II. Организация деятельности по защите информации и управление данной деятельностью
13. Оператор (обладатель информации) должен организовывать деятельность по защите информации и управлять ею в соответствии с Требованиями.
14. Организация деятельности по защите информации должна включать:
а) разработку и утверждение политики защиты информации, содержащей в том числе:
область действия политики, включая перечень информации, информационных систем, компонентов информационно-телекоммуникационной инфраструктуры, подлежащих защите в соответствии с Требованиями;
цели и задачи защиты информации;
перечни объектов защиты, включая программные, программно-аппаратные средства, информационные системы, сети и подсети, образующие информационно-телекоммуникационную инфраструктуру;
категории лиц, участвующих в защите информации, их обязанности (функции) и полномочия;
состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;
ответственность работников за нарушение требований о защите информации и установленных оператором (обладателем информации) правил обработки информации;
б) определение лиц, ответственных за защиту информации;
в) применение программных, программно-аппаратных средств, предназначенных для защиты информации;
г) разработку и утверждение внутренних стандартов по защите информации, содержащих в том числе:
требования к первичной идентификации лиц, обладающих правами доступа к информационным системам и (или) содержащейся в них информации и их использованию (далее - пользователи);
требования к применяемым моделям доступа пользователей;
перечень разрешенного и (или) запрещенного для использования программного обеспечения;
требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;
требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения доступа пользователей из информационных систем к информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");
требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения удаленного доступа пользователей к информационным системам и содержащейся в них информации, включая требования к обеспечению безопасной дистанционной работы;
ограничения и запреты действий для пользователей при использовании и обеспечении эксплуатации ими информационных систем;
требования к защите физических и виртуальных устройств информационных систем, имеющих постоянный доступ к сети "Интернет" (далее - конечные устройства);
требования к защите мобильных устройств, планшетных, переносных компьютеров, применяемых пользователями для доступа к информационным системам (за исключением мобильных устройств, предназначенных для доступа к сайтам сети "Интернет" и иным публичным веб-ресурсам) (далее - мобильные устройства);
требования к непрерывности функционирования информационных систем;
требования к резервному копированию информации, программного обеспечения и его конфигураций;
требования к сбору, регистрации и анализу событий, связанных с возможным нарушением безопасности информации, нарушением функционирования информационных систем, реализацией угроз безопасности информации (далее - события безопасности);
требования к защите информации при подключении к информационным системам иных информационных систем, включая требования к каналам передачи данных при взаимодействии с такими информационными системами;
д) разработку и утверждение внутренних регламентов по защите информации, содержащих в том числе:
порядок создания, учета, изменения и блокирования, контроля, удаления учетных записей;
порядок создания, учета, изменения и блокирования, контроля, удаления привилегированных учетных записей;
порядок создания, изменения, блокирования, контроля, удаления аутентификационной информации и средств аутентификации;
порядок предоставления пользователям удаленного доступа к информационным системам и содержащейся в них информации;
порядок и условия предоставления работникам подрядных организаций доступа к информационным системам, содержащейся в них информации, и (или) передачи им информации, контроля за таким доступом, передачей в случае привлечения подрядных организаций;
порядок предоставления работникам иных государственных органов, организаций доступа к информационным системам, содержащейся в них информации и (или) передачи им информации и контроля за такими доступом, передачей (в случае информационного взаимодействия с иными государственными органами, организациями);
порядок предоставления пользователям доступа из информационных систем в сеть "Интернет" и контроля ее использования;
порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации;
порядок выявления, оценки и устранения уязвимостей информационных систем (далее - управление уязвимостями);
порядок получения, оценки, тестирования и применения обновлений программных, программно-аппаратных средств (далее - управление обновлениями);
порядок обработки, хранения и обращения с информацией ограниченного доступа;
порядок обеспечения физической защиты информационных систем;
порядок разработки безопасного программного обеспечения <5> в случае его самостоятельной разработки оператором (обладателем информации);
--------------------------------
<5> Пункт 3.2 национального стандарта Российской Федерации ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие приказом Росстандарта от 24 октября 2024 г. N 1504-ст (М., ФГБУ "РСТ", 2024) (далее - ГОСТ Р 56939-2024).
