Досье на проект

Пояснительная записка

В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) приказываю:

1. Утвердить прилагаемые Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

2. Настоящий приказ вступает в силу с 1 января 2018 г.

ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

В.СЕЛИН

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от "___" декабря 2017 г. N__

Требования
по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее - значимые объекты) при проведении в отношении них компьютерных атак.

2. Настоящие Требования предназначены для субъектов критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты, а также для лиц, устанавливающих требования к обеспечению безопасности значимых объектов (далее - заказчики), лиц, эксплуатирующих значимые объекты, и лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) значимых объектов и (или) обеспечению их безопасности.

3. Действие настоящих Требований распространяется на следующие значимые объекты:

а) информационные системы, представляющие собой совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

б) автоматизированные системы управления, представляющие собой комплексы программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими процессами;

в) информационно-телекоммуникационные сети, представляющие собой технологические системы, предназначенные для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

4. Реализация настоящих Требований является обязательной при обеспечении безопасности значимых объектов на всех стадиях (этапах) их жизненного цикла в ходе создания, эксплуатации и вывода из эксплуатации.

По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.

5. Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

6. Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются наряду с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17" (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

7. Для обеспечения безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются наряду с нормативными правовыми актами федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.

II. Требования к обеспечению безопасности значимых объектов в ходе их создания, эксплуатации и вывода из эксплуатации значимых объектов

8. Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, созданных субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

9. Безопасность значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов и обеспечивается на всех стадиях (этапах) их жизненного цикла.

10. Для обеспечения безопасности значимого объекта на стадиях жизненного цикла проводятся следующие мероприятия:

формирование требований к обеспечению безопасности значимого объекта;

разработка организационных и технических мер по обеспечению безопасности значимого объекта;

внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;

обеспечение безопасности значимого объекта в ходе его эксплуатации;

обеспечение безопасности значимого объекта при выводе его из эксплуатации.

Формирование требований к обеспечению безопасности

значимого объекта

11. Формирование требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры (заказчиком).

Формирование требований к обеспечению безопасности значимого объекта включает:

категорирование объекта;

задание требований к обеспечению безопасности значимого объекта.

11.1. Категорирование объекта проводится субъектом критической информационной инфраструктуры (заказчиком) в соответствии с порядком осуществления категорирования объектов критической информационной инфраструктуры Российской Федерации, установленным в соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

Устанавливаются три категории значимости объектов, определяющие уровни защищенности значимых объектов. Самая высокая категория - первая, самая низкая - третья.

Требование к категории значимости включается в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта (в случае его разработки).

Категория значимости может быть уточнена в ходе проектирования значимого объекта с учетом особенностей его функционирования.

11.2. Требования к обеспечению безопасности значимого объекта задаются субъектом критической информационной инфраструктуры или заказчиком в зависимости от категории значимости значимого объекта.

Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта, которые должны содержать:

цель и задачи обеспечения безопасности значимого объекта;

категория значимости значимого объекта;

перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект;

перечень защищаемых информационных ресурсов (объектов защиты) значимого объекта;

требования к организационным мерам и средствам защиты информации, применяемым для обеспечения безопасности значимого объекта;

стадии (этапы работ) создания подсистемы безопасности значимого объекта;

требования к поставляемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;

требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре);

требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.

При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры (далее - документы по безопасности значимых объектов).

Разработка организационных и технических мер по обеспечению безопасности значимого объекта

12. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и включает:

определение угроз безопасности информации и разработку на их основе модели угроз безопасности информации;

проектирование подсистемы безопасности значимого объекта;

разработку эксплуатационной документации на значимый объект.

Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны препятствовать достижению целей создания значимого объекта и его функционированию.

При разработке организационных и технических меры по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.

12.1. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа потенциальных уязвимостей значимого объекта, возможных способов реализации угроз безопасности информации и последствий от их реализации.

При определении угроз безопасности информации подлежат оценке, в первую очередь, угрозы, связанные с компьютерными атаками на значимый объект.

