Расширенный поиск

Приказ Федеральной службы безопасности Российской Федерации от 31.08.2010 № 416/489, Федеральной службы по техническому и экспортному контролю Российской Федерации от 31.08.2010 № 416/489

 



                            П Р И К А З

Федеральной службы безопасности Российской Федерации и Федеральной
           службы по техническому и экспортному контролю
                  от 31 августа 2010 г. N 416/489

   Об утверждении Требований о защите информации, содержащейся в
            информационных системах общего пользования

        Зарегистрирован Минюстом России 13 октября 2010 г.
                      Регистрационный N 18704


     В   соответствии   с  пунктом  3  постановления  Правительства
Российской Федерации от 18 мая 2009 г. N 424<1> приказываем:
     1. Утвердить   прилагаемые  Требования  о  защите  информации,
содержащейся в информационных системах общего пользования.
     2. Контроль  за  исполнением  настоящего  приказа возложить на
руководителя    Научно-технической    службы   Федеральной   службы
безопасности  Российской  Федерации и первого заместителя директора
Федеральной службы по техническому и экспортному контролю.


     Директор Федеральной службы
     безопасности Российской Федерации                  А.Бортников

     Директор Федеральной службы
     по техническому и экспортному контролю              С.Григоров
     ____________
     <1> Собрание законодательства  Российской    Федерации,  2009,
N 21, ст. 2573.


                           ____________



     Приложение



                        Т Р Е Б О В А Н И Я
    о защите информации, содержащейся в информационных системах
                        общего пользования

