Приказ № 239
«Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239
- О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИот 26.03.2019
Действующая редакция
с 28 августа 2024
Описание приказа ФСТЭК №239
Объекты: объекты критической информационной инфраструктуры (далее – КИИ), значимые объекты КИИ, субъекты КИИ.
Самое главное: Приказ ФСТЭК № 239 устанавливает требования в отношении объектов КИИ, направленные на обеспечение устойчивого функционирования значимых объектов КИИ Российской Федерации при проведении в отношении них компьютерных атак.
По решению субъекта КИИ настоящие Требования могут применяться для защиты объектов КИИ, не отнесённых к значимым.
При обработке информации, составляющей государственную тайну, обеспечение безопасности значимых объектов КИИ осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Для значимых объектов КИИ, являющихся ИСПДн, настоящие Требования применяются совместно с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и с Приказом ФСТЭК России от 18.02.2013 № 21.
Для значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются совместно с Приказом ФСТЭК России от 11.02.2013 № 17 (с изменениями по Приказу №27).
Используемые термины:
- критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
- объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
- значимый объект критической информационной инфраструктуры (далее – ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
- субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
- безопасность критической информационной инфраструктуры – состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
- средство защиты информации – техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Объекты, которые необходимо защищать
В ЗОКИИ защите подлежат следующие объекты:
- в информационных системах:
- обрабатываемая информация;
- программно-аппаратные средства;
- программные средства;
- средства защиты информации;
- архитектура и конфигурация информационной системы.
- в информационно-телекоммуникационных сетях:
- информация, передаваемая по линиям связи;
- телекоммуникационное оборудование;
- средства защиты информации;
- архитектура и конфигурация информационно-телекоммуникационной сети.
- в автоматизированных системах управления:
- информация о параметрах и состоянии управляемого объекта или процесса (входная, выходная, управляющая, измерительная, технологическая);
- программно-аппаратные средства;
- программные средства;
- средства защиты информации;
- архитектура и конфигурация автоматизированной системы управления.
Требования к обеспечению безопасности ЗОКИИ
Обеспечение безопасности ЗОКИИ является частью работ по их созданию, модернизации, эксплуатации и выводу из эксплуатации. Меры безопасности должны реализовываться на всех этапах жизненного цикла.
На этапах создания (модернизации), эксплуатации и вывода из эксплуатации выполняются:
- установление требований к обеспечению безопасности ЗОКИИ;
- разработка организационных и технических мер;
- внедрение мер и ввод объекта в действие;
- обеспечение безопасности в ходе его эксплуатации;
- обеспечение безопасности при выводе из эксплуатации.
Задание требований безопасности ЗОКИИ выполняется субъектом КИИ (или уполномоченным лицом) в соответствии с категорией значимости, определённой в соответствии с Постановлением Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации».
Разработка мер безопасности ЗОКИИ выполняется субъектом КИИ (или привлечённой организацией) на основании ТЗ и включает:
- анализ угроз и разработку/уточнение модели угроз с целью определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения);
- проектирование подсистемы безопасности с учётом ТЗ, модели угроз и категории значимости;
- разработку эксплуатационной документации в соответствии с ТЗ.
Внедрение мер безопасности организуется субъектом КИИ и включает:
- установку и настройку СЗИ, программных и программно-аппаратных средств;
- разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
- внедрение организационных мер;
- предварительные испытания;
- опытную эксплуатацию;
- анализ уязвимостей и устранение выявленных слабостей;
- приемочные испытания ЗОКИИ и подсистемы безопасности ЗОКИИ.
Эксплуатация ЗОКИИ включает обязательную реализацию следующих мероприятий:
- планирование мероприятий по обеспечению безопасности ЗОКИИ;
- анализ угроз безопасности информации в ЗОКИИ и последствий от их реализации;
- управление (администрирование) подсистемой безопасности ЗОКИИ;
- управление конфигурацией ЗОКИИ и его подсистемой безопасности;
- реагирование на компьютерные инциденты в ходе эксплуатации ЗОКИИ;
- обеспечение действий в нештатных ситуациях в ходе эксплуатации ЗОКИИ;
- информирование и обучение персонала ЗОКИИ;
- контроль за обеспечением безопасности ЗОКИИ.
При выводе ЗОКИИ из эксплуатации или прекращении обработки информации субъект КИИ обязан обеспечить безопасность в соответствии с эксплуатационной и организационно-распорядительной документацией.
Основные мероприятия включают:
- архивирование информации, содержащейся в ЗОКИИ;
- уничтожение или стирание данных и остаточной информации с машинных носителей либо физическое уничтожение носителей;
- архивирование или уничтожение данных об архитектуре и конфигурации ЗОКИИ;
- архивирование или уничтожение эксплуатационной и организационно-распорядительной документации на ЗОКИИ.
Целью обеспечения безопасности ЗОКИИ является устойчивое функционирование ЗОКИИ в проектных режимах при реализации угроз безопасности информации.
Задачами обеспечения безопасности ЗОКИИ являются:
- предотвращение несанкционированного доступа, модификации, уничтожения и других неправомерных действий с информацией;
- недопущение воздействия на ПО и оборудование, приводящего к нарушению работы объекта;
- обеспечение функционирования в условиях угроз;
- возможность восстановления работы объекта.
Безопасность достигается совокупностью организационных и технических мер, направленных на нейтрализацию угроз, которые могут нарушить функционирование объекта или безопасность информации.
Выбор и реализация мер безопасности:
- меры выбираются с учётом категории значимости, модели угроз, особенностей функционирования и используемых технологий;
- применяются на всех уровнях: аппаратном, системном, прикладном, сетевом, в том числе в среде виртуализации;
- возможно привлечение лицензированных организаций (для защиты гостайны или конфиденциальной информации);
- меры должны соотноситься с промышленной, физической и функциональной безопасностью и не влиять негативно на работу ЗОКИИ.
Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности ЗОКИИ
В ЗОКИИ применяются СЗИ, прошедшие оценку соответствия.
При использовании сертифицированных СЗИ применяются минимальные классы защиты:
- 1 категория – СЗИ ≥ 4 класса, СВТ ≥ 5 класса.
- 2 категория – СЗИ ≥ 5 класса, СВТ ≥ 5 класса.
- 3 категория – СЗИ = 6 класс, СВТ ≥ 5 класса.
Некоторые возможные риски несоблюдения требований Приказа ФСТЭК № 239
1. Административные и финансовые санкции
Статьи:
- Статья 13.12 КоАП РФ - ответственность за нарушение требований к обеспечению безопасности информации;
- п. 1 Статьи 13.12.1 КоАП РФ - ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;
Риски: штрафы от 5000 до 100 000 рублей.
2. Уголовная ответственность
Статьи:
- п. 3 Статьи 274.1 УК РФ – ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.
Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.
Меры защиты информации значимых объектов критической информационной инфраструктуры