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211, официальный интернет-портал правовой информации http://www.pravo.gov.ru, 25.11.2017) (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

При определении угроз безопасности информации учитываются архитектура значимого объекта, включая состав значимого объекта, физические и логические взаимосвязи между сегментами значимого объекта и иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами и информационно-телекоммуникационными сетями, режимы обработки информации в значимом объекте и в его отдельных сегментах, а также иные характеристики и особенности функционирования значимого объекта.

По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структуры (архитектуры) значимого объекта, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание архитектуры значимого объекта и описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), потенциальных уязвимостей значимого объекта, способов реализации угроз безопасности информации и последствий от их реализации.

Для нескольких значимых объектов, имеющих одинаковую архитектуру и типовые угрозы безопасности информации, может разрабатываться единая модель угроз безопасности информации.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

12.2. Проектирование подсистемы безопасности значимого объекта должно осуществляться на основе модели угроз безопасности информации и предусматривать обоснование необходимости принятия организационных и технических мер по обеспечению безопасности значимого объекта, направленных на защиту значимого объекта от угроз безопасности информации.

При проектировании подсистемы безопасности значимого объекта:

определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа, к которым относятся информационные ресурсы значимого объекта, подлежащие защите;

определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная) и правила разграничения доступа субъектов доступа к объектам доступа;

обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;

определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;

определяется структура подсистемы безопасности значимого объекта, включая состав, места размещения средств защиты информации и их взаимодействие;

осуществляется выбор средств защиты информации с учетом их стоимости, совместимости с применяемыми программными и программно-аппаратными средствами, функций безопасности этих средств и особенностей их реализации, а также категории значимого объекта;

определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, а также устранение возможных уязвимостей, приводящих к возникновению угроз безопасности информации;

определяются меры при информационном взаимодействии с иными объектами критической информационной инфраструктуры, информационными (автоматизированными) системами или информационно-телекоммуникационными сетями.

Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации (эскизном (техническом) проекте и в рабочей документации) на значимый объект (подсистему безопасности значимого объекта).

В целях тестирования функционирования подсистемы безопасности значимых объектов в ходе проектирования осуществляется ее макетирование (создание тестовой среды). Тестирование должно быть направлено:

на обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта;

на практическую отработку выполнения выбранными средствами защиты информации требований к ним и подсистеме безопасности значимого объекта;

на исключение влияния подсистемы безопасности на штатный режим функционирования значимого объекта.

Макетирование подсистемы безопасности значимого объекта и ее тестирование может проводиться в том числе с использованием средств и методов моделирования, а также с использованием технологий виртуализации.

При проектировании подсистем безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования подлежат применению наряду с Требованиями к проектированию сетей электросвязи, утвержденными приказом Минкомсвязи России от 9 марта 2017 г. N 101 (зарегистрирован Минюстом России 31 мая 2017 г., регистрационный N 46915), а также иными нормативными правовыми актами федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политике и нормативно-правовому регулированию в области связи, изданными в соответствии с Федеральным законом "О связи".

12.3. Разработка эксплуатационной документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.

Эксплуатационная документация на значимый объект должна содержать:

структуру подсистемы безопасности значимого объекта;

состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и аппаратных средств;

правила эксплуатации средств защиты информации значимого объекта.

Состав и формы эксплуатационной документации определяются субъектом критической информационной инфраструктуры в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.

Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие

13. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры.

Внедрение организационных и технических мер по обеспечению безопасности значимого объекта осуществляется в соответствии с проектной и эксплуатационной документацией на значимый объект и включает:

установку и настройку средств защиты информации;

разработку документов по безопасности значимого объекта;

внедрение организационных мер по обеспечению безопасности значимого объекта;

предварительные испытания значимого объекта и его подсистемы безопасности;

опытную эксплуатацию значимого объекта и его подсистемы безопасности;

выявление уязвимостей значимого объекта и принятие мер по их устранению;

приемочные испытания значимого объекта и его подсистемы безопасности.

По решению субъекта критической информационной инфраструктуры к внедрению организационных и технических мер по обеспечению безопасности значимого объекта привлекается лицо, эксплуатирующее значимый объект, в случае, если оно определено таковым в соответствии с законодательством Российской Федерации к моменту внедрения организационных мер и не является субъектом критической информационной инфраструктуры.

