| п.9
| Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации
| Выполнение требования в полном объеме
|
| п.11
| Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации
| Выполнение требования в полном объеме
|
| п.14
| Формирование требований к защите информации, содержащейся в информационной системе
| Формирование требований к защите информации, содержащейся в информационной системе включает:
– принятие решения о необходимости защиты информации, содержащейся в информационной системе;
– классификацию информационной системы по требованиям защиты информации (далее – классификация информационной системы);
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
– определение требований к системе защиты информации информационной системы
|
| п.15
| Разработка системы защиты информации информационной системы
| Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы и включает:
– проектирование системы защиты информации информационной системы;
– разработку эксплуатационной документации на систему защиты информации информационной системы;
– макетирование и тестирование системы защиты информации информационной системы (при необходимости)
|
| п.16
| Внедрение системы защиты информации информационной системы
| Осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
– установку и настройку средств защиты информации в информационной системе;
– разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно– распорядительные документы по защите информации);
– внедрение организационных мер защиты информации;
– предварительные испытания системы защиты информации информационной системы;
– опытную эксплуатацию системы защиты информации информационной системы;
– анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
– приемочные испытания системы защиты информации информационной системы.
|
| п.17
| Аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие
| В качестве исходных данных, необходимых для аттестации информационной системы, используются:
– модель угроз безопасности информации;
– акт классификации информационной системы;
– техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы;
– проектная и эксплуатационная документация на систему защиты информации информационной системы;
– организационно– распорядительные документы по защите информации;
– результаты анализа уязвимостей информационной системы;
– материалы предварительных и приемочных испытаний системы защиты информации информационной системы;
– иные документы, разрабатываемые в соответствии с настоящими требованиями. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний. По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
|
| п.18
| Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
| осуществляется оператором и включает:
– управление (администрирование) системой защиты информации информационной системы;
– выявление инцидентов и реагирование на них;
– управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
– контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе
|
| п.19
| Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации
| Осуществляется оператором и включает:
– архивирование информации, содержащейся в информационной системе;
– уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
|
| п. 20.1
| Реализация мер по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности)
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.2
| Реализация мер по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.3
| Реализация мер по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска, запрещенного к использованию в информационной системе программного обеспечения
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.4
| Реализация мер по защите машинных носителей информации (средства обработки (хранения) информации, съемные машинные носители информации) должны исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них информации, а также несанкционированное использование съемных машинных носителей информации
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.5
| Реализация мер по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.6
| Реализация мер по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.7
| Реализация мер по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации, а также реагирование на эти действия
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.8
| Реализация мер по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности информации, содержащейся в информационной системе, путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.9
| Реализация мер по обеспечению целостности информационной системы и информации должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации, а также возможность восстановления информационной системы и содержащейся в ней информации
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.10
| Реализация мер по обеспечению доступности информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу, к информации, содержащейся в информационной системе, в штатном режиме функционирования информационной системы
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.11
| Реализация мер по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.12
| Реализация мер по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование информационной системы (далее – средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 20.13
| Реализация мер по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно– телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 26
| Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности
| Реализация данной меры в соответствии с установленным классом защищенности (приложение) приказа ФСТЭК № 17
|
| п. 27
| В случае обработки в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктами 21 и 22 настоящих Требований меры защиты информации:
– для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных (устанавливается в соответствии с Требованиями к защите ПДн);
– для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных;
– для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных
| Реализация уровней защищенности в соответствии с классами защищенности
|