Куда я попал?
Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах
Методическая документация ФСТЭК
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Список требований
-
1.3. Методический документ детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в информационных системах и на значимых объектах критической информационной инфраструктуры (далее – меры по защите информации) в соответствии с требованиями по защите информации (обеспечению безопасности)[1].В методическом документе не рассматриваются содержание, правила выбора и реализации мер по защите информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с требованиями, установленными ФСБ России.[1] Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117.
Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. № 31.Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239.Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. № 31.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21. -
2.1. Повышение уровня цифровой зрелости органов (организаций), усиленная цифровизация производственных, промышленных, бизнес-процессов привела к критической зависимости реализуемых полномочий (функций), проводимых работ (оказываемых услуг) от устойчивости функционирования информационных систем и защищенности содержащейся в них информации. Определение негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации является необходимым условием эффективной деятельности по защите информации, содержащейся в информационных системах. Таким образом, определяемые в соответствии с требованиями по защите информации (обеспечению безопасности) цели защиты информации, содержащейся в информационных системах, должны предусматривать исключение наступления событий, повлекших возникновение негативных последствий (ущерба). Для определения недопустимых событий используются исходные данные, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.
-
Требования к усилению[4]:[4] Усиления мероприятий (процессов) по защите информации, приведенные в подразделах «требования к усилению» раздела 3, применяются по решению оператора (обладателя информации) для повышения эффективности реализации мероприятий по защите информации и повышения уровня защищенности информационных систем и содержащейся в них информации, а также для снижения возможности нарушителей по реализации угроз безопасности информации.
-
Требования к документированию: Внутренний регламент по разработке безопасного программного обеспечения[6], в случае его самостоятельной разработки оператором (обладателем информации), должен содержать:
- состав программного обеспечения, на разработку и эксплуатацию которого распространяются мероприятия (процессы) по разработке безопасного программного обеспечения;
- перечень подразделений (работников), на которых возложены функции по организации и внедрению процессов разработки безопасного программного обеспечения, их функции и полномочия;
- состав и содержание мероприятий (процессов) по разработке безопасного программного обеспечения;
- перечень инструментальных средств, используемых при реализации мероприятий (процессов) по разработке безопасного программного обеспечения;
- перечень подразделений (работников), на которых возложены функции по контролю процессов разработки безопасного программного обеспечения, их функции и полномочия;
- описание порядка взаимодействия работников оператора при осуществлении разработки безопасного программного обеспечения.
[6] Пункт 3.2 национального стандарта Российской Федерации ГОСТ Р 56939-2024 (М., ФГБУ «РСТ», 2024) (далее — ГОСТ Р 56939-2024). -
Требования к реализации: В информационной системе должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники (в том числе автоматизированных рабочих мест, конечных устройств, мобильных устройств) для выполнения возложенных на пользователей обязанностей (функций) (далее – внутренние пользователи).Ко внутренним пользователям относятся работники оператора (обладателя информации), заказчика информационной системы, а также подведомственных ему государственных органов и организаций при их наличии (непривилегированные пользователи, привилегированные пользователи, в том числе главный администратор, администраторы информационной системы, администраторы безопасности), выполняющие свои обязанности (функции) с использованием информации, информационных технологий и средств вычислительной техники информационной системы в соответствии с внутренними стандартами и регламентами по защите информации и которым в информационной системе присвоены учетные записи.В качестве внутренних пользователей также рассматриваются работники подрядных организаций, привлекаемые на договорной основе для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (разработка и тестирование программного обеспечения, обеспечение функционирования информационных систем или защита содержащейся в них информации) и которым в информационной системе также присвоены учетные записи.При доступе в информационную систему должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники, не входящих в состав информационной системы или для которых оператором информационной системы не могут устанавливаться и контролироваться требования о защите информации (далее – внешние пользователи).Примером внешних пользователей являются граждане, на законных основаниях через сеть «Интернет» получающие доступ к информационным ресурсам Единого портала государственных и муниципальных услуг (функций) или официальным сайтам в сети «Интернет» органов государственной власти, физические и юридические лица, осуществляющие доступ к информационным системам для получения информации с применением учетных записей или без них (анонимные пользователи).Пользователи информационной системы должны однозначно идентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации в соответствии с мерой защиты информации УПД.9.Идентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.Идентификация пользователей должна производиться в два этапа: первичная и вторичная идентификация.Первичная идентификация должна включать подготовку, формирование и регистрацию информации о пользователях, а также присвоение пользователю идентификатора доступа и его регистрацию в перечне присвоенных идентификаторов. Первичная идентификация пользователя должна проводиться один раз в момент установления личности физического лица, запрашивающего доступ к информационной системе.Первичная идентификация пользователей должна завершаться регистрацией идентификационной информации и присвоенного пользователю уникального идентификатора доступа или отказом.