13.1. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и эксплуатационной документацией на значимый объект, а также в соответствии с документацией на средства защиты информации.

При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию средств защиты информации, в случае наличия таковых в эксплуатационной документации.

13.2. Разрабатываемые документы по безопасности значимого объекта должны определять правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы безопасности значимого объекта в соответствии с разделом III настоящих Требований.

Документы по безопасности значимого объекта должны в том числе устанавливать правила безопасной работы работников субъекта критической информационной инфраструктуры (пользователей) на значимом объекте критической информационной инфраструктуры, а также действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций (инструкции, руководства).

Состав и формы документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.

13.3. При внедрении организационных мер защиты информации осуществляются:

организация контроля доступа к программно-аппаратным средствам значимого объекта и его линиям связи;

реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств;

проверка полноты и детальности описания в документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер;

отработка действий пользователей и администраторов значимого объекта по реализации организационных мер.

13.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и ее отдельных средств зашиты информации, оценку влияния подсистемы безопасности на штатный режим функционирования значимого объекта, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.

13.5. Опытная эксплуатация значимого объекта и его подсистемы безопасности должна проводиться в соответствии программой и методиками опытной эксплуатации и включать проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер, а также готовность пользователей и администраторов к эксплуатации значимого объекта и его подсистемы безопасности.

13.6. Выявление уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования нарушителями для реализации угроз безопасности информации. При этом выявлению подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

Выявление уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.

Выявление уязвимостей осуществляется следующими способами:

анализ проектной, эксплуатационной документации и документов по безопасности значимого объекта;

анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;

выявление известных уязвимостей программных и программно-аппаратных средств посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;

выявление известных уязвимостей программных и программно-аппаратных средств, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;

тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации

Выбор способов выявления уязвимостей и применяемых средств осуществляется субъектом критической информационной с учетом особенностей функционирования значимого объекта.

Допускается выявление уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта. При этом макет (тестовая зона) должны полностью соответствовать значимому объекту или отдельным сегментам значимого объекта.

В случае выявления уязвимостей значимого объекта, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры по обеспечению безопасности значимого объекта, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Выявление уязвимостей значимого объекта проводится до ввода его в промышленную эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.

По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанным в пункте 12.1 настоящих Требований, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

13.7. Приемочные испытания значимого объекта и его подсистемы безопасности должны предусматривать проведение комплекса организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности настоящим Требованиям.

В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт категорирования, эксплуатационная документация на значимый объект, документы по безопасности значимого объекта, результаты выявления уязвимостей значимого объекта, материалы предварительных испытаний, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.

Приемочные испытания значимого объекта и его подсистемы безопасности проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний значимого объекта и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки значимого объекта в эксплуатацию.

В случае, если значимый объект является государственной информационной системой, а также в иных случаях установленных законодательством Российской Федерации и (или) в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки о соответствии значимого объекта установленным требованиям по обеспечению безопасности (или в аттестате соответствия).

Обеспечение безопасности значимого объекта в ходе его эксплуатации

14. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и документами по безопасности значимого объекта и включает следующие процедуры:

планирование мероприятий по обеспечению безопасности значимого объекта;

периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;

управление (администрирование) подсистемой безопасности значимого объекта;

управление конфигурацией значимого объекта и его подсистемой безопасности;

реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;

обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;

информирование и обучение персонала значимого объекта;

контроль за обеспечением уровня безопасности значимого объекта.

14.1. В ходе планирования мероприятий по обеспечению безопасности значимого объекта осуществляются:

определение лиц, ответственных за планирование и контроль мероприятий по обеспечению безопасности значимого объекта;

разработка, утверждение и актуализация плана мероприятий по обеспечению безопасности значимого объекта;

контроль выполнения мероприятий по обеспечению безопасности значимого объекта, предусмотренных утвержденным планом.

14.2. В ходе анализа угроз безопасности информации в значимом объекте и возможных рисков от их реализации осуществляются:

периодическое выявление уязвимостей значимого объекта, возникающих в ходе его эксплуатации;

периодический анализ изменения угроз безопасности информации в значимом объекте, возникающих в ходе его эксплуатации;

периодическая оценка последствий от реализации угроз безопасности информации в значимом объекте.