     1. Настоящие  Требования   распространяются   на   федеральные
государственные информационные системы, созданные или  используемые
в целях реализации полномочий  федеральных  органов  исполнительной
власти  и  содержащие   сведения   о   деятельности   Правительства
Российской Федерации и федеральных органов  исполнительной  власти,
обязательные для  размещения  в  информационно-телекоммуникационной
сети Интернет, определяемые Правительством Российской  Федерации<1>
(далее - информационные системы  общего  пользования),  и  являются
обязательными   для   операторов   информационных   систем   общего
пользования при разработке  и  эксплуатации  информационных  систем
общего пользования.
     2. Информационные    системы    общего    пользования   должны
обеспечивать:
     сохранность  и  неизменность  обрабатываемой  информации   при
попытках несанкционированных или случайных  воздействий  на  нее  в
процессе обработки или хранения (далее - целостность информации);
     беспрепятственный   доступ   пользователей  к  содержащейся  в
информационной  системе  общего  пользования  информации  (далее  -
доступность информации);
     защиту от действий пользователей в  отношении  информации,  не
предусмотренных  правилами  пользования   информационной   системой
общего  пользования,  приводящих  в  том   числе   к   уничтожению,
модификации  и  блокированию  информации  (далее  -   неправомерные
действия).
     3. Информационные  системы  общего пользования включают в себя
средства   вычислительной   техники,   информационно-вычислительные
комплексы  и  сети, средства и системы передачи, приема и обработки
информации,   средства  изготовления,  тиражирования  документов  и
другие  технические средства обработки речевой, графической, видео-
и  буквенно-цифровой информации, программные средства (операционные
системы, системы управления базами данных и т. п.), средства защиты
информации, применяемые в информационных системах.
     4. Информация,  содержащаяся  в  информационной системе общего
пользования, является общедоступной.
     5. Информационные  системы общего пользования в зависимости от
значимости  содержащейся  в них информации и требований к ее защите
разделяются на два класса.
     5.1. К  I  классу  относятся  информационные  системы   общего
пользования   Правительства    Российской    Федерации    и    иные
информационные системы общего пользования в случае, если  нарушение
целостности и доступности информации,  содержащейся  в  них,  может
привести к возникновению угроз безопасности  Российской  Федерации.
Отнесение информационных  систем  общего  пользования  к  I  классу
проводится по решению  руководителя  соответствующего  федерального
органа исполнительной власти.
     5.2. Ко  II  классу  относятся  информационные  системы общего
пользования, не указанные в подпункте 5.1 настоящего пункта.
     6. Защита  информации,  содержащейся в информационных системах
общего  пользования,  достигается  путем  исключения  неправомерных
действий в отношении указанной информации.
     7. Методы   и   способы  защиты  информации  в  информационных
системах  общего пользования определяются оператором информационной
системы  общего  пользования  и  должны  соответствовать  настоящим
Требованиям.
     Достаточность    принятых   мер   по   защите   информации   в
информационных   системах   общего   пользования   оценивается  при
проведении  мероприятий  по  созданию данных систем, а также в ходе
мероприятий по контролю за их функционированием.
     8. Работы  по  защите  информации  в  информационных  системах
общего  пользования  являются неотъемлемой частью работ по созданию
данных систем.
     9. Размещение   информационных   систем   общего  пользования,
специальное  оборудование  и  охрана помещений, в которых находятся
технические  средства,  организация режима обеспечения безопасности
в   этих   помещениях  должны  обеспечивать  сохранность  носителей
информации   и   средств   защиты  информации,  а  также  исключать
возможность  неконтролируемого  проникновения или пребывания в этих
помещениях посторонних лиц.
     10. Защиту   информации   в   информационных  системах  общего
пользования  обеспечивает  оператор  информационной  системы общего
пользования.
     11. В  информационных  системах общего пользования должны быть
обеспечены:
     поддержание целостности и доступности информации;
     предупреждение     возможных    неблагоприятных    последствий
нарушения порядка доступа к информации;
     проведение   мероприятий,   направленных   на   предотвращение
неправомерных действий в отношении информации;
     своевременное  обнаружение  фактов  неправомерных  действий  в
отношении информации;
     недопущение     воздействия     на     технические    средства
информационной  системы  общего  пользования, в результате которого
может быть нарушено их функционирование;
     возможность     оперативного     восстановления    информации,
модифицированной    или   уничтоженной   вследствие   неправомерных
действий;
     проведение    мероприятий    по    постоянному   контролю   за
обеспечением их защищенности;
     возможность записи и хранения сетевого трафика.
     12. Мероприятия   по   обеспечению   защиты    информации    в
информационных  системах  общего  пользования  включают   в   себя:
     определение угроз безопасности информации, формирование на  их
основе модели угроз;
     разработку  на  основе модели угроз системы защиты информации,
обеспечивающей  нейтрализацию предполагаемых угроз с использованием
методов   и   способов   защиты   информации,  предусмотренных  для
соответствующего  класса  информационных систем общего пользования;
     проверку  готовности средств защиты информации к использованию
с составлением заключений о возможности их эксплуатации;
     установку  и  ввод  в эксплуатацию средств защиты информации в
соответствии с эксплуатационной и технической документацией;
     обучение   лиц,   использующих   средства  защиты  информации,
применяемые  в  информационной системе общего пользования, правилам
работы с ними;
     учет  применяемых  средств защиты информации, эксплуатационной
и технической документации к ним;
     контроль  за  соблюдением условий использования средств защиты
информации,    предусмотренных   эксплуатационной   и   технической
документацией;
     проведение  разбирательств  и составление заключений по фактам
несоблюдения   условий  использования  средств  защиты  информации,
которые  могут  привести  к  нарушению  безопасности информации или
другим  нарушениям,  снижающим  уровень защищенности информационной
системы   общего   пользования,   разработку   и  принятие  мер  по
предотвращению возможных опасных последствий подобных нарушений;
     описание системы их защиты.
     13. Для  разработки  и  осуществления  мероприятий  по  защите