порядок вывода в контур промышленной эксплуатации сервисов, доступ к которым осуществляется с использованием сети "Интернет", в случае наличия таких сервисов;
порядок мониторинга информационной безопасности <6> информационных систем;
--------------------------------
<6> Пункт 3.7 национального стандарта Российской Федерации ГОСТ Р 59547-2021 "Защита информации. Мониторинг информационной безопасности. Общие положения", утвержденного и введенного в действие приказом Росстандарта от 27 июля 2021 г. N 656-ст (М., ФГБУ "РСТ", 2021) (далее - ГОСТ Р 59547-2021).
порядок восстановления штатного функционирования информационных систем и тестирования процессов восстановления;
порядок контроля уровня защищенности информации, содержащейся в информационных системах;
е) выделение организационных, технических и иных ресурсов, необходимых для защиты информации.
15. При разработке политики защиты информации должны учитываться все информационные системы оператора (обладателя информации), а также информационно-телекоммуникационная инфраструктура, если информационные системы функционируют на базе информационно-телекоммуникационной инфраструктуры. Политика защиты информации утверждается руководителем оператора (обладателя информации) или уполномоченным руководителем оператора (обладателя информации) лицом (далее - ответственное лицо) и обязательна для исполнения всеми подразделениями (работниками) оператора (обладателя информации) в части, их касающейся.
16. Организации, которым предоставляется доступ к информационным системам оператора (обладателя информации) и (или) содержащейся в них информации для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (далее - подрядные организации), должны быть ознакомлены с политикой защиты информации в части, их касающейся.
Обязанность подрядной организации по выполнению политики защиты информации должна быть определена в документах оператора (обладателя информации), на основании которых в том числе передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации.
17. Защиту информации должен организовывать руководитель оператора (обладателя информации) или по его решению ответственное лицо.
18. Обязанности (функции) и полномочия ответственного лица по организации деятельности по защите информации, управлению защитой информации, а также по организации контроля за данной деятельностью у оператора (обладателя информации) должны быть включены в должностные обязанности (трудовые функции) ответственного лица. Состав обязанностей (функций) и полномочий ответственного лица должен быть достаточен для организации деятельности по защите информации и управления этой деятельностью в соответствии с Требованиями, а также организации контроля за данной деятельностью у оператора (обладателя информации).
19. Руководитель оператора (обладателя информации), ответственное лицо должны создать (определить) структурное подразделение или назначает отдельных специалистов, на которых возлагаются обязанности (функции) по защите информации (далее - структурное подразделение (специалисты) по защите информации).
Функции и полномочия по защите информации структурного подразделения по защите информации определяются в положении о структурном подразделении или ином документе, в соответствии с которым функционирует структурное подразделение <7>. Обязанности (функции) и полномочия специалистов по защите информации по проведению мероприятий и принятию мер по защите информации должны быть установлены в их должностных обязанностях (трудовых функциях). Состав обязанностей (функций) и полномочий по защите информации структурного подразделения (специалистов) по защите информации должен быть достаточен для проведения мероприятий и принятия мер по защите информации в соответствии с Требованиями.
--------------------------------
<7> Типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации), утвержденное постановлением Правительства Российской Федерации от 15 июля 2022 г. N 1272.
В случае наличия у оператора (обладателя информации) структурного подразделения, на которое возложены функции по обеспечению информационной безопасности <8>, защита информации может быть возложена на указанное подразделение.
--------------------------------
<8> Подпункт "б" пункта 1 Указа Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
20. Работники структурного подразделения (специалисты) по защите информации должны обладать компетенциями, необходимыми для выполнения возложенных на них обязанностей (функций) по защите информации в соответствии с Требованиями. Не менее 30 процентов работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.
21. Структурное подразделение (специалисты) по защите информации должно (должны) обеспечивать защиту информации во взаимодействии с подразделениями (работниками), использующими информационные системы, и подразделениями (работниками), обеспечивающими эксплуатацию информационных систем.
