Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
В соответствии с абзацем вторым подпункта "в" пункта 2 постановления Правительства Российской Федерации от 10 июля 2024 г. N 929 "Об утверждении Положения о государственной единой облачной платформе" приказываю:
Утвердить прилагаемые Требования к обеспечению информационной безопасности в рамках предоставления облачных услуг посредством государственной единой облачной платформы.
| Министр | М.И. Шадаев |
УТВЕРЖДЕНЫ
приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 2.12.2025 г. № 1106
1. Настоящие Требования разработаны с целью обеспечения устойчивого функционирования государственной единой облачной платформы с надлежащим уровнем информационной безопасности в соответствии с законодательством Российской Федерации, а также предотвращения (минимизации) ущерба и отказа функционирования информационно-телекоммуникационной инфраструктуры, в рамках которой поставщиками предоставляются облачные услуги (далее - информационно-телекоммуникационная инфраструктура).
2. Термины, используемые в настоящих Требованиях, применяются в значениях, указанных в пункте 2 Положения о государственной единой облачной платформе, утвержденного постановлением Правительства Российской Федерации от 10 июля 2024 г. N 929.
3. Информационно-телекоммуникационная инфраструктура не должна быть ниже класса защищенности и уровня защищенности информации информационных систем потребителей, а также должна соответствовать требованиям о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, установленным Федеральной службой по техническому и экспортному контролю в соответствии с частью 5 статьи 16 Федерального закона от 29 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Требования о защите информации), требованиям, установленным Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 3781 (далее - Состав и содержание организационных и технических мер), Требованиям о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств, утвержденным приказом Федеральной службы безопасности Российской Федерации России от 18 марта 2025 г. № 1172 (далее - Требования о защите информации с использованием шифровальных (криптографических) средств).
4. В качестве исходных данных для определения актуальных угроз безопасности информации, обрабатываемой в государственной единой облачной платформе, используется банк данных угроз безопасности информации, ведение которого осуществляется Федеральной службой по техническому и экспортному контролю в соответствии с Требованиями о защите информации.
5. В рамках организации процесса мониторинга инцидентов информационной безопасности должны реализовываться меры, направленные на защиту государственной единой облачной платформы от атак, направленных на отказ в обслуживании, предусмотренные Требованиями о защите информации.
Мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации должны выполняться только аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а в период действия переходного периода, предусмотренного Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" и определенного приказом Федеральной службы безопасности Российской Федерации России от 1 ноября 2022 г. N 543 "Об определении переходного периода, предусмотренного подпунктом "б" пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. N 250"3,- организациями, имеющими действующее соглашение о сотрудничестве (взаимодействии) с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
6. Программные и аппаратные компоненты информационно-телекоммуникационной инфраструктуры должны быть реализованы на решениях, включенных в реестр российского программного обеспечения и баз данных в соответствии с Правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 16 ноября 2015 г. N 1236, и (или) реестр российской промышленной продукции в соответствии с Правилами формирования и ведения реестра российской промышленной продукции, состав сведений, включаемых в реестр, порядок включения таких сведений в реестр и исключения их из реестра, в том числе размещения таких сведений в государственной информационной системе промышленности, и порядок предоставления сведений, включенных в реестр, утвержденными постановлением Правительства Российской Федерации от 17 июля 2015 г. N 719.
Использование программных и аппаратных компонентов информационно-телекоммуникационной структуры субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации должно быть реализовано в соответствии с постановлением Правительства Российской Федерации от 14 ноября 2023 г. N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".
7. Средства защиты информации, используемые в информационно-телекоммуникационной инфраструктуре, должны:
а) иметь действующие сертификаты в соответствии с пунктом 3 Положения о системе сертификации средств защиты информации, утвержденного приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 554, и (или) в соответствии с пунктом 3 Требований о защите информации с использованием шифровальных (криптографических) средств);
б) соответствовать требованиям к защите персональных данных при их обработке в информационных системах персональных данных потребителей в соответствии с пунктом 11 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 215, в том числе в части контроля отсутствия недекларированных возможностей программного обеспечения в соответствии с пунктом 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;
в) соответствовать требованиям к защите персональных данных при их обработке в информационных системах персональных данных потребителей в соответствии с пунктом 9 Состава и содержания организационных и технических мер.
