОСТ Р 59547-2021). -
19. Руководитель оператора (обладателя информации), ответственное лицо должны создать (определить) структурное подразделение или назначает отдельных специалистов, на которых возлагаются обязанности (функции) по защите информации (далее - структурное подразделение (специалисты) по защите информации).
Функции и полномочия по защите информации структурного подразделения по защите информации определяются в положении о структурном подразделении или ином документе, в соответствии с которым функционирует структурное подразделение <7>. Обязанности (функции) и полномочия специалистов по защите информации по проведению мероприятий и принятию мер по защите информации должны быть установлены в их должностных обязанностях (трудовых функциях). Состав обязанностей (функций) и полномочий по защите информации структурного подразделения (специалистов) по защите информации должен быть достаточен для проведения мероприятий и принятия мер по защите информации в соответствии с Требованиями.
В случае наличия у оператора (обладателя информации) структурного подразделения, на которое возложены функции по обеспечению информационной безопасности <8>, защита информации может быть возложена на указанное подразделение.
<7> Типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации), утвержденное постановлением Правительства Российской Федерации от 15 июля 2022 г. N 1272.
<8> Подпункт "б" пункта 1 Указа Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". -
24. Для проведения мероприятий и принятия мер по защите информации оператором (обладателем информации) могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации <9> (далее - специализированные организации). Состав проводимых специализированными организациями мероприятий и принимаемых ими мер по защите информации, используемых при этом программных, программно-аппаратных средств, предназначенных для защиты информации, определяется оператором (обладателем информации). Работники структурного подразделения (специалисты) по защите информации оператора (обладателя информации) должны привлекаться к приемке результатов работ и услуг, выполняемых (оказываемых) специализированными организациями.
<9> Пункт 5 части 1 статьи 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности". -
31. Оценка состояния защиты информации должна проводиться на основе определения оператором (обладателем информации):
- показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (далее - показатель защищенности Кзи);
- показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (далее - показатель уровня зрелости Пзи).
Для определения значений и расчета показателя защищенности Кзи и показателя уровня зрелости Пзи должны применяться методические документы, утвержденные ФСТЭК России в соответствии с абзацем вторым пункта 5 и подпунктом 4 пункта 8 Положения о ФСТЭК России (далее - методические документы ФСТЭК России). -
32. Расчет и оценка показателя защищенности Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Расчет и оценка показателя уровня зрелости Пзи должны проводиться оператором (обладателем информации) не реже одного раза в два года.
О полученных по результатам оценки значениях показателя защищенности Кзи и показателя уровня зрелости Пзи в случае их несоответствия нормированным значениям, указанным в методических документах ФСТЭК России, в течение 3 календарных дней со дня завершения такой оценки информируется руководитель оператора (обладателя информации) для принятия решения о проведении мероприятий по совершенствованию защиты информации и принятии мер по повышению уровня защищенности информации, содержащейся в информационных системах.
Результаты оценки показателя защищенности Кз" и показателя уровня зрелости Пзи в срок не позднее 5 рабочих дней после дня их расчета должны направляться оператором (обладателем информации) в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации <10>.
<10> Подпункты 6(1) и 6(5) пункта 8 Положения о ФСТЭК России. -
33. По решению руководителя оператора (обладателя информации), ответственного лица структурным подразделением (специалистами) по защите информации с участием подразделений (работников), использующих информационные системы, подразделений (работников), обеспечивающих эксплуатацию информационных систем, разрабатывается план мероприятий по совершенствованию защиты информации, содержащейся в информационных системах, в котором в том числе указываются наименования мероприятий, сроки их выполнения, подразделения (работники), ответственные за реализацию каждого мероприятия.
План утверждается руководителем оператора (обладателя информации), ответственным лицом и доводится до подразделений (работников) оператора (обладателя информации) в части, их касающейся. Результатом реализации мероприятий плана должно быть достижение значений показателя защищенности Кзи и показателя уровня зрелости Пзи не ниже нормированных значений, указанных в методических документах ФСТЭК России. -
36. Мероприятия по выявлению и оценке угроз безопасности информации должны предусматривать определение в ходе создания информационных систем актуальных угроз и разработку в случаях, установленных требованиями к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676, моделей угроз безопасности информации, а также своевременное выявление актуальных угроз и их оценку в ходе эксплуатации информационных систем.
Модель угроз безопасности информации в случае ее разработки должна использоваться в качестве исходных данных для разработки и внедрения мер по защите информации, а также для выбора средств защиты информации и их функциональных возможностей в ходе создания (развития) подсистем защиты информации информационных систем. Решение о необходимости разработки модели угроз безопасности информации в ходе создания негосударственных информационных систем принимается руководителем оператора (обладателя информации), ответственным лицом.