Основанием для отказа в регистрации может быть несоответствие заявленных идентификационных данных требованиям к первичной идентификации, отрицательный результат, полученный в процессе их верификации.Идентификационная информация, полученная в процессе первичной идентификации, должна обновляться при изменении идентификационных данных пользователей (например, при смене фамилии, при изменении номера мобильного телефона, если он используется для целей идентификации пользователя).Вторичная идентификация должна включать проверку предъявленного пользователем идентификатора по списку зарегистрированных идентификаторов в информационной системе и опознавание пользователя. Вторичная идентификация является многократно повторяющимся процессом, осуществляющимся каждый раз при новом запросе пользователя на доступ к информационной системе и ресурсам (объектам защиты) информационной системы.Первичная и вторичная идентификация пользователей осуществляется с учетом положений национальных стандартов ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» и ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.В процессе сбора, передачи, обработки и хранения идентификационной и подтверждающей информации (в том числе персональных данных) должны быть реализованы меры по защите информации, обеспечивающие ее конфиденциальность, целостность и доступность.В информационной системе должно быть реализовано управление идентификаторами, включающее:- определение работника оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей;
- формирование идентификатора, который однозначно идентифицирует пользователя;
- присвоение идентификатора пользователю;
- проверку личности пользователя при присвоении ему идентификатора;
- предотвращение повторного использования идентификатора пользователя;
- хранение и поддержание актуального состояния (обновление) идентификационной информации пользователей;
- блокирование идентификатора пользователя после установленного оператором времени неиспользования.
Идентификация пользователей обеспечивается применением входящих в состав информационной системы операционной системы, и (или) средств защиты информации от несанкционированного доступа, и (или) средствами защиты информации, обеспечивающими централизованное управление идентификаторами. -
Требования к реализации: В информационной системе должен быть определен перечень типов сетевых устройств (в том числе серверы, автоматизированные рабочие места, телекоммуникационное оборудование, мобильные устройства, системы хранения данных), используемых в информационной системе.Идентификации подлежат:
- сетевые устройства, входящие в состав информационной системы (в том числе серверы, автоматизированные рабочие места, телекоммуникационное оборудование, системы хранения данных);
- мобильные устройства внутренних пользователей информационной системы (при их подключении к информационной системе);
- устройства, предназначенные для удаленного доступа работников подрядных организаций, иных государственных органов, организаций к информационным системам, содержащейся в них информации, и (или) передачи им информации.
Процесс идентификации должен осуществляться в два этапа — первичная идентификация и вторичная идентификация[11].В ходе первичной идентификации в информационной системе должны быть определены уникальные признаки (атрибуты) каждого устройства (идентификационные данные). В качестве признаков (атрибутов) устройств могут использоваться логические имена (имя устройства и (или) ID), логические адреса (например, IP-адреса) и (или) физические адреса (например, МАС-адреса) устройств или их комбинации.Каждому устройству информационной системы должен быть присвоен уникальный идентификатор или их комбинация для доступа в информационные системы.Первичная идентификация устройств осуществляется единожды при регистрации каждого нового устройства.Основанием для отказа в первичной идентификации является несоответствие заявленных идентификационных данных требованиям к первичной идентификации или невозможность их подтверждения в установленном порядке.По результатам первичной идентификации у оператора должен быть сформирован перечень всех идентификаторов устройств, используемых в информационной системе.В ходе вторичной идентификации выполняется проверка наличия у устройства, от имени которого осуществляется запрос доступа в информационную систему, идентификатора доступа.При наличии предъявленного идентификатора доступа в перечне присвоенных идентификаторов процесс вторичной идентификации считается успешно пройденным, затем проводится аутентификация устройств в соответствии с мерой защиты информации ИАФ.4.Вторичная идентификация проводится при каждом запросе на подключение устройства к информационной системе оператора (при начале информационного взаимодействия).Идентификация устройств обеспечивается применением серверной операционной системы и (или) прошивкой сетевого устройства или иных средствам.[11] Национальный стандарт Российской Федерации ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» -
Требования к реализации: В информационной системе должно быть обеспечено ограничение права доступа субъектов доступа, превысивших число неуспешных попыток доступа в информационную систему за установленный в информационной системе период времени.Ограничение прав доступа должно реализовываться в отношении:
- субъектов доступа, являющихся пользователями и устройствами информационной системы;
- субъектов доступа (нарушителей), осуществляющих попытки получения несанкционированного доступа к информационной системе с использованием взаимодействующих с информационной системой устройств и приложений.
Ограничение прав доступа в информационную систему должно выполняться посредством автоматического анализа событий попыток доступа в информационную систему в соответствии с мерами защиты информации ИАФ.1 – ИАФ.4.Ограничение прав доступа должно выполняться посредством блокирования учетной записи пользователя, устройства или приложения в информационной системе, а также посредством блокирования доступа на основе совпадения технических признаков (например, IP-адрес, сигнатуры сведений о пользовательском агенте). -
Требования к реализации: В информационной системе должно быть обеспечено предупреждение пользователя до момента выполнения идентификации и аутентификации в соответствии с мерами защиты информации ИАФ.1 — ИАФ.4 в виде сообщения («окна») о том, что в информационной системе реализованы меры защиты информации, а также о том, что пользователем должны быть соблюдены установленные в информационной системе правила и ограничения на работу с информацией.
Доступ пользователя в информационную систему осуществляется только после подтверждения пользователем ознакомления с предупреждением. -
Требования к реализации: В информационной системе должно быть обеспечено оповещение пользователя о последнем успешном входе в информационную систему, осуществленном ранее от имени его учетной записи, после успешного выполнения пользователем входа в информационную систему в соответствии с мерами защиты информации ИАФ.1 — ИАФ.4.Оповещение должно содержать информацию как минимум о дате и времени предыдущего входа в информационную систему от имени учетной записи пользователя, а также иную информацию, определенную в информационной системе.Пользователь информационной системы, установивший на основании оповещения факт несанкционированного доступа в информационную систему от имени его учетной записи, должен незамедлительно проинформировать привилегированного пользователя (администратора безопасности).
