Приказ № 239

Описание приказа ФСТЭК №239

Объекты: объекты критической информационной инфраструктуры (далее – КИИ), значимые объекты КИИ, субъекты КИИ.

Самое главное: Приказ ФСТЭК № 239 устанавливает требования в отношении объектов КИИ, направленные на обеспечение устойчивого функционирования значимых объектов КИИ Российской Федерации при проведении в отношении них компьютерных атак.

По решению субъекта КИИ настоящие Требования могут применяться для защиты объектов КИИ, не отнесённых к значимым.

При обработке информации, составляющей государственную тайну, обеспечение безопасности значимых объектов КИИ осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

Для значимых объектов КИИ, являющихся ИСПДн, настоящие Требования применяются совместно с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и с Приказом ФСТЭК России от 18.02.2013 № 21.

Для значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются совместно с Приказом ФСТЭК России от 11.02.2013 № 17 (с изменениями по Приказу №27).

Используемые термины:

  • критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
  • объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
  • значимый объект критической информационной инфраструктуры (далее – ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
  • субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
  • безопасность критической информационной инфраструктуры – состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
  • средство защиты информации – техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Объекты, которые необходимо защищать

В ЗОКИИ защите подлежат следующие объекты:

  • в информационных системах:
    • обрабатываемая информация;
    • программно-аппаратные средства;
    • программные средства;
    • средства защиты информации;
    • архитектура и конфигурация информационной системы.
  • в информационно-телекоммуникационных сетях:
    • информация, передаваемая по линиям связи;
    • телекоммуникационное оборудование;
    • средства защиты информации;
    • архитектура и конфигурация информационно-телекоммуникационной сети.
  • в автоматизированных системах управления:
    • информация о параметрах и состоянии управляемого объекта или процесса (входная, выходная, управляющая, измерительная, технологическая);
    • программно-аппаратные средства;
    • программные средства;
    • средства защиты информации;
    • архитектура и конфигурация автоматизированной системы управления.

Требования к обеспечению безопасности ЗОКИИ

Обеспечение безопасности ЗОКИИ является частью работ по их созданию, модернизации, эксплуатации и выводу из эксплуатации. Меры безопасности должны реализовываться на всех этапах жизненного цикла.

На этапах создания (модернизации), эксплуатации и вывода из эксплуатации выполняются:

  • установление требований к обеспечению безопасности ЗОКИИ;
  • разработка организационных и технических мер;
  • внедрение мер и ввод объекта в действие;
  • обеспечение безопасности в ходе его эксплуатации;
  • обеспечение безопасности при выводе из эксплуатации.

Задание требований безопасности ЗОКИИ выполняется субъектом КИИ (или уполномоченным лицом) в соответствии с категорией значимости, определённой в соответствии с Постановлением Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации».

Разработка мер безопасности ЗОКИИ выполняется субъектом КИИ (или привлечённой организацией) на основании ТЗ и включает:

  • анализ угроз и разработку/уточнение модели угроз с целью определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения);
  • проектирование подсистемы безопасности с учётом ТЗ, модели угроз и категории значимости;
  • разработку эксплуатационной документации в соответствии с ТЗ.

Внедрение мер безопасности организуется субъектом КИИ и включает:

  • установку и настройку СЗИ, программных и программно-аппаратных средств;
  • разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
  • внедрение организационных мер;
  • предварительные испытания;
  • опытную эксплуатацию;
  • анализ уязвимостей и устранение выявленных слабостей;
  • приемочные испытания ЗОКИИ и подсистемы безопасности ЗОКИИ.

Эксплуатация ЗОКИИ включает обязательную реализацию следующих мероприятий:

  • планирование мероприятий по обеспечению безопасности ЗОКИИ;
  • анализ угроз безопасности информации в ЗОКИИ и последствий от их реализации;
  • управление (администрирование) подсистемой безопасности ЗОКИИ;
  • управление конфигурацией ЗОКИИ и его подсистемой безопасности;
  • реагирование на компьютерные инциденты в ходе эксплуатации ЗОКИИ;
  • обеспечение действий в нештатных ситуациях в ходе эксплуатации ЗОКИИ;
  • информирование и обучение персонала ЗОКИИ;
  • контроль за обеспечением безопасности ЗОКИИ.

При выводе ЗОКИИ из эксплуатации или прекращении обработки информации субъект КИИ обязан обеспечить безопасность в соответствии с эксплуатационной и организационно-распорядительной документацией.

Основные мероприятия включают:

  • архивирование информации, содержащейся в ЗОКИИ;
  • уничтожение или стирание данных и остаточной информации с машинных носителей либо физическое уничтожение носителей;
  • архивирование или уничтожение данных об архитектуре и конфигурации ЗОКИИ;
  • архивирование или уничтожение эксплуатационной и организационно-распорядительной документации на ЗОКИИ.

Целью обеспечения безопасности ЗОКИИ является устойчивое функционирование ЗОКИИ в проектных режимах при реализации угроз безопасности информации.

Задачами обеспечения безопасности ЗОКИИ являются:

  • предотвращение несанкционированного доступа, модификации, уничтожения и других неправомерных действий с информацией;
  • недопущение воздействия на ПО и оборудование, приводящего к нарушению работы объекта;
  • обеспечение функционирования в условиях угроз;
  • возможность восстановления работы объекта.

Безопасность достигается совокупностью организационных и технических мер, направленных на нейтрализацию угроз, которые могут нарушить функционирование объекта или безопасность информации.

Выбор и реализация мер безопасности:

  • меры выбираются с учётом категории значимости, модели угроз, особенностей функционирования и используемых технологий;
  • применяются на всех уровнях: аппаратном, системном, прикладном, сетевом, в том числе в среде виртуализации;
  • возможно привлечение лицензированных организаций (для защиты гостайны или конфиденциальной информации);
  • меры должны соотноситься с промышленной, физической и функциональной безопасностью и не влиять негативно на работу ЗОКИИ.

Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности ЗОКИИ

В ЗОКИИ применяются СЗИ, прошедшие оценку соответствия.

При использовании сертифицированных СЗИ применяются минимальные классы защиты:

  • 1 категория – СЗИ ≥ 4 класса, СВТ ≥ 5 класса.
  • 2 категория – СЗИ ≥ 5 класса, СВТ ≥ 5 класса.
  • 3 категория – СЗИ = 6 класс, СВТ ≥ 5 класса.

Некоторые возможные риски несоблюдения требований Приказа ФСТЭК № 239

1. Административные и финансовые санкции

Статьи:

  • Статья 13.12 КоАП РФ - ответственность за нарушение требований к обеспечению безопасности информации;
  • п. 1 Статьи 13.12.1 КоАП РФ - ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;

Риски: штрафы от 5000 до 100 000 рублей.

2. Уголовная ответственность

Статьи:

  • п. 3 Статьи 274.1 УК РФ – ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.

Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.

Меры защиты информации значимых объектов критической информационной инфраструктуры

Процент закрытия требований решениями «Лаборатории Касперского»

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией