Зарегистрировано в Минюсте России 5 сентября 2018 г. N 52071
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 9 августа 2018 г. N 138
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 14 МАРТА 2014 Г. N 31, И В ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 25 ДЕКАБРЯ 2017 Г. N 239
Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31 (зарегистрирован Министерством юстиции Российской Федерации 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487), и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) изменения согласно приложению к настоящему приказу.
Директор Федеральной службы
по техническому и экспортному контролю
В. СЕЛИН
Приложение
к приказу ФСТЭК России
от 9 августа 2018 г. N 138
ИЗМЕНЕНИЯ, КОТОРЫЕ ВНОСЯТСЯ В ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 14 МАРТА 2014 Г. N 31, И В ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 25 ДЕКАБРЯ 2017 Г. N 239
1. В Требованиях к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31:
1) пункт 1 после абзаца первого дополнить абзацем следующего содержания:
"Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).";
2) абзацы первый - четвертый подпункта 13.3 пункта 13 изложить в следующей редакции:
"13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198; 2018, N 20, ст. 2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.";
3) в подпункте 15.3 пункта 15:
после абзаца второго дополнить абзацем следующего содержания:
"определение администратора безопасности информации;";
в абзаце четвертом после слов "персонала автоматизированной системы управления" дополнить словами "и администратора безопасности информации";
4) пункт 18 изложить в следующей редакции:
"18. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать:
идентификацию и аутентификацию (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защиту машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусную защиту (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защиту технических средств и систем (ЗТС);
защиту информационной (автоматизированной) системы и ее компонентов (ЗИС);
реагирование на компьютерные инциденты (ИНЦ);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
планирование мероприятий по обеспечению безопасности (ПЛН);
обеспечение действий в нештатных ситуациях (ДНС);
информирование и обучение персонала (ИПО).
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления приведены в приложении N 2 к настоящим Требованиям.
Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.";
5) подпункты 18.1 - 18.21 пункта 18 признать утратившими силу.
6) приложение N 2 к указанным Требованиям изложить в следующей редакции:
"Приложение N 2
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ
| Условное обозначение и номер меры | Меры защиты информации в автоматизированных системах управления | Классы защищенности автоматизированной системы управления |
| 3 | 2 | 1 |
| I. Идентификация и аутентификация (ИАФ) |
| ИАФ.0 | Разработка политики идентификации и аутентификации | + | + | + |
| ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + |
| ИАФ.2 | Идентификация и аутентификация устройств | + | + | + |
| ИАФ.3 | Управление идентификаторами | + | + | + |
| ИАФ.4 | Управление средствами аутентификации | + | + | + |
| ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + |
| ИАФ.6 | Двусторонняя аутентификация | | | |
| ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + |
| II. Управление доступом (УПД) |
| УПД.0 | Разработка политики управления доступом | + | + | + |
| УПД.1 | Управление учетными записями пользователей | + | + | + |
| УПД.2 | Реализация политик управления доступа | + | + | + |
| УПД.3 | Доверенная загрузка | | + | + |
| УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + |
| УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + |
| УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | | | |
| УПД.8 | Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе | | | + |
| УПД.9 | Ограничение числа параллельных сеансов доступа | | | + |
| УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + |
| УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + |
| УПД.12 | Управление атрибутами безопасности | | | |
| УПД.13 | Реализация защищенного удаленного доступа | + | + | + |
| УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + |
| III. Ограничение программной среды (ОПС) |
| ОПС.0 | Разработка политики ограничения программной среды | | + | + |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | | | + |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | | + | + |
| ОПС.3 | Управление временными файлами | | | |
| IV. Защита машинных носителей информации (ЗНИ) |
| ЗНИ.0 | Разработка политики защиты машинных носителей информации | + | + | + |
| ЗНИ.1 | Учет машинных носителей информации | + | + | + |
| ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | | | |
| ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | | | |
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | + |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | | | + |
| ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + |
| V. Аудит безопасности (АУД) |
| АУД.0 | Разработка политики аудита безопасности | + | + | + |
| АУД.1 | Инвентаризация информационных ресурсов | + | + | + |
| АУД.2 | Анализ уязвимостей и их устранение | + | + | + |
| АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + |
| АУД.4 | Регистрация событий безопасности | + | + | + |
| АУД.5 | Контроль и анализ сетевого трафика | | | + |
| АУД.6 | Защита информации о событиях безопасности | + | + | + |
| АУД.7 | Мониторинг безопасности | + | + | + |
| АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + |
| АУД.9 | Анализ действий пользователей | | | + |
| АУД.10 | Проведение внутренних аудитов | + | + | + |
| АУД.11 | Проведение внешних аудитов | | | + |
| VI. Антивирусная защита (АВЗ) |
| АВЗ.0 | Разработка политики антивирусной защиты | + | + | + |
| АВЗ.1 | Реализация антивирусной защиты | + | + | + |
| АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + |
| АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | | | + |
| АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + |
| АВЗ.5 | Использование средств антивирусной защиты различных производителей | | | + |
| VII. Предотвращение вторжений (компьютерных атак) (СОВ) |
| СОВ.0 | Разработка политики предотвращения вторжений (компьютерных атак) | | + | + |
| СОВ.1 | Обнаружение и предотвращение компьютерных атак | | + | + |
| СОВ.2 | Обновление базы решающих правил | | + | + |
| VIII. Обеспечение целостности (ОЦЛ) |
| ОЦЛ.0 | Разработка политики обеспечения целостности | + | + | + |
| ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + |
| ОЦЛ.2 | Контроль целостности информации | | | |
| ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | | | + |
| ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | | + | + |
| ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | | + | + |
| ОЦЛ.6 | Обезличивание и (или) деидентификация информации | | | |
| IX. Обеспечение доступности (ОДТ) |
| ОДТ.0 | Разработка политики обеспечения доступности | + | + | + |
| ОДТ.1 | Использование отказоустойчивых технических средств | | + | + |
| ОДТ.2 | Резервирование средств и систем | | + | + |
| ОДТ.3 | Контроль безотказного функционирования средств и систем | | + | + |
| ОДТ.4 | Резервное копирование информации | + | + | + |
| ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + |
| ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + |
| ОДТ.7 | Кластеризация информационной (автоматизированной) системы | | | |
| ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + |
| X. Защита технических средств и систем (ЗТС) |
| ЗТС.0 | Разработка политики защиты технических средств и систем | + | + | + |
| ЗТС.1 | Защита информации от утечки по техническим каналам | | | |
| ЗТС.2 | Организация контролируемой зоны | + | + | + |
| ЗТС.3 | Управление физическим доступом | + | + | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + |
| ЗТС.5 | Защита от внешних воздействий | + | + | + |
| ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | | | |
| XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) |
| ЗИС.0 | Разработка политики защиты информационной (автоматизированной) системы и ее компонентов | + | + | + |
| ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + |
| ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + |
| ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + |
| ЗИС.4 | Сегментирование информационной (автоматизированной) системы | | + | + |
| ЗИС.5 | Организация демилитаризованной зоны | + | + | + |
| ЗИС.6 | Управление сетевыми потоками | | | |
| ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | | | |
| ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + |
| ЗИС.9 | Создание гетерогенной среды | | | |
| ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | | | |
| ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | | | |
| ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | | | |
| ЗИС.13 | Защита неизменяемых данных | | + | + |
| ЗИС.14 | Использование неперезаписываемых машинных носителей информации | | | |
| ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | | | |
| ЗИС.16 | Защита от спама | | + | + |
| ЗИС.17 | Защита информации от утечек | | | |
| ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | | | |
| ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + |
| ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + |
| ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + |
| ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | | | |
| ЗИС.23 | Контроль использования мобильного кода | | + | + |
| ЗИС.24 | Контроль передачи речевой информации | | + | + |
| ЗИС.25 | Контроль передачи видеоинформации | | + | + |
| ЗИС.26 | Подтверждение происхождения источника информации | | | |
| ЗИС.27 | Обеспечение подлинности сетевых соединений | | + | + |
| ЗИС.28 | Исключение возможности отрицания отправки информации | | + | + |
| ЗИС.29 | Исключение возможности отрицания получения информации | | + | + |
| ЗИС.30 | Использование устройств терминального доступа | | | |
| ЗИС.31 | Защита от скрытых каналов передачи информации | | | + |
| ЗИС.32 | Защита беспроводных соединений | + | + | + |
| ЗИС.33 | Исключение доступа через общие ресурсы | | | + |
| ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + |
| ЗИС.35 | Управление сетевыми соединениями | | + | + |
| ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | | | |
| ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | | | |
| ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + |
| ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + |
| XII. Реагирование на компьютерные инциденты (ИНЦ) |
| ИНЦ.0 | Разработка политики реагирования на компьютерные инциденты | + | + | + |
| ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + |
| ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + |
| ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + |
| ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + |
| ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + |
| ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | | | + |
| XIII. Управление конфигурацией (УКФ) |
| УКФ.0 | Разработка политики управления конфигурацией информационной (автоматизированной) системы | + | + | + |
| УКФ.1 | Идентификация объектов управления конфигурацией | | | |
| УКФ.2 | Управление изменениями | + | + | + |
| УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + |
| УКФ.4 | Контроль действий по внесению изменений | | | |
| XIV. Управление обновлениями программного обеспечения (ОПО) |
| ОПО.0 | Разработка политики управления обновлениями программного обеспечения | + | + | + |
| ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + |
| ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + |
| ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + |
| ОПО.4 | Установка обновлений программного обеспечения | + | + | + |
| XV. Планирование мероприятий по обеспечению безопасности (ПЛН) |
| ПЛН.0 | Разработка политики планирования мероприятий по обеспечению защиты информации | + | + | + |
| ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + |
| ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + |
| XVI. Обеспечение действий в нештатных ситуациях (ДНС) |
| ДНС.0 | Разработка политики обеспечения действий в нештатных ситуациях | + | + | + |
| ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + |
| ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + |
| ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | | + | + |
| ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | | + | + |
| ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + |
| ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + |
| XVII. Информирование и обучение персонала (ИПО) |
| ИПО.0 | Разработка политики информирования и обучения персонала | + | + | + |
| ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + |
| ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + |
| ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | | + | + |
| ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + |
"+" - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления.
Меры защиты информации, не обозначенные знаком "+", применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системе управления соответствующего класса защищенности.".
2. В приложении к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, строку седьмую раздела XVI изложить в следующей редакции:
"
| ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + |
".