Приказ 27 срок доставки

Обновлено: 14.05.2024

Федеральной службы по техническому

и экспортному контролю

приказом ФСТЭК России

15 февраля 2017 г. N 27

1) в абзаце втором пункта 3 слова ", Высшего Арбитражного Суда Российской Федерации" исключить;

2) в абзаце первом пункта 12 слова "и в ходе эксплуатации" заменить словами ", в ходе эксплуатации и вывода из эксплуатации";

3) в абзаце втором пункта 14.2 слово "четыре" заменить словом "три", слово "четвертый" заменить словом "третий";

в абзаце первом слова ", оснащенности и мотивации" исключить;

дополнить абзацем вторым следующего содержания:

"В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее – банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.";

после абзаца седьмого дополнить абзацами следующего содержания:

"стадии (этапы работ) создания системы защиты информационной системы;

требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

функции заказчика и оператора по обеспечению защиты информации в информационной системе;

требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);";

слова "в случае их разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" исключить;

6) в абзаце восьмом пункта 15.1 слова "параметры настройки" заменить словами "требования к параметрам настройки";

7) абзац пятый пункта 15.3 исключить;

8) пункт 16.6 дополнить абзацем следующего содержания:

"По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно";

9) пункт 17 дополнить абзацем следующего содержания:

"Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается";

10) пункт 17.2 дополнить абзацами следующего содержания:

"При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):

экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;

анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;

испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.";

11) в пункте 17.4 слова "в случае окончания срока действия аттестата соответствия" заменить словами "по окончании срока действия аттестата соответствия, который не может превышать 5 лет,";

12) дополнить пунктом 17.6 следующего содержания:

"17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.

При аттестации информационной системы должны использоваться результаты аттестации общей инфраструктуры оператора информационной системы.";

13) пункт 25 изложить в следующей редакции:

"25. Организационные меры и средства защиты информации, применяемые в информационной системе, должны обеспечивать:

в информационных системах 1 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с высоким потенциалом;

в информационных системах 2 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже усиленного базового;

в информационных системах 3 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже базового.

Потенциал нарушителей определяется в ходе оценки их возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 настоящих Требований.

Оператором может быть принято решение о применении в информационной системе соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителями с более высоким потенциалом.";

14) пункт 26 изложить в следующей редакции:

"26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:

в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований.";

Читайте также:

  
• Билайн не возвращает деньги после расторжения договора
  
• Если псд мкд просит акты сверки по договорам подряда
  
• Документ подтверждающий статус законного представителя ребенка что это
  
• Является ли доказательством протокол добровольной выдачи
  
• Лунные дни в сентябре 2021 года когда подписать ипотечный договор