-
Требования к реализации: В информационной системе должно обеспечиваться блокирование сеанса доступа субъекта доступа (пользователя, устройства, приложения) после установленного в информационной системе времени его бездействия (неактивности), а также по запросу субъекта доступа или оператора.Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и (или) устройствам отображения, кроме необходимых для разблокирования сеанса.Разблокирование сеанса доступа субъекта доступа в информационную систему должно осуществляться после повторной аутентификации в соответствии с мерой защиты информации ИАФ.3.В информационной системе на устройстве отображения (мониторе) после блокирования сеанса не должна отображаться информация сеанса субъекта доступа.
-
Требования к реализации: В информационной системе должен быть установлен перечень действий субъектов доступа, разрешенных до прохождения ими процедур идентификации и аутентификации в соответствии с мерами защиты информации ИАФ.1 — ИАФ.4, и запрет действий субъектов доступа, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации.В информационной системе должен быть определен перечень действий привилегированных субъектов доступа (администраторов, администраторов безопасности, технических специалистов), осуществление которых допускается в обход установленных процедур идентификации и аутентификации, необходимых для восстановления функционирования информационной системы в случае сбоев в работе или выхода из строя отдельных технических средств (устройств).Все действия, выполняемые без прохождения процедуры идентификации и аутентификации, должны регистрироваться в журналах регистрации событий безопасности, за исключением доступа к общедоступным сведениям, подлежащим опубликованию в открытом доступе на компонентах информационной системы.Перечень действий субъектов доступа, разрешенных до идентификации и аутентификации, должен пересматриваться не реже 1 раза в год и после изменений модели доступа в информационной системе.
-
Требования к реализации: Анализ записей регистрации должен проводиться для всех событий, подлежащих регистрации в соответствии с мерой защиты информации РСБ.1, с периодичностью, установленной оператором и обеспечивающей своевременное выявление признаков компьютерных атак и инцидентов безопасности.В случае выявления признаков компьютерных атак и инцидентов безопасности в информационной системе осуществляется проведение мероприятий по реагированию на выявленные компьютерные атаки и инциденты безопасности.
-
Требования к реализации: В информационной системе должны осуществляться сбор, запись и хранение информации о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности.Сбор, запись и хранение информации о событиях безопасности должны предусматривать:
- возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени, из перечня типов событий безопасности, определенных в соответствии с мерой защиты информации РСБ.1;
- формирование (сбор, запись) записей типов событий безопасности, подлежащих регистрации;
- хранение информации о событиях безопасности в течение времени, установленного оператором информационной системы.
Объем памяти для хранения информации о событиях безопасности должен быть рассчитан и выделен с учетом типов событий безопасности, состава и содержания информации о событиях безопасности, подлежащих регистрации, а также срока хранения информации о зарегистрированных событиях безопасности.В информационной системе должна обеспечиваться защита информации о событиях безопасности, регистрируемых в информационной системе в соответствии с настоящим методическим документом. -
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:
- типы событий безопасности, подлежащие регистрации в заданный момент времени, из перечня типов событий безопасности, определенных в соответствии с мерой защиты информации РСБ.1;
- порядок хранения сведений о событиях безопасности, в том числе требования к местам хранения сведений о событиях безопасности и периоду времени хранения информации о событиях безопасности.
-
Требования к реализации: При применении средств виртуализации должна обеспечиваться в соответствии с мерами защиты информации РСБ.1 — РСБ.5 регистрация следующих событий безопасности:
- успешные и неуспешные попытки аутентификации пользователей средств виртуализации;
- доступ пользователей средств виртуализации к виртуальным машинам посредством интерфейса средства виртуализации (терминальный доступ, виртуальный рабочий стол);
- создание и удаление виртуальных машин;
- запуск и остановка средства виртуализации с указанием причины остановки;
- запуск и остановка виртуальных машин с указанием причины остановки;
- изменение назначения ролей;
- изменение конфигурации средства виртуализации;
- изменение конфигураций виртуальных машин;
- факты нарушения целостности объектов контроля;
- факты перемещения виртуальных машин.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов защиты и (или) средств управления событиями безопасности. -
Требования к реализации: Должны обеспечиваться меры по управлению доступом пользователей в среде виртуализации в соответствии с мерами защиты информации УПД.1 — УПД.4, а также:
- управление правами доступа пользователей средств виртуализации к виртуальным машинам;
- управление доступом виртуальных машин к физическому и виртуальному оборудованию;
- управление квотами доступа виртуальных машин к физическому и виртуальному оборудованию.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов безопасности. -
Требования к реализации: Должна обеспечиваться идентификация и аутентификация субъектов доступа в среде виртуализации в соответствии с мерами защиты информации ИАФ.1, ИАФ.3, в том числе:
- разработчиков виртуальных машин;
- администраторов безопасности средств виртуализации;
- администраторов средств виртуализации;
- администраторов виртуальных машин;
- администраторов хостовых операционных систем;
- администраторов средств вычислительной техники, с использованием которых обеспечивается функционирование среды виртуализации.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации и (или) хостовые операционные системы механизмов безопасности. -
Требования к реализации: При применении контейнерных сред должна обеспечиваться в соответствии с мерами защиты информации РСБ.1 — РСБ.5 регистрация следующих событий безопасности:
- попытки осуществления несанкционированного доступа к средству контейнеризации;
- попытки аутентификации пользователей средств контейнеризации;
- создание, модификация и удаление образов контейнеров;
- получение доступа к образам контейнеров;
- запуск и остановка средства контейнеризации с указанием причины остановки;
- запуск и остановка контейнеров с указанием причины остановки;
- изменение назначения ролей;
- модификация запускаемых контейнеров;
- выявление известных уязвимостей в образах контейнеров и некорректности их конфигурации;
- факты нарушения целостности объектов контроля.
