Приказ Федеральной службы по техническому и экспортному контролю от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239»
Суть
Скорректированы требования в области защиты значимых объектов КИИ. Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям по безопасной разработке ПО, к испытаниям по выявлению уязвимостей в ПО, к поддержке безопасности ПО.
Ссылки
- Официальный интернет-портал правовой информации [PDF]
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Изменяемые документы
- Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности ЗО критической информационной инфраструктуры РФ»
- Установлены требования по обеспечению безопасности ЗО КИИ, направленные на обеспечение их устойчивой работы при компьютерных атаках.
Обзоры документа
Аналитический центр УЦСБ
Приказ № 35 был подписан ФСТЭК России ещё 20 февраля 2020 г., но регистрацию в Минюст России прошел только в сентябре.
Из новых положений в области защиты значимых объектов критической информационной инфраструктуры (далее – КИИ), вводимых Приказом № 35 и вступивших в силу с 25 сентября 2020 г., можно выделить следующие:
- Модернизацией теперь официально считается изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием (далее – ТЗ) на модернизацию значимого объекта КИИ и (или) ТЗ (частным ТЗ) на модернизацию подсистемы безопасности значимого объекта.
- Оценка выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации (далее – СрЗИ) должна включаться в программы и методики предварительных испытаний.
- Удаленный доступ к программным и программно-аппаратным средствам, в т.ч. СрЗИ, для обновления или управления можно предоставлять не только работникам субъекта КИИ, как это было раньше, но также работниками его дочерних и зависимых обществ. При этом сделано послабление и для предоставления удаленного доступа другим лицам, кроме вышеупомянутых, однако только при условии наличия компенсирующих мер по защите, установленных Приказом № 35.
- Теперь на территории РФ должны размещаться не только технические средства, осуществляющие хранение и обработку информации, значимых объектов КИИ 1 категории, но и технические средства объектов КИИ 2 категории значимости.
С 1 января 2023 года вступят в силу требования Приказа № 35 к оценке соответствия СрЗИ в форме приемки или испытаний, а также к прикладному программному обеспечению (далее – ПО) значимых объектов КИИ. Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно должны будут соответствовать 6 или более высокому уровню доверия.
Таким образом, в действующей редакции Приказа ФСТЭК России № 239, оценку соответствия СрЗИ необходимо проводить только по тем требованиям к функциям безопасности, которые были установлены в ТЗ на создание значимого объекта КИИ и (или) ТЗ (частное ТЗ) на создание подсистемы безопасности значимого объекта КИИ. Для СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов КИИ, после 1 января 2023 г. кроме описанной выше оценки соответствия необходимо будет проводить оценку соответствия по 6 (шестому) или более высокому уровню доверия.
Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям:
- по безопасной разработке ПО;
- к испытаниям по выявлению уязвимостей в ПО;
- к поддержке безопасности ПО.
Текст документа
Быстрый просмотр сохранённой копии