В ходе эксплуатации информационных систем должен быть обеспечен поиск данных и признаков, идентифицирующих наличие актуальных угроз, проведена приоритезация выявленных угроз безопасности информации, осуществлено оповещение подразделений (работников) оператора (обладателя информации) о выявленных актуальных угрозах. При наличии признаков реализации (возникновения) актуальных угроз должны быть приняты меры по их блокированию (нейтрализации). -
49. Мероприятия по осуществлению мониторинга информационной безопасности должны предусматривать сбор данных о событиях безопасности, их обработке и анализе, а также выявление признаков реализации угроз безопасности информации и (или) нарушений требований внутренних стандартов и регламентов по защите информации. Мероприятия по осуществлению мониторинга информационной безопасности должны проводиться в отношении всех информационных систем, за исключением локальных и изолированных информационных систем, в которых должен обеспечиваться контроль журналов регистрации событий безопасности.
Мероприятия по мониторингу информационной безопасности должны осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021.
В ходе проведения мониторинга информационной безопасности для анализа зафиксированных событий безопасности и выявленных в них признаков реализации актуальных угроз допускается использование доверенных технологий искусственного интеллекта <17>.
Структурное подразделение (специалисты) по защите информации оператора (обладателя информации) с периодичностью и в сроки, установленные внутренним регламентом по защите информации, должно (должны) разработать и представить руководителю оператора (обладателя информации), ответственному лицу отчет о результатах мониторинга, который в том числе должен содержать типы событий безопасности, обнаруженные по результатам мониторинга, и связанные с ними компьютерные инциденты (при их наличии), а также рекомендации по их анализу и (или) устранению. Последний в текущем году отчет о результатах мониторинга или итоговый отчет за текущий год (в случае его разработки) после представления руководителю оператора (обладателя информации) направляется оператором (обладателем информации) в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации <18>.
<17> Подпункт "ц" пункта 5 Национальной стратегии развития искусственного интеллекта.
<18> Подпункт 6(1) пункта 8 Положения о ФСТЭК России. -
50. Мероприятия по разработке безопасного программного обеспечения должны быть направлены на предотвращение появления, выявление и устранение уязвимостей в разрабатываемом оператором (обладателем информации) программном обеспечении. Мероприятия по разработке безопасного программного обеспечения проводятся в случае осуществления оператором (обладателем информации) самостоятельной разработки программного обеспечения, применяемого в информационных системах.
В случае самостоятельной разработки оператором (обладателем информации) программного обеспечения, предназначенного для использования в информационных системах, должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024.
В случае привлечения оператором (обладателем информации) для разработки программного обеспечения подрядной организации по решению руководителя (ответственного лица) в техническое задание на разработку программного обеспечения могут быть включены требования по разработке безопасного программного обеспечения в соответствии с ГОСТ Р 56939-2024. -
53. Интервалы времени восстановления функционирования информационных систем, их сегментов, выполняющих значимые функции, устанавливаются оператором (обладателем информации) в соответствии с актами, на основании которых осуществляется создание, эксплуатация информационных систем, или требованиями обладателя информации в зависимости от значимости функций для обеспечения его деятельности, классов защищенности информационных систем, устанавливаемых оператором (обладателем информации) в соответствии с приложением к Требованиям, и должны составлять:
- для информационных систем 1 класса защищенности - не более 24 часов с момента обнаружения нарушения функционирования;
- для информационных систем 2 класса защищенности - не более 7 календарных дней с момента обнаружения нарушения функционирования;
- для информационных систем 3 класса защищенности - не более 4 недель с момента обнаружения нарушения функционирования.
-
65. С целью подтверждения достаточности принятых мер защиты информационных систем и содержащейся в них информации до начала обработки и (или) хранения информации в государственных информационных системах должна быть проведена их аттестация <29> на соответствие Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. N 77 <30>.
Решение о необходимости аттестации иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений принимается руководителем оператора (обладателя информации), ответственным лицом.
<29> Подпункт 13(3) пункта 8 Положения о ФСТЭК России.
<30> Зарегистрирован Минюстом России 10 августа 2021 г., регистрационный N 64589. -
71. Для защиты информации должны применяться сертифицированные средства защиты информации в соответствии с инструкциями (правилами) по их эксплуатации, установленными разработчиками в эксплуатационной документации. Применяемые средства защиты информации должны быть обеспечены со стороны их разработчиков поддержкой безопасности на территории Российской Федерации, включая выпуск и применение обновлений программного обеспечения, обеспечивающих устранение выявленных уязвимостей, дефектов и недостатков.
Средства защиты информации должны применяться с соблюдением запретов, установленных пунктом 6 Указа Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". -
73. На стадиях жизненного цикла государственных информационных систем меры по защите информации должны приниматься заказчиками, операторами в соответствии с Требованиями к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676, на стадиях жизненного цикла иных информационных систем - в соответствии с разделом 5 национального стандарта Российской Федерации ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.", утвержденного и введенного в действие приказом Росстандарта от 28 января 2014 г. N 3-ст (М., ФГУП "Стандартинформ", 2014).
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.