Кроме того, должна обеспечиваться регистрация событий безопасности, относящихся к функционированию контейнера, с указанием идентификатора контейнера.Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности. -
Требования к реализации: При применении контейнерных сред должно обеспечиваться в соответствии с мерами защиты информации УПД.1 ‒ УПД.4 управление доступом пользователей средства контейнеризации, а также иных субъектов доступа к контейнерам и их образам.Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
-
Требования к реализации: Должна обеспечиваться в соответствии с мерами защиты информации ИАФ.1, ИАФ.3 идентификация и аутентификация пользователей, реализующих следующие роли в контейнерной среде:
- разработчик образов контейнеров;
- администратор безопасности средств контейнеризации;
- администратор средств контейнеризации;
- администратор хостовой операционной системы.
Указанная мера защиты информации реализуется за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности. -
Требования к реализации: Должны быть реализованы следующие меры защиты информации для обеспечения защиты ящиков и сообщений электронной почты:
- периодический анализ (аудит) ящиков электронной почты на наличие ящиков, подлежащих удалению;
- регистрация событий безопасности, связанных с действиями пользователей сервисов электронной почты в соответствии с мерами защиты информации РСБ.1 – РСБ.5.
-
Требования к реализации: Должны быть реализованы следующие меры защиты информации для обеспечения защиты ящиков электронной почты и сообщений электронной почты:
- доступ пользователей к ящикам электронной почты должен осуществляться после прохождения процедуры идентификации и аутентификации;
- идентификация и аутентификация пользователей при доступе к ящикам электронной почты в соответствии с мерами защиты информации ИАФ.1, ИАФ.3.
Доступ субъектов доступа к общим (групповым) ящикам электронной почты и группам рассылки должен осуществляться по согласованию с владельцем группы ящиков электронной почты (рассылок). -
Требования к реализации: Должна обеспечиваться антивирусная защита в соответствии с мерой защиты информации АВЗ.2.Должен обеспечиваться контроль вложений и ссылок в составе сообщений электронной почты с использованием индикаторов компрометации, содержащих информацию об объектах и (или) действиях, которая свидетельствует о реализованных вредоносных действиях (операциях).Должно быть обеспечено блокирование сообщений электронной почты, содержащих вложения, имеющие неразрешенные форматы файлов (вложений).Должна обеспечиваться возможность проведения ретроспективного анализа вложений и ссылок ранее поступивших сообщений электронной почты на наличие вредоносного программного обеспечения.
-
Требования к реализации: Сетевое информационное взаимодействие между субъектами доступа и объектами доступа (пользователями и приложениями) должно осуществляться посредством программного интерфейса приложений, защита данных в котором обеспечивается в соответствии с мерой защиты информации ЗПИ.1.Доступ субъектов доступа к пользовательским данным, хранящимся в веб-приложении, а также доступ к функциям веб-приложения должен осуществляться в соответствии с мерой защиты информации УПД.2.Сетевое взаимодействие между субъектами и объектами доступа (пользователями и приложениями) должно осуществляться с учетом мер защиты информации ЗКС.1 ‒ ЗКС.5.
-
Требования к реализации: В информационной системе должны быть обеспечены:
- идентификация и аутентификация пользователей веб-приложения, системы управления контентом веб-приложения в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- управление доступом пользователей к функциям и данным, хранящимся в веб-приложении, а также в системе управления контентом веб-приложения, в соответствии с мерами защиты информации УПД.1 ‒ УПД.6;
- ограничение числа параллельных сеансов доступа к веб-приложению в соответствии с мерой защиты информации УПД.7;
- автоматическое завершение сеансов доступа к веб-приложению при неактивности в соответствии с мерой защиты информации УПД.8;
- проверка прав доступа субъектов доступа при каждом обращении (запросе) к функциям или данным веб-приложения, включая обработку запросов на чтение и модификацию данных, вызов API-методов, загрузку файлов, за исключением определенных общедоступных ресурсов в соответствии с мерой защиты информации УПД.9.
Возможность идентификации и аутентификации пользователя только на стороне пользователя веб-приложения (например, проверка доступа на уровне JavaScript-кода в веб-браузере) должна быть исключена. -
Требования к усилению:
- идентификация и аутентификация привилегированных пользователей (администраторов, администраторов безопасности) веб-приложения должны осуществляться с использованием ввода второго фактора при использовании многофакторной аутентификации в составе информационной системы в соответствии с мерами защиты информации ИАФ.1, ИАФ.3.
-
Требования к реализации: В информационной системе должна быть обеспечена возможность автоматического контроля и фильтрации сетевого трафика веб-приложения, поступающего по сетевому интерфейсу программного взаимодействия с веб-приложением, в соответствии с мерой защиты информации ЗПИ.3.Контроль и фильтрация данных пользовательских запросов должны быть направлены на обнаружение, как минимум, следующих событий:
- нарушение содержащимися в запросе пользователя данными установленных в информационной системе ограничений по типу, размеру, формату и допустимому содержимому (схемы запроса);
- включение в состав запроса управляющих символов и конструкций, способных изменить логику обработки веб-приложением пользовательских запросов (например, SQL-запросы, JavaScript-код, системные команды);
- включение в состав запроса аутентификаторов доступа или иной чувствительной информации в открытом виде;
- формирование запросов автоматизированными инструментальными средствами поиска и эксплуатации уязвимостей веб-приложений;
- формирование запросов автоматизированными инструментальными средствами перебора (подбора) аутентификационной информации.