14.3. В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:

определение лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта;

управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в значимом объекте;

управление средствами защиты информации в значимом объекте, в том числе параметрами настройки программного обеспечения;

управление обновлениями программного обеспечения, включая программное обеспечение средств защиты информации, с учетом особенностей функционирования значимого объекта;

централизованное управление подсистемой безопасности значимого объекта;

анализ зарегистрированных событий в значимом объекте, связанных с его безопасностью (далее - события безопасности);

сопровождение функционирования подсистемы безопасности значимого объекта в ходе ее эксплуатации, включая ведение эксплуатационной документации и документов по безопасности значимого объекта.

14.4. В ходе управления конфигурацией значимого объекта и его подсистемы безопасности осуществляются:

поддержание конфигурации значимого объекта и его подсистемы безопасности в соответствии с эксплуатационной документацией (поддержание базовой конфигурации значимого объекта и его подсистемы безопасности);

определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;

регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств значимого объекта;

управление изменениями базовой конфигурации значимого объекта и его подсистемы безопасности, в том числе определение типов возможных изменений базовой конфигурации, санкционирование внесения изменений в базовую конфигурацию, документирование действий по внесению изменений в базовую конфигурацию, сохранение данных об изменениях базовой конфигурации, контроль действий по внесению изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;

анализ потенциального воздействия планируемых изменений в базовой конфигурации значимого объекта и его подсистемы безопасности на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность значимого объекта и его подсистемы безопасности;

определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации программных и программно-аппаратных средств до внесения изменений в базовую конфигурацию значимого объекта и его подсистемы безопасности;

внесение информации (данных) об изменениях в базовой конфигурации значимого объекта и его подсистемы безопасности в эксплуатационную документацию.

14.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

Для реагирования на компьютерные инциденты определяются лица, ответственные за выявление компьютерных инцидентов и реагирование на них.

14.6. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации значимого объекта осуществляются:

планирование мероприятий по обеспечению безопасности значимого объекта на случай возникновения нештатных (непредвиденных) ситуаций;

обучение и отработка действий персонала по обеспечению безопасности значимого объекта в случае возникновения нештатных (непредвиденных) ситуаций;

создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;

резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных (непредвиденных) ситуаций;

обеспечение возможности восстановления значимого объекта и (или) его компонентов в случае возникновения нештатных (непредвиденных) ситуаций.

14.7. В ходе информирования и обучения персонала значимого объекта осуществляются:

периодическое информирование персонала об угрозах безопасности информации, о правилах безопасной эксплуатации значимого объекта;

периодическое обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.

14.8. В ходе контроля (мониторинга) за обеспечением уровня безопасности значимого объекта и его подсистемы безопасности осуществляются:

мониторинг событий безопасности и контроль за действиями персонала в значимом объекте;

контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;

анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая выявление, анализ и устранение недостатков в функционировании подсистемы безопасности значимого объекта;

документирование процедур и результатов контроля за обеспечением уровня безопасности значимого объекта;

принятие решения по результатам контроля за обеспечением уровня безопасности значимого объекта о необходимости доработки (модернизации) его подсистемы безопасности.

Обеспечение безопасности значимого объекта при выводе его из эксплуатации

15. Обеспечение безопасности значимого объекта при выводе его из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом критической информационной инфраструктуры в случае обработки значимым объектом информации, отнесенной к информации ограниченного доступа, или в случае принятия такого решения субъектом критической информационной инфраструктуры.

В ином случае обеспечение безопасности значимого объекта при выводе из эксплуатации осуществляется в соответствии с эксплуатационной документацией на значимый объект и документами по безопасности значимого объекта и в том числе включает:

архивирование информации, содержащейся в значимом объекте;

уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

15.1. Архивирование информации, содержащейся в значимом объекте, должно осуществляться при необходимости дальнейшего использования информации в деятельности субъекта критической информационной инфраструктуры.

15.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю значимого объекта или в иные организации для ремонта, технического обслуживания или дальнейшего уничтожения.

При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.

