Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Поиск
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Состав и содержание мероприяти... Приложение № 3
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

Приложение № 3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • Приложение № 3 к методическому документу
  • Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся архитектура, структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
    Определение класса защищенности информационной системы проводится в соответствии с приложением к Требованиям о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденным приказом     ФСТЭК России от 11 апреля 2025 г. № 117.
    Устанавливаются три класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – третий, самый высокий – первый.
    При обработке в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. № 117, меры защиты информации:
    • для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных[1];
    • для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных;
    • для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных.
    В случае если информационная система является значимым объектом критической информационной инфраструктуры Российской Федерации, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. № 117, меры защиты информации:
    • для информационной системы 1 класса защищенности обеспечивают I, II и III категории значимости объектов критической информационной инфраструктуры[2];
    • для информационной системы 2 класса защищенности обеспечивают II и III категории значимости объектов критической информационной инфраструктуры;
    • для информационной системы 3 класса защищенности обеспечивают III категорию значимости объектов критической информационной инфраструктуры.
    Выбор мер защиты информации для их реализации в информационной системе включает:
    • реализацию базовых мер защиты информационных систем и содержащейся в них информации соответствующих классов защищенности, устанавливаемых оператором (обладателем информации);
    • адаптацию базовых мер защиты информационных систем и содержащейся в них информации применительно к архитектуре информационных систем, применяемым информационным технологиям, особенностям функционирования информационных систем;
    • верификацию адаптированных базовых мер защиты информационных систем и содержащейся в них информации в соответствии с актуальными угрозами и возможностями нарушителей, их дополнение и (или) усиление.
    Определение базовых мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы. В соответствии с настоящим методическим документом в качестве начального выбирается один из трех базовых наборов мер защиты информации, соответствующий установленному классу. Меры защиты информации, обозначенные знаком «+» в приложении № 2 к настоящему методическому документу включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком «+», к базовому набору мер не относятся, и могут применяться при последующих действиях по адаптации и верификации мер защиты информации, а также разработке компенсирующих мер защиты информации.
    Базовые меры защиты информации, выбранные в соответствии с классом защищенности информационной системы, подлежат адаптации применительно к структурно-функциональным характеристикам и особенностям функционирования информационной системы, уточнению в зависимости от угроз безопасности информации и при необходимости дополнению мерами защиты информации, включенными в иные нормативные правовые акты, нормативные и методические документы по защите информации.
    При адаптации базового набора мер защиты информации учитываются:
    • применяемые информационные технологии и структурно-функциональные характеристики информационной системы;
    • цели и задачи защиты информации в информационной системе;
    • перечень проводимых оператором мероприятий по защите информации.
    Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.
    Верификация адаптированных базовых мер защиты информации проводится с учетом результатов оценки возможности адаптированного базового набора мер защиты информации блокировать угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы.
    Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и возможности нарушителей, включенные в модель угроз безопасности информации.
    При верификации адаптированных мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. В случае если адаптированный базовый набор мер защиты информации не обеспечивает блокирование угроз безопасности информации, в него дополнительно включаются меры защиты информации, приведенные в разделе 4 настоящего методического документа.
    В подразделах «Требования к реализации» для каждой меры, приведенной в разделе 4 настоящего методического документа, указано требование к тому, каким образом и в каком объеме должна быть реализована каждая мера защиты информации. Требования к реализации мер защиты информации являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности в случае, если эта мера выбрана для реализации в качестве верифицированной адаптированной базовой меры защиты информации.
    В зависимости от класса защищенности информационной системы минимальные требования к реализации верифицированной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации. Все возможные усиления мер защиты информации приведены в подразделах «Требования к усилению» раздела 4 настоящего методического документа для каждой меры защиты информации. Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах «Требования к реализации».
    Итоговое содержание каждой верифицированной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в таблице подраздела «Реализация в информационной системе».
    [1] Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
    [2] Устанавливается в соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.