Приказ ФСТЭК России № 239 от 25.12.2017

10. Задание требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).
Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:

      а) цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта;
      б) категорию значимости значимого объекта;
      в) перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;
      г) перечень типов объектов защиты значимого объекта; д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта;
      е) стадии (этапы работ) создания подсистемы безопасности значимого объекта;
      ж) требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
      з) требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);
      и) требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями;
      к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта.

В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капитального строительства.
При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее – организационно-распорядительные документы по безопасности значимых объектов).