Контроль и фильтрация сетевого трафика веб-приложения должны обеспечиваться на основе как минимум следующих атрибутов пользовательского запроса протокола передачи гипертекста:- унифицированный идентификатор запрошенного информационного ресурса;
- веб-метод запроса;
- значения заголовков запроса;
- наименования и значения параметров запроса;
- идентификатор веб-клиента (набор значений заголовков атрибутов веб-клиента).
Контроль и фильтрация сетевого трафика веб-приложений, использующих расширения протокола передачи гипертекста и иные версии прикладных протоколов (например, протокол WebSocket), должны обеспечиваться на основе атрибутов, описанных во внутреннем стандарте, содержащем требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств.Для веб-приложений, доступных из сети «Интернет», указанные меры защиты информации должны быть реализованы с использованием межсетевого экрана уровня веб-сервера, или многофункционального межсетевого экрана уровня сети. -
Требования к реализации: В информационной системе в соответствии с мерами защиты информации РСБ.1 ‒ РСБ.5 должна быть обеспечена регистрация событий безопасности, связанных с попытками доступа субъектов доступа к объектам доступа веб-приложения в соответствии с мерами защиты информации УПД.1 ‒ УПД.9.В информационной системе должна быть обеспечена регистрация событий безопасности на уровне межсетевого экрана уровня веб-сервера и (или) многофункционального межсетевого экрана уровня сети, обеспечивающего контроль и фильтрацию сетевого трафика веб-приложения.На уровне веб-приложения дополнительно должна осуществляться регистрация следующих типов событий безопасности:
- события безопасности, связанные с идентификацией и аутентификацией пользователей веб-приложений;
- события безопасности, связанные с управлением учетными записями пользователей веб-приложения (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с изменением типов субъектов доступа, типов объектов доступа (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с изменением типов доступа субъектов доступа к объектам доступа, в том числе к функциям веб-приложений (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с ограничением числа параллельных сеансов доступа к веб-приложению;
- события безопасности, связанные с автоматическим завершением сеансов доступа к веб-приложению при неактивности;
- события безопасности, связанные с изменениями параметров настроек веб-приложения.
На уровне межсетевого экрана уровня веб-сервера и (или) многофункционального межсетевого экрана уровня сети, обеспечивающего контроль и фильтрацию сетевого трафика веб-приложения, должна осуществляться регистрация следующих типов событий безопасности:- события безопасности, связанные с фильтрацией сетевого трафика;
- события безопасности, связанные с обнаружением признаков вредоносного воздействия на веб-приложение.
В информационной системе должна обеспечиваться передача зарегистрированных событий безопасности в систему управления событиями безопасности информации, функционирующую в информационной системе.В информационной системе по результатам анализа событий безопасности должно обеспечиваться автоматическое реагирование на них посредством:блокирования сетевого сеанса взаимодействия с веб-приложением для событий безопасности, определенных оператором;уведомления администратора (администратора безопасности) информационной системы о факте и причинах блокирования сетевого сеанса. -
Требования к реализации: Должна обеспечиваться проверка всех файлов, передаваемых веб-приложениями, на вредоносное программное обеспечение в соответствии с мерой защиты информации АВЗ.1.Проверка должна включать анализ всех передаваемых в теле запроса файлов, а также составляющих тело запроса скриптов и данных, поступающих в веб-приложение.Должен быть исключен автоматический запуск переданных файлов в операционной системе на стороне веб-приложения или пользователя (например, путем осуществления фильтрации исполняемых файлов, определения соответствия типа файла его содержимому, предотвращения маскирования исполняемых файлов под иные форматы).
-
Требования к реализации: При организации сетевого взаимодействия между субъектами доступа (пользователями и приложениями) и объектами доступа посредством API должна обеспечиваться минимизация объема информации, раскрывающей структуру информационной системы, или иной информации, передаваемой посредством API.В информационной системе должна обеспечиваться минимизация состава информации, возвращаемой в сообщениях об ошибках взаимодействия с API, раскрывающей структуру и особенности функционирования информационной системы или иную конфиденциальную информацию.Должна обеспечиваться минимизация состава информации, содержащейся в аутентификаторах доступа к API путем исключения данных, раскрывающих структуру информационной системы или иные конфиденциальные сведения.При сетевом информационном взаимодействии внешних субъектов доступа с API через сеть «Интернет» должна обеспечиваться с учетом мер защиты информации ЗКС.1 ‒ ЗКС.5.
-
Требования к реализации: В информационной системе должны быть осуществлены:
- определение перечня API, для которых требуется контроль доступа пользователей и приложений;
- обеспечение идентификации и аутентификации пользователей, взаимодействующих c программным обеспечением информационной системы посредством API в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- управление доступом пользователей и приложений, получающих доступ к информационной системе посредством входящих в перечень API, соответствии с мерами защиты информации УПД.1 ‒ УПД.6;
- ограничение числа параллельных сеансов доступа к API в соответствии с мерой защиты информации УПД.7;
- автоматическое завершение сеансов доступа к API при неактивности в соответствии с мерой защиты информации УПД.8;
- проверка прав доступа субъектов доступа при каждом обращении (запросе) к API, за исключением определенных общедоступных ресурсов, в соответствии с мерой защиты информации УПД.9;
- установлены ограничения на частоту и объем обращений к программным интерфейсам (API), а также порядок автоматического выявления и пресечения попыток подбора средств аутентификации.