8. Технические средства, которые обрабатывают информацию, средства защиты информации, а также средства, которые обеспечивают функционирование центров обработки данных, должны размещаться на территории Российской Федерации.
9. Для обеспечения защиты информации, содержащейся в информационно-телекоммуникационной инфраструктуре, каждый поставщик назначает структурное подразделение, ответственное за защиту информации, а также за обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
10. В ходе функционирования информационно-телекоммуникационной инфраструктуры структурным подразделением, указанным в пункте 9 настоящих Требований, должны проводиться следующие мероприятия:
а) выявление и оценка угроз безопасности информации;
б) контроль конфигурации информационно-телекоммуникационной инфраструктуры;
в) управление уязвимостями;
г) мониторинг информационной безопасности;
д) контроль уровня защищенности информации, содержащейся в информационно-телекоммуникационной инфраструктуре;
е) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты.
11. Поставщиками в соответствии с настоящими Требованиями должна обеспечиваться и поддерживаться в актуальном состоянии система защиты информации, предназначенная для обеспечения информационной безопасности информационно-телекоммуникационной инфраструктуры и размещаемых на ней информационных систем потребителей от несанкционированного воздействия третьих лиц, за исключением информационной безопасности уровня прикладного программного обеспечения таких информационных систем, которая обеспечивается потребителями.
12. Оценка соответствия мер защиты информации должна подтверждаться соответственно действующими аттестатами информационных систем потребителей и информационно-телекоммуникационной инфраструктуры.
13. Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации до начала предоставления поставщиками облачных услуг посредством государственной единой облачной платформы:
а) проверяет соответствие информационно-телекоммуникационной инфраструктуры поставщиков требованиям безопасности информации, что должно подтверждаться наличием у поставщиков действующего аттестата соответствия требованиям по защите информации по форме согласно приложению N 4 к Порядку организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденному приказом Федеральной службы по техническому и экспортному контролю от 29 апреля 2021 г. N 776;
б) проверяет соответствие информационных систем потребителей требованиям безопасности информации, что должно подтверждаться наличием у потребителей действующих аттестатов, в соответствии с подпунктом 3 пункта 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
в) осуществляет контроль за исполнением требований законодательства Российской Федерации в процессах создания, развития и эксплуатации информационных систем потребителей.
14. Система защиты информации должна функционировать по принципам непрерывности и устойчивости и включать следующие подсистемы:
а) подсистема физической защиты должна обеспечивать контроль и управление доступом, исключающие несанкционированный физический доступ к техническим средствам, средствам обработки информации, средствам защиты информации, машинным носителям информации, средствам обеспечения функционирования информационных систем;
б) подсистема анализа защищенности должна обеспечивать выявление уязвимостей системного, программного обеспечения и средств защиты информации, размещаемых в системе управления информационно-телекоммуникационной инфраструктурой путем инструментального анализа защищенности информационных систем посредством сетевого поиска уязвимостей ("сетевого сканирования");
в) подсистема межсетевого экранирования и предотвращения вторжений должна осуществлять сетевое сегментирование, контроль трафика и защиту от атак уровня сети при информационном обмене различных информационных систем и сервисов информационно-телекоммуникационной инфраструктуры, а также информационных систем потребителей между собой и внешними сетями общего доступа;
г) подсистема криптографической защиты информации должна обеспечивать защиту сетевого информационного обмена между системой управления информационно-телекоммуникационной инфраструктурой и внешними подключениями для уполномоченных лиц службы технической поддержки поставщиков, информационными системами потребителей, размещенными в информационно-телекоммуникационной инфраструктуре, и внешними подключениями для уполномоченных лиц службы технической поддержки потребителей. Средства подсистемы криптографической защиты информации должны обеспечивать криптографическую защиту на основе российских криптографических алгоритмов;
д) подсистема антивирусной защиты должна обеспечивать защиту информационно-телекоммуникационной инфраструктуры от вредоносного программного обеспечения;