информации  в информационных системах общего пользования оператором
информационной  системы  общего пользования назначается структурное
подразделение  или  должностное  лицо  (работник), ответственные за
обеспечение защиты информации.
     14. Запросы    пользователей    на    получение    информации,
содержащейся в информационных системах общего пользования, а  также
факты предоставления информации  по  этим  запросам  регистрируются
автоматизированными   средствами   информационных   систем   общего
пользования   в   электронном   журнале    обращений.    Содержание
электронного    журнала    обращений    периодически    проверяется
соответствующими  должностными   лицами   (работниками)   оператора
информационной системы общего пользования.
     15. При  обнаружении  нарушений  порядка  доступа к информации
оператор   информационной  системы  общего  пользования  организует
работы  по  выявлению  причин  нарушений и устранению этих причин в
установленном   порядке.   Подсистема  информационной  безопасности
должна  обеспечивать  восстановление  информации  в  информационной
системе   общего  пользования,  модифицированной  или  уничтоженной
вследствие  неправомерных  действий  в  отношении такой информации.
Время    восстановления    процесса    предоставления    информации
пользователям не должно превышать 8 часов.
     16. Реализация  требований  по обеспечению защиты информации в
средствах защиты информации возлагается на их разработчиков.
     17. При  создании  и эксплуатации информационных систем общего
пользования  должны  выполняться  следующие  требования  по  защите
информации:
     17.1. В  информационных  системах общего пользования I класса:
     использование  средств  защиты  информации  от   неправомерных
действий, в том числе средств криптографической  защиты  информации
(электронной  цифровой  подписи,  при  этом  средства   электронной
цифровой подписи  обязательно  должны  применяться  к  публикуемому
информационному наполнению), сертифицированных ФСБ России;
     использование  средств  обнаружения  вредоносного программного
обеспечения,  в  том  числе антивирусных средств, сертифицированных
ФСБ России;
     использование  средств  контроля  доступа  к информации, в том
числе  средств обнаружения компьютерных атак, сертифицированных ФСБ
России;
     использование   средств  фильтрации  и  блокирования  сетевого
трафика,   в   том   числе   средств   межсетевого   экранирования,
сертифицированных ФСБ России;
     осуществление   локализации   и   ликвидации   неблагоприятных
последствий нарушения порядка доступа к информации;
     осуществление   записи   и   хранения   сетевого  трафика  при
обращении  к  государственным  информационным  ресурсам за десять и
более   последних  дней  и  предоставление  доступа  к  записям  по
запросам  уполномоченных  государственных  органов,  осуществляющих
оперативно-разыскную деятельность;
     обеспечение   защиты   от   воздействий   на   технические   и
программные  средства  информационных  систем общего пользования, в
результате    которых    нарушается    их    функционирование,    и
несанкционированного  доступа  к  помещениям,  в  которых находятся
данные  средства,  с  использованием  технических средств охраны, в
том  числе  систем видеонаблюдения, предотвращающих проникновение в
помещения посторонних лиц;
     осуществление  регистрации действий обслуживающего персонала и
пользователей;
     обеспечение  резервирования технических и программных средств,
дублирования носителей и массивов информации;
     использование   сертифицированных   в   установленном  порядке
систем   обеспечения  гарантированного  электропитания  (источников
бесперебойного питания);
     осуществление   мониторинга   их  защищенности  уполномоченным
подразделением ФСБ России;
     введение  в  эксплуатацию  только после направления оператором
информационной  системы общего пользования в ФСБ России уведомления
о  готовности  ввода  информационной  системы  общего пользования в
эксплуатацию и ее соответствии настоящим Требованиям.
     17.2. В  информационных системах общего пользования II класса:
     использование  средств  защиты  информации  от   неправомерных
действий, сертифицированных ФСБ  России  и  (или)  ФСТЭК  России  с
учетом их компетенции, в том числе средств криптографической защиты
информации  (электронной  цифровой  подписи,  при   этом   средства
электронной цифровой  подписи  должны  применяться  к  публикуемому
информационному наполнению);
     использование  средств  обнаружения  вредоносного программного
обеспечения,  в  том  числе антивирусных средств, сертифицированных
ФСБ России и (или) ФСТЭК России с учетом их компетенции;
     использование  средств  контроля  доступа  к информации, в том
числе  средств обнаружения компьютерных атак, сертифицированных ФСБ
России и (или) ФСТЭК России с учетом их компетенции;
     использование   средств  фильтрации  и  блокирования  сетевого
трафика,   в   том   числе   средств   межсетевого   экранирования,
сертифицированных  ФСБ  России  и  (или)  ФСТЭК  России с учетом их
компетенции;
     осуществление   локализации   и   ликвидации   неблагоприятных
последствий нарушения порядка доступа к информации;
     осуществление   записи   и   хранения   сетевого  трафика  при
обращении  к  государственным  информационным ресурсам за последние
сутки  и  более  и  предоставление  доступа  к  записям по запросам
уполномоченных      государственных     органов,     осуществляющих
оперативно-разыскную деятельность;
     обеспечение   защиты   от   воздействий   на   технические   и
программные  средства  информационных  систем общего пользования, в
результате    которых    нарушается    их    функционирование,    и
несанкционированного  доступа  к  помещениям,  в  которых находятся
данные средства;
     осуществление регистрации действий обслуживающего персонала;
     обеспечение  частичного  резервирования  технических средств и
дублирования массивов информации;
     использование      систем     обеспечения     гарантированного
электропитания (источников бесперебойного питания);
     осуществление   мониторинга   их  защищенности  уполномоченным
подразделением ФСБ России;
     введение  в  эксплуатацию  только после направления оператором
информационной   системы   общего   пользования   в   ФСТЭК  России
уведомления   о  готовности  ввода  информационной  системы  общего
пользования    в   эксплуатацию   и   ее   соответствии   настоящим
Требованиям.
     ____________
     <1> Постановление  Правительства   Российской   Федерации   от
24 ноября 2009  г. N  953  "Об обеспечении  доступа  к информации о
деятельности  Правительства  Российской  Федерации  и   федеральных
органов   исполнительной   власти"    (Собрание    законодательства
Российской Федерации, 2009, N 48, ст. 5832).


                          ______________