-
Требования к реализации: В информационной системе при защите конечных устройств должны обеспечиваться:
- идентификация и аутентификация пользователей конечных устройств в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- управление доступом пользователей к конечным устройствам в соответствии с мерами защиты информации УПД.1 ‒ УПД.9.
При предоставлении пользователям доступа к конечным устройствам должен применяться принцип наименьших привилегий.
Должен осуществляться контроль доступа пользователей к интерфейсам ввода-вывода конечных устройств.
Указанные меры защиты информации реализуются путем применения механизмов безопасности операционных систем и (или) средствами идентификации и аутентификации. -
Требования к реализации: Должна обеспечиваться антивирусная защита конечных устройств информационной системы в соответствии с мерой защиты информации АВЗ.1.На конечных устройствах, где отсутствует техническая возможность применения средств антивирусной защиты (телекоммуникационное оборудование, принтеры, многофункциональные устройства и иные конечные устройства), должны приниматься меры, обеспечивающие невозможность реализации угроз, связанных с вредоносным программным обеспечением.
-
Требования к реализации: Должен обеспечиваться мониторинг процессов и состояния конечных устройств пользователей и серверов
в соответствии с мерами защиты информации РСБ.1 – РСБ.5.При мониторинге процессов и состояний рекомендуется отслеживать:- запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;
- выполнение процессов с высоким уровнем привилегий, скрытых процессов и системных служб;
- выполнение процессов, инициированных средствами защиты информации конечных устройств;
- выполнение команд в интерпретаторе командной строки;
- попытки доступа к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей и иным объектам доступа);
- попытки идентификации и аутентификации пользователей конечных устройств;
- попытки удаленного доступа;
- подключение внешних устройств с использованием интерфейсов ввода-вывода;
- попытки осуществления беспроводного доступа;
- изменение программной конфигурации конечного устройства.
Указанные меры защиты информации реализуются путем применения механизмов безопасности операционных систем, и (или) средств обнаружения и реагирования на уровне узла, и (или) иных средств защиты информации. -
3. должно обеспечиваться реагирование на обнаружение компьютерных инцидентов средствами управления инцидентами информационной безопасности (в случае применения средства обнаружения и реагирования на уровне узла с учетом меры защиты информации ЗКУ.3 и наличия в информационной системе системы управления событиями безопасности информации);
-
Требования к реализации: При применении пользователями мобильных устройств для доступа к информационной системе, а также при предоставлении доступа пользователям к информации, содержащейся в информационной системе, в целях выполнения своих служебных обязанностей (функций) должна быть реализована идентификация и аутентификация пользователей в соответствии с мерами защиты информации ИАФ.1 ‒ ИАФ.4.При аутентификации пользователя на мобильном устройстве используется простая (парольная) аутентификация. Длина пароля должна быть не менее 6 символов. Максимальное количество неуспешных попыток ввода неправильного пароля до блокировки учетной записи пользователя – 5, блокировка мобильного устройства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 15 минут, смена паролей не более чем через 30 дней. Запрещается повторно использовать 12 последних паролей для доступа к мобильному устройству.Указанные меры реализуются за счет применения в информационной системе операционных систем и (или) средствами идентификации и аутентификации.
-
Требования к реализации: Должны обеспечиваться меры по управлению доступом пользователей к мобильным устройствам в соответствии с мерами защиты информации УПД.1 ‒ УПД.9, а также по управлению правами доступа пользователей к приложениям, установленным на мобильных устройствах,
к информации, содержащейся в мобильном устройстве, и иным объектам доступа.При применении пользователями мобильных устройств для доступа к информационной системе, а также при предоставлении доступа пользователям к информации, содержащейся в мобильных устройствах, должен применяться принцип наименьших привилегий.
Указанные меры защиты информации реализуются путем применения операционных систем, и (или) средств идентификации и аутентификации, и (или) систем управления мобильными устройствами. -
Требования к реализации: Программное обеспечение на мобильных устройствах, используемое для доступа к информационной системе, не должно сохранять данные в общедоступные каталоги мобильного устройства.Программное обеспечение мобильных устройств должно сохранять данные информационной системы только в изолированную область памяти, к которой имеет доступ только указанное программное обеспечение.Создание резервных копий данных информационной системы в общедоступных облачных сервисах в сети «Интернет» с помощью мобильных устройств или установленного на них программного обеспечения должно быть заблокировано.Указанные меры защиты информации реализуются путем применения операционных систем и (или) систем управления мобильными устройствами.Обмен данными между информационной системой и мобильными устройствами посредством сети «Интернет» должен осуществляться с учетом реализации меры защиты информации ЗКС.1.
-
Требования к реализации: Должна обеспечиваться регистрация событий безопасности в операционной системе мобильного устройства в соответствии
с мерами защиты информации РСБ.1 ‒ РСБ.5.Должен выполняться анализ зарегистрированных событий безопасности, по результатам анализа должно осуществляться реагирование на выявленные компьютерные инциденты. -
Требования к реализации: Должна обеспечиваться идентификация устройств «интернета вещей» в соответствии с мерой защиты информации ИАФ.2.Идентификация устройств «интернета вещей» должна обеспечиваться по логическим именам (имя устройства и (или) идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) или по комбинации имени, логического и (или) физического адресов устройств «интернета вещей».Аутентификация устройств «интернета вещей» должна обеспечиваться с использованием протоколов аутентификации.
