1.4 Требования к мерам защиты информации на объектах инфраструктуры, используемых при оказании государственных и муниципальных услуг

Для защиты информации на объектах инфраструктуры, используемых при оказании государственных и муниципальных услуг, необходимо обеспечить реализацию мер защиты информации в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, и Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 239.

Обоснование выбора и уточнение мер защиты информации должно проводиться на основании согласованной с ФСТЭК России и ФСБ России Модели угроз информационной безопасности, с учетом требований, определенных в методическом документе "Меры защиты информации в государственной информационной системе", утвержденном ФСТЭК России 11 февраля 2014 г., на этапе технического проектирования системы защиты информации.

С учетом классификации объектов информатизации, установленных актуальных угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик объектов информатизации должны быть реализованы следующие меры защиты информации:

идентификации и аутентификации субъектов доступа и объектов доступа;

управления доступом субъектов доступа к объектам доступа;

ограничения программной среды;

защиты машинных носителей информации;

регистрации событий безопасности;

антивирусной защиты;

обнаружения (предотвращения) вторжений;

контроля (анализа) защищенности информации;

обеспечения целостности информационной системы и информации;

обеспечения доступности информации;

защиты среды виртуализации;

защиты технических средств;

защиты информационной системы, ее средств, систем связи передачи данных;

реагирования на компьютерные инциденты;

управления конфигурацией.

Определение мер по обеспечению безопасности информации, подлежащих реализации в рамках системы защиты информации объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, осуществляется в следующем порядке:

определение базового набора мер по обеспечению безопасности информации для установленного класса защищенности информационной системы и его адаптация с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы;

уточнение адаптированного базового набора мер по обеспечению безопасности информации, в результате которого определяются меры по обеспечению безопасности информации, направленные на нейтрализацию всех актуальных угроз безопасности;

дополнение уточненного адаптированного базового набора мер по обеспечению безопасности информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации с использованием средств криптографической защиты информации (далее - СКЗИ).