III. Требования к организационным и техническим мерам,

принимаемым для обеспечения безопасности значимых объектов

16. Безопасность значимых объектов обеспечивается принятием организационных мер и применением средств защиты информации, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования значимого объекта.

Принимаемые меры по обеспечению безопасности значимых объектов (далее - меры по обеспечению безопасности) должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности значимого объекта и не должны оказывать отрицательного влияния на штатный режим функционирования значимого объекта.

17. На значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы организационные и технические меры, обеспечивающие:

идентификацию и аутентификацию (ИАФ);

управление доступом (УПД);

ограничение программной среды (ОПС);

защиту машинных носителей информации (ЗНИ);

аудит безопасности (АУД);

антивирусную защиту (АВЗ);

предотвращение вторжений (компьютерных атак) (СОВ);

обеспечение целостности (ОЦЛ);

обеспечение доступности (ОДТ);

защиту технических средств и систем (ЗТС);

защиту информационной (автоматизированной) системы (сети) и ее компонентов (ЗИС);

реагирование на инциденты информационной безопасности (ИНЦ);

управление конфигурацией (УКФ);

управление обновлениями программного обеспечения (ОПО);

планирование мероприятий по обеспечению безопасности (ПЛН);

обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС);

информирование и обучение персонала (ИПО).

Состав мер и их базовые наборы для соответствующих категорий значимости значимых объектов приведены в приложении к настоящим Требованиям.

Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

18. Выбор мер для их реализации на значимом объекте включает:

определение базового набора мер по обеспечению безопасности для установленной категории значимости значимого объекта в соответствии с базовыми наборами мер, приведенными в приложении к настоящим Требованиям;

адаптацию базового набора мер по обеспечению безопасности применительно к угрозам безопасности информации, архитектуре и условиям эксплуатации значимого объекта;

дополнение адаптированного набора мер по обеспечению безопасности мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.

19. В значимом объекте соответствующей категории значимости должны быть реализованы меры, выбранные в соответствии с пунктами 17 и 18 настоящих Требований и обеспечивающие блокирование (нейтрализацию) угроз безопасности информации, актуальных для каждого уровня значимого объекта (аппаратного, общесистемного, прикладного, сетевого).

При этом в значимом объекте должен быть, как минимум, реализован адаптированный базовый набор мер по обеспечению безопасности, соответствующий установленной категории значимости значимого объекта.

20. В целях исключения избыточности в реализации мер по обеспечению безопасности и в случае, если принятые в значимом объекте меры по обеспечению промышленной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры защиты информации, выбранные в соответствии с пунктами 17 и 18 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть проведено обоснование достаточности применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.

21. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на штатный режим функционирования значимого объекта, на этапах адаптации базового набора мер по обеспечению безопасности разрабатываются компенсирующие меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности значимого объекта.

В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению промышленной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.

В этом случае в ходе разработки организационных и технических мер должно быть проведено обоснование применения компенсирующих мер, а при приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

22. Выбранные и реализованные в значимом объекте меры по обеспечению безопасности, как минимум, должны обеспечивать:

в значимых объектах 1 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;

в значимых объектах 2 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже базового повышенного уровня;

в значимых объектах 3 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с базовым потенциалом.

Потенциал нарушителя определяется в ходе оценки его возможностей (потенциала), проводимой при анализе угроз безопасности информации в соответствии с пунктом 12.1 настоящих Требований.

Субъектом критической информационной инфраструктуры может быть принято решение о применении в значимом объекте соответствующей категории мер, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.

23. Технические меры в значимом объекте реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения значимых объектов при их наличии. При этом:

в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;

в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;

в значимых объектах 3 категории применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.

В значимых объектах 1 и 2 категорий применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

Субъектом критической информационной инфраструктуры в зависимости от потенциала нарушителя может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.

24. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства зашиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.

Для гарантийной и технической поддержки средств защиты информации, в рамках которой предусматриваются услуги по их установке, монтажу, наладке, испытаниям, ремонту, привлекаются организации, имеющие лицензии на деятельность в области защиты информации.

При выборе программных и программно-аппаратных средств, в том числе средств зашиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.