е) подсистема управления инцидентами информационной безопасности должна осуществлять сбор и анализ событий безопасности, регистрируемых на компонентах информационно-телекоммуникационной инфраструктуры, oперативное обнаружение инцидентов информационной безопасности и оповещение уполномоченных лиц, ответственных за защиту информации, а также направление информации о компьютерных атаках и компьютерных инцидентах в Национальный координационный центр по компьютерным инцидентам по определенным им каналам и форматам;
ж) подсистема защиты среды виртуализации и контейнеризации должна идентифицировать и аутентифицировать субъекты доступа и объекты доступа, управление доступом субъектов доступа к объектам доступа, регистрацию событий безопасности, доверенную загрузку серверов виртуализации, контроль управления перемещением вычислительных машин, контроль целостности виртуальной инфраструктуры и ее конфигураций;
з) подсистема контроля администраторов потребителей ("привилегированных пользователей") должна обеспечивать контроль, мониторинг и запись сессий доступа "привилегированных пользователей" к целевым информационным системам в режиме реального времени с возможностью принудительного прерывания сессии, контроль буфера обмена при установленных подключениях к целевым информационным системам, возможность автоматического блокирования "привилегированным пользователям" доступа к предоставляемым облачным услугам при выполнении ими запрещенных действий, просмотр сохраненных видеозаписей сессий с возможностью быстрого поиска фрагмента видеозаписи по заданным параметрам, возможность создания функциональных ролей с различным набором прав доступа, возможность сортировки, поиска и фильтрации событий по различным критериям и построения отчетов;
и) подсистема защиты от несанкционированного доступа должна обеспечивать защиту от несанкционированного доступа и управление доступом, в том числе посредством многофакторной аутентификации, уполномоченных лиц службы технической поддержки поставщиков и потребителей.
15. Подсистемы системы защиты информации, указанные в подпунктах "б", "д", "з", "и" пункта 14 настоящих Требований:
а) предназначены для защиты уровня прикладного программного обеспечения информационных систем потребителей от внешних воздействий;
б) не предназначены для защиты уровня прикладного программного обеспечения информационных систем потребителей, отвечающего за взаимодействие между приложениями и сетевыми сервисами информационных систем потребителей.
16. Информационно-телекоммуникационная инфраструктура не предназначена для обработки сведений, составляющих государственную тайну.
------------------------------
1 Зарегистрирован Министерством юстиции Российской Федерации 18 августа 2014 г. N 33620.
2 Зарегистрирован Министерством юстиции Российской Федерации 26 марта 2025 г., регистрационный N 81647.
3 Зарегистрирован Министерством юстиции Российской Федерации 1 декабря 2022 г., регистрационный № 71291, с изменениями, внесенными приказом Федеральной службы безопасности Российской Федерации России от 21 июля 2025 г. N 282 (Зарегистрирован Министерством юстиции Российской Федерации 19 августа 2025 г., регистрационный N 83223).
4 Зарегистрирован Министерством юстиции Российской Федерации 11 мая 2018 г., регистрационный N 51063, с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 5 августа 2021 г. N 121 (Зарегистрирован Министерством юстиции Российской Федерации 27 октября 2021 г., регистрационный № 65594), oт 19 сентября 2022 г. N 172 (Зарегистрирован Министерством юстиции Российской Федерации 19 октября 2022 г., регистрационный N 70614).
5 Зарегистрирован Министерством юстиции Российской Федерации 14 мая 2013 г., регистрационный № 28375, с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю oт 23 марта 2017 г. N 49 (Зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный № 46487), от 14 мая 2020 г. № 68 (Зарегистрирован Министерством юстиции Российской Федерации 8 июля 2020 г., регистрационный N 58877).
6 Зарегистрирован Министерством юстиции Российской Федерации 10 августа 2021 г., регистрационный N 64589.
Установлены требования к обеспечению информационной безопасности в рамках предоставления облачных услуг на единой облачной платформе.
В качестве исходных данных для определения актуальных угроз безопасности информации используется банк данных ФСТЭК.
Программные и аппаратные компоненты должны быть реализованы на решениях, включенных в реестр российского ПО и баз данных или реестр российской промышленной продукции.
Техсредства, которые обрабатывают информацию, средства защиты информации и средства, которые обеспечивают функционирование центров обработки данных, должны находиться в России.
Каждый поставщик назначает структурное подразделение, ответственное за защиту информации, обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Указаны подсистемы защиты информации.