Не допускается осуществлять аутентификацию устройств «интернета вещей» с использованием паролей, установленных по умолчанию. -
Требования к реализации: При реализации управления доступом к устройствам «интернета вещей» должны быть установлены:
- методы управления доступом к устройствам «интернета вещей» (например, метод ролевого управления доступом, метод управления доступом, основанный на атрибутах устройств «интернета вещей», метод управления доступом, основанный на списках управления доступом) в соответствии с мерами защиты информации УПД.1 ‒ УПД.9;
- виды устройств «интернета вещей», разрешенные для применения в информационной системе;
- виды доступа (беспроводной, проводной (коммутируемый) и иные виды доступа), разрешенные для доступа к объектам доступа информационной системы с использованием устройств «интернета вещей»;
- протоколы взаимодействия устройств «интернета вещей», разрешенные для применения в информационной системе.
При предоставлении доступа к устройствам «интернета вещей» должен применяться принцип наименьших привилегий. -
Требования к реализации: Должна обеспечиваться регистрация событий безопасности в устройствах «интернета вещей» в соответствии с мерами защиты информации РСБ.1 ‒ РСБ.5.Должен выполняться анализ зарегистрированных событий безопасности, по результатам анализа должно осуществляться реагирование на выявленные компьютерные инциденты.
-
Требования к реализации: Должны обеспечиваться:
- идентификация и аутентификация пользователей, запрашивающих доступ к беспроводной локальной вычислительной сети (внутренних пользователей, привилегированных пользователей, администраторов), в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- идентификация устройств, запрашивающих доступ к беспроводной локальной вычислительной сети, в соответствии с мерой защиты информации ИАФ.2;
- идентификация точек беспроводного доступа беспроводной локальной вычислительной сети.
Идентификация точек беспроводного доступа должна обеспечиваться по логическим именам (например, символьному названию беспроводной точки доступа SSID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) или по комбинации имени, логического и (или) физического адресов точки беспроводного доступа.Идентификация устройств при подключении к точкам беспроводного доступа в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.Не допускается осуществлять аутентификацию точек беспроводного доступа с использованием паролей, установленных по умолчанию.Указанные меры защиты информации реализуются за счет применения в информационной системе средств идентификации и аутентификации, реализованных и (или) применяемых в точках беспроводного доступа, ином оборудовании беспроводной локальной вычислительной сети, устройствах пользователей. -
Требования к реализации: Должны обеспечиваться меры по управлению доступом субъектов к точкам беспроводного доступа
в информационной системе в соответствии с мерами защиты информации УПД.1 ‒ УПД.9, а также обеспечиваться:- фильтрация устройств пользователей, используемых для беспроводного доступа, (например, по физическим адресам (МАС-адресам) для управления разрешениями по доступу к беспроводной локальной вычислительной сети;
- предоставление доступа к параметрам (изменению параметров) настройки точек беспроводного доступа только администраторам информационной системы;
- предоставление доступа к беспроводной локальной вычислительной сети (к точкам беспроводного доступа, хранимой информации, услугам (сервисам) и приложениям) только пользователям, прошедшим идентификацию и аутентификацию.
Указанные меры защиты информации реализуются за счет применения в информационной системе средств управления доступом, реализованных и (или) применяемых в точках беспроводного доступа, ином оборудовании беспроводной локальной вычислительной сети, устройствах пользователей.При предоставлении пользователям доступа к точкам беспроводного доступа должен применяться принцип наименьших привилегий. -
Требования к реализации: Должна обеспечиваться регистрация событий безопасности в сетях беспроводного доступа в соответствии с мерами защиты информации РСБ.1 ‒ РСБ.5.Должен выполняться анализ зарегистрированных событий безопасности, по результатам анализа должно осуществляться реагирование на выявленные компьютерные инциденты.
-
Требования к реализации: В информационной системе должны быть реализованы следующие меры:
- серверы, обеспечивающие и предоставляющие прикладные сервисы информационной системы внешним пользователям информационной системы, должны размещаться в демилитаризованной зоне, соответствующей мере защиты информации МСЭ.2;
- на границе демилитаризованной зоны или до поступления в демилитаризованную зону сетевой трафик из внешней сети должен подвергаться фильтрации и очистке от составляющих, связанных
- с компьютерными атаками, направленными на отказ в обслуживании, с использованием средств защиты информации от воздействий, направленных на отказ в обслуживании информационных (автоматизированных) на стороне оператора информационной системы, и (или) на стороне провайдера, и (или) организации, предоставляющей услуги связи, и (или) организации, оказывающей услуги по контролю, фильтрации и блокированию сетевых запросов, обладающих признаками компьютерных атак, направленных на отказ в обслуживании.
-
Требования к реализации: При передаче информации по каналам связи, выходящим за пределы контролируемой зоны, должна обеспечиваться:
- защита передачи информации ограниченного доступа;
- защита удаленного доступа пользователей к информационной системе;
- защита сетевого взаимодействия пользователей, приложений, сетевых сервисов, находящихся в разных сегментах информационной системы с учетом мер защиты информации МСЭ.1, МСЭ.3;
- защита сетевого взаимодействия пользователей, приложений, сетевых сервисов информационной системы с другими информационными системами с учетом мер защиты информации МСЭ.2, МСЭ.3.