В значимом объекте не допускается:

наличие прямого удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не имеющих отношения к субъекту критической информационной инфраструктуры, без ведома субъекта критической информационной инфраструктуры;

передача информации, в том числе технологической информации, разработчику (производителю) или иным лицам без ведома субъекта критической информационной инфраструктуры.

___________________

Приложение
к Требованиям по обеспечению безопасности
значимых объектов критической информационной
инфраструктуры Российской Федерации

Состав
мер по обеспечению безопасности и их базовые наборы для соответствующей категории значимого объекта критической информационной инфраструктуры

Условное обозначение и номер меры	Меры обеспечения безопасности	Категория значимости
		3	2	1
I. Идентификация и аутентификация (ИАФ)
ИАФ.0	Разработка политики идентификации и аутентификации	+	+	+
ИАФ.1	Идентификация и аутентификация пользователей и инициируемых ими процессов	+	+	+
ИАФ.2	Идентификация и аутентификация устройств	+	+	+
ИАФ.3	Управление идентификаторами	+	+	+
ИАФ.4	Управление аутентификаторами	+	+	+
ИАФ.5	Идентификация и аутентификация внешних пользователей	+	+	+
ИАФ.6	Двусторонняя аутентификация
ИАФ.7	Защита аутентификационной информации при передаче	+	+	+
II. Управление доступом (УПД)
УПД.0	Разработка политики управления доступом	+	+	+
УПД.1	Управление учетными записями пользователей	+	+	+
УПД.2	Реализация политик управления доступа	+	+	+
УПД.3	Доверенная загрузка		+	+
УПД.4	Разделение полномочий (ролей) пользователей	+	+	+
УПД.5	Назначение минимально необходимых прав и привилегий	+	+	+
УПД.6	Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему	+	+	+
УПД.7	Предупреждение пользователя при его доступе к информационным ресурсам			+
УПД.8	Оповещение пользователя при успешном входе в информационную (автоматизированную) систему			+
УПД.9	Ограничение числа параллельных сеансов доступа			+
УПД.10	Блокирование сеанса доступа пользователя при неактивности	+	+	+
УПД.11	Управление действиями пользователей до идентификации и аутентификации	+	+	+
УПД.12	Управление атрибутами безопасности
УПД.13	Реализация защищенного удаленного доступа	+	+	+
УПД.14	Контроль доступа из внешних информационных (автоматизированных) систем	+	+	+
III. Ограничение программной среды (ОПС)
ОПС.0	Разработка политики ограничения программной среды		+	+
ОПС.1	Управление запуском (обращениями) компонентов программного обеспечения			+
ОПС.2	Управление установкой (инсталляцией) компонентов программного обеспечения		+	+
ОПС.3	Управление временными файлами
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.0	Разработка политики защиты машинных носителей	+	+	+
ЗНИ.1	Учет машинных носителей информации	+	+	+
ЗНИ.2	Управление физическим доступом к машинным носителям информации	+	+	+
ЗНИ.3	Контроль перемещения машинных носителей информации за пределы контролируемой зоны
ЗНИ.4	Исключение несанкционированного чтения информации на машинных носителях
ЗНИ.5	Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации		+	+
ЗНИ.6	Контроль ввода (вывода) информации на машинные носители информации			+
ЗНИ.7	Контроль подключения машинных носителей информации	+	+	+
ЗНИ.8	Уничтожение (стирание) информации на машинных носителях	+	+	+
V. Аудит безопасности (АУД)
АУД.0	Разработка политики аудита безопасности	+	+	+
АУД.1	Инвентаризация информационных ресурсов	+	+	+
АУД.2	Выявление уязвимостей и их устранение	+	+	+
АУД.3	Генерирование временных меток и (или) синхронизация системного времени	+	+	+
АУД.4	Регистрация событий безопасности	+	+	+
АУД.5	Контроль и анализ сетевого трафика			+
АУД.6	Защита информации о событиях безопасности	+	+	+
АУД.7	Мониторинг безопасности	+	+	+
АУД.8	Реагирование на сбои при регистрации событий безопасности	+	+	+
АУД.9	Анализ действий пользователей			+
АУД.10	Проведение внутренних аудитов		+	+
АУД.11	Проведение внешних аудитов			+
VI. Антивирусная защита (АВЗ)
