Приказ ФСТЭК России № 239 от 25.12.2017

12.1. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, а также в соответствии с эксплуатационной документацией на отдельные средства защиты информации.

При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию этих средств защиты информации, в случае их наличия в эксплуатационной документации.

12.2. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с главой III настоящих Требований.

Организационно-распорядительные документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами.

Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.

12.3. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются:

12.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии с программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также знаний и умений пользователей и администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности. По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта и его подсистемы безопасности.

12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.

При проведении анализа уязвимостей применяются следующие способы их выявления:

Применение способов и средств выявления уязвимостей осуществляется субъектом критической информационной инфраструктуры с учетом особенностей функционирования значимого объекта.

Допускается проведение анализа уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта.

Анализ уязвимостей значимого объекта проводится до ввода его в эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.

В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации (способствовать возникновению) угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей.

12.7. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям, а также требованиям технического задания на создание значимого объекта и (или) технического задания (частного технического задания) на создание подсистемы безопасности значимого объекта.
В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, результаты (акт) категорирования, техническое задание на создание (модернизацию) значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, проектная и рабочая (эксплуатационная) документация на значимый объект, организационно-распорядительные документы по безопасности значимых объектов, результаты анализа уязвимостей значимого объекта, материалы предварительных испытаний и опытной эксплуатации, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания значимого объекта и его подсистемы безопасности проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний значимого объекта и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки значимого объекта в эксплуатацию.