Проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" (подготовлен Минцифры России 14.09.2023)

Досье на проект

Пояснительная записка

В соответствии с частью 2 статьи 10 2-1 Федерального закона "Об информации, информационных технологиях и о защите информации", пунктом 1 и подпунктом 5.2.55(1) пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, приказываю:

1. Утвердить прилагаемые требования о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".

2. Настоящий приказ вступает в силу с 1 декабря 2023 г.

УТВЕРЖДЕНЫ
приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от ______ N _________

ТРЕБОВАНИЯ
о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"

1. Настоящие требования разработаны в соответствии с частью 2 статьи 10 2-1 Федерального закона "Об информации, информационных технологиях и о защите информации" и являются обязательными для провайдеров хостинга при осуществлении деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".

2. Для обеспечения защиты информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", провайдером хостинга назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

3. В целях автоматизированного обмена информацией об актуальных угрозах безопасности защищаемой информации провайдер хостинга обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА), включая информирование его о компьютерных инцидентах, непосредственно, через отраслевой или корпоративный центр ГосСОПКА.

4. В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак провайдер хостинга обязан:

а) в случае получения информации от ГосСОПКА об информационных ресурсах, функционирующих на вычислительных мощностях хостинг провайдера, участвующих в компьютерных атаках на информационные ресурсы Российской Федерации, принимать меры по их отключению в течение 12 часов с момента поступления соответствующей информации.

б) в случае поступлении от ФСБ России, ГосСОПКА, Минцифры России или Роскомнадзора информации о выявленных уязвимостях принять необходимые меры по информированию и взаимодействию с лицами, которым провайдер хостинга предоставляет вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" (далее - пользователи), в целях оперативного устранения выявленных уязвимостей и минимизации возможных последствий.

в) при поступлении информации от ГосСОПКА об индикаторах компьютерных атак обеспечить поиск индикаторов и предоставление соответствующей информации в ГосСОПКА в течение 4 часов. Поиск индикаторов осуществляется по следующим атрибутам:

исходный и целевой IP-адреса;

исходный и целевой порты;

протокол транспортного уровня (например, TCP, UDP);

количество отправленных и полученных пакетов;

объем отправленных и полученных данных (в байтах);

время начала и окончания каждой сессии;

возможные флаги или метки транспортного уровня (например, TCP-флаги).

запросы на преобразование доменных имен, включая запрашиваемое доменное имя, тип записи, ответное значение, используемый сервер имен и временной штамп запроса и ответа.

5. Для обеспечения выполнения обязанностей, предусмотренных пунктом "в" пункта 4 настоящих требований, провайдер хостинга обязан обеспечивать сбор и хранение данных о взаимодействии лиц, которым провайдер хостинга предоставляет вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", с пользователями сети "Интернет" (сетевом трафике, касающихся взаимодействий, инициированных или нацеленных на информационные ресурсы, расположенные за пределами инфраструктуры провайдера хостинга) (далее - внешние сетевые ресурсы) в течение одного года с момента окончания осуществления действий.

6. С целью обеспечения контроля и фильтрации входящего и исходящего сетевого трафика провайдер хостинга должен принимать меры по обнаружению и предотвращению вторжений, обеспечивающие обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации, а также реагирование на эти действия.

7. Провайдер хостинга при поступлении информации (бюллетеня) от ГосСОПКА обязан в срок, не превышающий двух часов с момента получения указанной информации, внести соответствующие изменения в правила системы обнаружения и предотвращения вторжений.

8. В целях обеспечения устойчивости системы к распределенным атакам, направленным на отказ в обслуживании (DDoS-атакам), провайдер хостинга на узлах сети, обеспечивающих соединение с внешними сетевыми ресурсами, обязан принимать следующие меры:

а) ведение списка контроля доступа, разрешающих передачу только верифицированного трафика с IP-адресов, используемых провайдером хостинга.

б) обеспечение проверки обратного пути для контроля правильности IP-адресов источника на основе маршрутной информации (Reverse Path Forwarding (RPF)).

в) применение фильтрации для предотвращения трансляции пакетов с направленными широковещательными адресами (directed broadcasts).

г) ограничение трансляции ICMP-сообщений, путем внедрения правил, которые регламентируют допустимые типы и частоту их передачи, в том числе для предотвращения атак типа smurf.

д) выявление открытых DDoS-амплификаторов в своем IP-адресном пространстве и последующее взаимодействие с владельцем информационного ресурса для внесения изменения в конфигурацию сервиса.

9. Провайдер хостинга при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", обязан использовать DNS серверы национальной системы доменных имен, а также NTP сервера расположенные на территории Российской Федерации.

10. С целью обеспечения возможности настройки фильтрации сетевого трафика (взаимодействия) с внешними сетевыми ресурсами провайдер хостинга в зависимости от способа идентификации и (или) аутентификации лиц, которым провайдер хостинга предоставляет вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", обеспечивает деление присваиваемых IP-адресов информационным ресурсам пользователей из соответствующей емкости IP-адресов на 2 категории:

I категория IP-адресов предоставляется лицам, прошедшим идентификацию и (или) аутентификацию способами, указанными в подпунктах "а", "б" и "е" пункта 2 Правил идентификации и (или) аутентификации лиц, обратившихся к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", утвержденных постановлением Правительства Российской Федерации в соответствии с частью 5 статьи 10 2-1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

II категория IP-адресов предоставляется лицам, прошедшим идентификацию и (или) аутентификацию иными способами.