АВЗ.0	Разработка политики антивирусной защиты	+	+	+
АВЗ.1	Реализация антивирусной защиты	+	+	+
АВЗ.2	Адаптированная архитектура антивирусной защиты	+	+	+
АВЗ.3	Антивирусная защита электронной почты и иных сервисов	+	+	+
АВЗ.4	Контроль использования архивных, исполняемых и зашифрованных файлов
АВЗ.5	Обновление базы данных признаков вредоносных компьютерных программ (вирусов)	+	+	+
АВЗ.6	Использование средств антивирусной защиты различных производителей
VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0	Разработка политики предотвращения вторжений (компьютерных атак)		+	+
СОВ.1	Обнаружение и предотвращение компьютерных атак		+	+
СОВ.2	Адаптированная архитектура защиты от компьютерных атак		+	+
СОВ.3	Обновление базы решающих правил		+	+
VIII. Обеспечение целостности (ОЦЛ)
ОЦЛ.0	Разработка политики обеспечения целостности	+	+	+
ОЦЛ.1	Контроль целостности программного обеспечения		+	+
ОЦЛ.2	Контроль целостности информации
ОЦЛ.3	Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях	+	+	+
ОЦЛ.4	Ограничения по вводу информации в информационную (автоматизированную) систему			+
ОЦЛ.5	Контроль данных, вводимых в информационную (автоматизированную) систему		+	+
ОЦЛ.6	Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях		+	+
ОЦЛ.7	Обезличивание и (или) деидентификация информации
IX. Обеспечение доступности информации (ОДТ)
ОДТ.0	Разработка политики обеспечения доступности	+	+	+
ОДТ.1	Использование отказоустойчивых технических средств		+	+
ОДТ.2	Резервирование средств и систем		+	+
ОДТ.3	Контроль безотказного функционирования средств и систем		+	+
ОДТ.4	Резервное копирование информации	+	+	+
ОДТ.5	Обеспечение возможности восстановления информации	+	+	+
ОДТ.6	Кластеризация информационной (автоматизированной) системы
ОДТ.7	Контроль предоставляемых вычислительных ресурсов и каналов связи	+	+	+
X. Защита технических средств и систем (ЗТС)
ЗТС.0	Разработка политики защиты технических средств и систем	+	+	+
ЗТС.1	Защита информации от утечки по техническим каналам
ЗТС.2	Организация контролируемой зоны	+	+	+
ЗТС.3	Управление физическим доступом	+	+	+
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр	+	+	+
ЗТС.5	Защита от внешних воздействий	+	+	+
ЗТС.6	Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации			+
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.0	Разработка политики защиты информационной (автоматизированной) системы и ее компонентов	+	+	+
ЗИС.1	Разделение функций по управлению (администрированию) информационной (автоматизированной) системой	+	+	+
ЗИС.2	Защита периметра информационной (автоматизированной) системы	+	+	+
ЗИС.3	Эшелонированная защита	+	+	+
ЗИС.4	Сегментирование информационной (автоматизированной) системы		+	+
ЗИС.5	Организация демилитаризованной зоны	+	+	+
ЗИС.6	Управление сетевыми потоками
ЗИС.7	Использование эмулятора среды функционирования программного обеспечения ("песочница")		+	+
ЗИС.8	Сокрытие топологии информационной (автоматизированной) системы	+	+	+
ЗИС.9	Создание гетерогенной среды
ЗИС.10	Использование программного обеспечения, функционирующего в средах различных операционных систем
ЗИС.11	Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом
ЗИС.12	Изоляция процессов (выполнение программ) в выделенной области памяти
ЗИС.13	Защита неизменяемых данных		+	+
ЗИС.14	Использование неперезаписываемых машинных носителей информации
ЗИС.15	Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек
ЗИС.16	Защита от спама		+	+
ЗИС.17	Защита информации от утечек
ЗИС.18	Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию
ЗИС.19	Защита информации при ее передаче по каналам связи	+	+	+
ЗИС.20	Обеспечение доверенных канала, маршрута	+	+	+
ЗИС.21	Запрет несанкционированной удаленной активации периферийных устройств	+	+	+
ЗИС.22	Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами
ЗИС.23	Контроль использования мобильного кода		+	+
ЗИС.24	Контроль передачи речевой информации		+	+
