Куда я попал?
Приказ ФСТЭК России № 117 от 11.04.2025
Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений
2. Организация деятельности по защите информации и управление данной деятельностью
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
порядок разработки безопасного программного обеспечения <5> в случае его самостоятельной разработки оператором (обладателем информации);
<5> Пункт 3.2 национального стандарта Российской Федерации ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие приказом Госстандарта от 24 октября 2024 г. N 1504-ст (М., ФГБУ "РСТ", 2024) (далее - ГОСТ Р 56939-2024). -
порядок мониторинга информационной безопасности <6> информационных систем;
<6> Пункт 3.7 национального стандарта Российской Федерации ГОСТ Р 59547-2021 "Защита информации. Мониторинг информационной безопасности. Общие положения", утвержденного и введенного в действие приказом Росстандарта от 27 июля 2021 г. N 656-ст (М., ФГБУ "РСТ", 2021) (далее - ГОСТ Р 59547-2021). -
19. Руководитель оператора (обладателя информации), ответственное лицо должны создать (определить) структурное подразделение или назначает отдельных специалистов, на которых возлагаются обязанности (функции) по защите информации (далее - структурное подразделение (специалисты) по защите информации).
Функции и полномочия по защите информации структурного подразделения по защите информации определяются в положении о структурном подразделении или ином документе, в соответствии с которым функционирует структурное подразделение <7>. Обязанности (функции) и полномочия специалистов по защите информации по проведению мероприятий и принятию мер по защите информации должны быть установлены в их должностных обязанностях (трудовых функциях). Состав обязанностей (функций) и полномочий по защите информации структурного подразделения (специалистов) по защите информации должен быть достаточен для проведения мероприятий и принятия мер по защите информации в соответствии с Требованиями.
В случае наличия у оператора (обладателя информации) структурного подразделения, на которое возложены функции по обеспечению информационной безопасности <8>, защита информации может быть возложена на указанное подразделение.
<7> Типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации), утвержденное постановлением Правительства Российской Федерации от 15 июля 2022 г. N 1272.
<8> Подпункт "б" пункта 1 Указа Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". -
24. Для проведения мероприятий и принятия мер по защите информации оператором (обладателем информации) могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации <9> (далее - специализированные организации). Состав проводимых специализированными организациями мероприятий и принимаемых ими мер по защите информации, используемых при этом программных, программно-аппаратных средств, предназначенных для защиты информации, определяется оператором (обладателем информации). Работники структурного подразделения (специалисты) по защите информации оператора (обладателя информации) должны привлекаться к приемке результатов работ и услуг, выполняемых (оказываемых) специализированными организациями.
<9> Пункт 5 части 1 статьи 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности". -
31. Оценка состояния защиты информации должна проводиться на основе определения оператором (обладателем информации):
- показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (далее - показатель защищенности Кзи);
- показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (далее - показатель уровня зрелости Пзи).
Для определения значений и расчета показателя защищенности Кзи и показателя уровня зрелости Пзи должны применяться методические документы, утвержденные ФСТЭК России в соответствии с абзацем вторым пункта 5 и подпунктом 4 пункта 8 Положения о ФСТЭК России (далее - методические документы ФСТЭК России). -
32. Расчет и оценка показателя защищенности Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Расчет и оценка показателя уровня зрелости Пзи должны проводиться оператором (обладателем информации) не реже одного раза в два года.
О полученных по результатам оценки значениях показателя защищенности Кзи и показателя уровня зрелости Пзи в случае их несоответствия нормированным значениям, указанным в методических документах ФСТЭК России, в течение 3 календарных дней со дня завершения такой оценки информируется руководитель оператора (обладателя информации) для принятия решения о проведении мероприятий по совершенствованию защиты информации и принятии мер по повышению уровня защищенности информации, содержащейся в информационных системах.
Результаты оценки показателя защищенности Кз" и показателя уровня зрелости Пзи в срок не позднее 5 рабочих дней после дня их расчета должны направляться оператором (обладателем информации) в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации <10>.
<10> Подпункты 6(1) и 6(5) пункта 8 Положения о ФСТЭК России. -
33. По решению руководителя оператора (обладателя информации), ответственного лица структурным подразделением (специалистами) по защите информации с участием подразделений (работников), использующих информационные системы, подразделений (работников), обеспечивающих эксплуатацию информационных систем, разрабатывается план мероприятий по совершенствованию защиты информации, содержащейся в информационных системах, в котором в том числе указываются наименования мероприятий, сроки их выполнения, подразделения (работники), ответственные за реализацию каждого мероприятия.
План утверждается руководителем оператора (обладателя информации), ответственным лицом и доводится до подразделений (работников) оператора (обладателя информации) в части, их касающейся. Результатом реализации мероприятий плана должно быть достижение значений показателя защищенности Кзи и показателя уровня зрелости Пзи не ниже нормированных значений, указанных в методических документах ФСТЭК России.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.