В информационной системе должна быть обеспечена защита каналов передачи данных, выходящих за пределы контролируемой зоны, которая включает:- контроль всех сетевых взаимодействий на портах и интерфейсах приложений и сетевых сервисов, доступных из сети «Интернет»;
- формирование и поддержание в актуальном состоянии правил межсетевого экранирования с учетом меры защиты информации МСЭ.3;
- ограничение доступа пользователей, приложений и сетевых сервисов к неиспользуемым портам, сетевым службам и сервисам;
- отключение небезопасных версий протоколов и сетевых служб.
Реализация указанной меры защиты информации обеспечивается за счет применения межсетевых экранов, и (или) многофункциональных межсетевых экранов уровня сети, и (или) средств однонаправленной передачи информации, а также с использованием шифровальных (криптографических) средств защиты информации в соответствии с законодательством Российской Федерации. -
Требования к реализации: В информационной системе должен быть определен перечень атрибутов безопасности, в соответствии с которыми осуществляется контроль информации, получаемой и передаваемой за пределы контролируемой зоны. Атрибуты безопасности должны включать характеристики, позволяющие однозначно идентифицировать субъект доступа.В информационной системе должны быть обеспечены:
- формирование перечня атрибутов безопасности отправителей и получателей, включающих атрибуты сетевых соединений;
- проверка соответствия атрибутов безопасности отправителя, получателя перед разрешением передачи данных;
- проверка соответствия атрибутов безопасности отправителя, получателя перед приемом данных;
- применение правил межсетевого экранирования на межсетевых экранах, учитывающих атрибуты безопасности с учетом меры защиты информации МСЭ.3.
Операции с атрибутами должны регистрироваться с учетом мер защиты информации РСБ.1 – РСБ.5.Реализация указанных мер защиты информации обеспечивается за счет применения межсетевых экранов и (или) многофункциональных межсетевых экранов. -
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся архитектура, структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Определение класса защищенности информационной системы проводится в соответствии с приложением к Требованиям о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденным приказом ФСТЭК России от 11 апреля 2025 г. № 117.
Устанавливаются три класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – третий, самый высокий – первый.
При обработке в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. № 117, меры защиты информации:- для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных[1];
- для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных;
- для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных.
В случае если информационная система является значимым объектом критической информационной инфраструктуры Российской Федерации, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. № 117, меры защиты информации:- для информационной системы 1 класса защищенности обеспечивают I, II и III категории значимости объектов критической информационной инфраструктуры[2];
- для информационной системы 2 класса защищенности обеспечивают II и III категории значимости объектов критической информационной инфраструктуры;
- для информационной системы 3 класса защищенности обеспечивают III категорию значимости объектов критической информационной инфраструктуры.
Выбор мер защиты информации для их реализации в информационной системе включает:- реализацию базовых мер защиты информационных систем и содержащейся в них информации соответствующих классов защищенности, устанавливаемых оператором (обладателем информации);
- адаптацию базовых мер защиты информационных систем и содержащейся в них информации применительно к архитектуре информационных систем, применяемым информационным технологиям, особенностям функционирования информационных систем;
- верификацию адаптированных базовых мер защиты информационных систем и содержащейся в них информации в соответствии с актуальными угрозами и возможностями нарушителей, их дополнение и (или) усиление.
Определение базовых мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы. В соответствии с настоящим методическим документом в качестве начального выбирается один из трех базовых наборов мер защиты информации, соответствующий установленному классу. Меры защиты информации, обозначенные знаком «+» в приложении № 2 к настоящему методическому документу включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком «+», к базовому набору мер не относятся, и могут применяться при последующих действиях по адаптации и верификации мер защиты информации, а также разработке компенсирующих мер защиты информации.
Базовые меры защиты информации, выбранные в соответствии с классом защищенности информационной системы, подлежат адаптации применительно к структурно-функциональным характеристикам и особенностям функционирования информационной системы, уточнению в зависимости от угроз безопасности информации и при необходимости дополнению мерами защиты информации, включенными в иные нормативные правовые акты, нормативные и методические документы по защите информации.
При адаптации базового набора мер защиты информации учитываются:- применяемые информационные технологии и структурно-функциональные характеристики информационной системы;
- цели и задачи защиты информации в информационной системе;
- перечень проводимых оператором мероприятий по защите информации.
Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.
Верификация адаптированных базовых мер защиты информации проводится с учетом результатов оценки возможности адаптированного базового набора мер защиты информации блокировать угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы.
Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и возможности нарушителей, включенные в модель угроз безопасности информации.
При верификации адаптированных мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. В случае если адаптированный базовый набор мер защиты информации не обеспечивает блокирование угроз безопасности информации, в него дополнительно включаются меры защиты информации, приведенные в разделе 4 настоящего методического документа.
В подразделах «Требования к реализации» для каждой меры, приведенной в разделе 4 настоящего методического документа, указано требование к тому, каким образом и в каком объеме должна быть реализована каждая мера защиты информации. Требования к реализации мер защиты информации являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности в случае, если эта мера выбрана для реализации в качестве верифицированной адаптированной базовой меры защиты информации.
В зависимости от класса защищенности информационной системы минимальные требования к реализации верифицированной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации. Все возможные усиления мер защиты информации приведены в подразделах «Требования к усилению» раздела 4 настоящего методического документа для каждой меры защиты информации. Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах «Требования к реализации».
Итоговое содержание каждой верифицированной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в таблице подраздела «Реализация в информационной системе».
[1] Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
[2] Устанавливается в соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.