ЗИС.25	Контроль передачи видеоинформации		+	+
ЗИС.26	Подтверждение происхождения источника информации
ЗИС.27	Обеспечение подлинности сетевых соединений		+	+
ЗИС.28	Исключение возможности отрицания отправки информации		+	+
ЗИС.29	Исключение возможности отрицания получения информации		+	+
ЗИС.30	Использование устройств терминального доступа
ЗИС.31	Защита от скрытых каналов передачи информации			+
ЗИС.32	Защита беспроводных соединений	+	+	+
ЗИС.33	Исключение доступа через общие ресурсы			+
ЗИС.34	Защита от угроз отказа в обслуживании	+	+	+
ЗИС.35	Управление сетевыми соединениями		+	+
ЗИС.36	Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем
ЗИС.37	Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)
ЗИС.38	Защита информации при использовании мобильных устройств	+	+	+
ЗИС.39	Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных		+	+
XII. Реагирование на инциденты информационной безопасности (ИНЦ)
ИНЦ.0	Разработка политики реагирования на инциденты информационной безопасности	+	+	+
ИНЦ.1	Выявление инцидентов информационной безопасности	+	+	+
ИНЦ.2	Информирование об инцидентах информационной безопасности	+	+	+
ИНЦ.3	Анализ инцидентов информационной безопасности	+	+	+
ИНЦ.4	Устранение последствий инцидентов информационной безопасности	+	+	+
ИНЦ.5	Предотвращение повторного возникновения инцидентов информационной безопасности	+	+	+
ИНЦ.6	Хранение и защита информации об инцидентах информационной безопасности			+
XIII. Управление конфигурацией (УКФ)
УКФ.0	Разработка политики управления конфигурацией информационной (автоматизированной) системы	+	+	+
УКФ.1	Управление изменениями конфигурации	+	+	+
УКФ.2	Анализ потенциального воздействия планируемых изменений в конфигурации на обеспечение защиты информации	+	+	+
УКФ.3	Установка (инсталляция) только разрешенного к использованию программного обеспечения	+	+	+
УКФ.4	Документирование информации (данных) об изменениях в конфигурации	+	+	+
УКФ.5	Регламентация и контроль технического обслуживания	+	+	+
XIV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0	Разработка политики управления обновлениями программного обеспечения	+	+	+
ОПО.1	Поиск, получение обновлений программного обеспечения от доверенного источника	+	+	+
ОПО.2	Контроль целостности обновлений программного обеспечения	+	+	+
ОПО.3	Тестирование обновлений программного обеспечения	+	+	+
ОПО.4	Установка обновлений программного обеспечения	+	+	+
XV. Планирование мероприятий по обеспечению безопасности (ПЛН)
ПЛН.0	Разработка политики планирования мероприятий по обеспечению защиты информации	+	+	+
ПЛН.1	Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации	+	+	+
ПЛН.2	Контроль выполнения мероприятий по обеспечению защиты информации	+	+	+
XVI. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)
ДНС.0	Разработка политики обеспечения действий в нештатных (непредвиденных) ситуациях	+	+	+
ДНС.1	Разработка плана действий в нештатных ситуациях	+	+	+
ДНС.2	Обучение и отработка действий персонала в нештатных ситуациях	+	+	+
ДНС.3	Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций		+	+
ДНС.4	Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных (непредвиденных) ситуаций		+	+
ДНС.5	Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных (непредвиденных) ситуаций	+	+	+
XVII. Информирование и обучение персонала (ИПО)
ИПО.0	Разработка политики информирования и обучения персонала	+	+	+
ИПО.1	Информирование персонала об угрозах безопасности информации и о правилах безопасной работы	+	+	+
ИПО.2	Обучение персонала правилам безопасной работы	+	+	+
ИПО.3	Проведение практических занятий с персоналом по правилам безопасной работы		+	+

"+" - мера обеспечения безопасности включена в базовый набор мер для соответствующей категории значимого объекта.

Меры обеспечения безопасности, не обозначенные знаком "+", применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер в значимом объекте критической информационной инфраструктуры соответствующей категории значимости.