22. Подразделения (работники), использующие информационные системы, должны участвовать в проведении мероприятий и принятии мер по защите информации в объеме, установленном оператором (обладателем информации) во внутренних стандартах и регламентах по защите информации.
Подразделения, обеспечивающие эксплуатацию информационных систем, должны проводить мероприятия и принимать меры по защите информации в ходе сопровождения, обслуживания информационных систем, поставки комплектующих и иных видов работ по эксплуатации информационных систем в объеме, установленном оператором (обладателем информации) во внутренних стандартах и регламентах по защите информации.
23. Структурным подразделением (специалистами) по защите информации должны применяться программные, программно-аппаратные средства, позволяющие обеспечить выполнение возложенных на них обязанностей (функций) по защите информации, в том числе по выявлению угроз безопасности информации, обнаружению и предотвращению вторжений, проведению контроля уровня защищенности информации, содержащейся в информационных системах, мониторингу информационной безопасности информационных систем, выявлению уязвимостей, контролю настроек и конфигураций информационных систем, а также средства и системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации.
Состав программных, программно-аппаратных средств, необходимых структурному подразделению (специалистам) по защите информации для выполнения возложенных на них обязанностей (функций), определяется во внутренних стандартах и регламентах по защите информации.
24. Для проведения мероприятий и принятия мер по защите информации оператором (обладателем информации) могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации <9> (далее - специализированные организации). Состав проводимых специализированными организациями мероприятий и принимаемых ими мер по защите информации, используемых при этом программных, программно-аппаратных средств, предназначенных для защиты информации, определяется оператором (обладателем информации). Работники структурного подразделения (специалисты) по защите информации оператора (обладателя информации) должны привлекаться к приемке результатов работ и услуг, выполняемых (оказываемых) специализированными организациями.
--------------------------------
<9> Пункт 5 части 1 статьи 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".
25. Оператором (обладателем информации) должны быть разработаны и утверждены:
внутренние стандарты по защите информации, устанавливающие требования к реализации мер по защите информации применительно к особенностям деятельности оператора (обладателя информации) и функционирования информационных систем;
внутренние регламенты по защите информации, содержащие порядок проведения мероприятий или описание реализуемых процессов по защите информации применительно к особенностям деятельности оператора (обладателя информации) и функционирования информационных систем.
Внутренние стандарты и регламенты по защите информации утверждаются руководителем оператора (обладателя информации) или ответственным лицом.
Область действия внутренних стандартов и регламентов по защите информации определяется оператором (обладателем информации).
26. Внутренние стандарты и регламенты по защите информации доводятся до пользователей, а также подрядных организаций в части, их касающейся.
Внутренние стандарты и регламенты по защите информации подлежат исполнению пользователями в части, их касающейся.
Обязанность подрядной организации по выполнению внутренних стандартов и регламентов по защите информации должна быть определена в документах оператора (обладателя), на основании которых передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации.
27. Структурное подразделение (специалисты) по защите информации должно (должны) разрабатывать и представлять руководителю оператора (обладателя информации), ответственному лицу обоснованные предложения по организационным, материально-техническим и иным обеспечивающим ресурсам, необходимым для проведения мероприятий и принятия мер по защите информации, с указанием сведений о целях защиты информации, на достижение которых требуются ресурсы, и перечня негативных последствий (событий), наступление которых прогнозируется в случае отсутствия ресурсов.
Руководитель оператора (обладателя информации), ответственное лицо на основе представленных предложений и в пределах имеющихся средств предусматривает выделение организационных, материально-технических и иных обеспечивающих ресурсов для проведения мероприятий и принятия мер по защите информации, привлечения при необходимости дополнительных сил и средств для защиты информации в соответствии с Требованиями на всех этапах жизненного цикла информационных систем.
28. Управление деятельностью по защите информации должно осуществляться в рамках функционирующей организационной системы управления, возглавляемой руководителем оператора (обладателя информации) или по его решению ответственным лицом. Управление деятельностью по защите информации должно включать:
а) разработку и планирование мероприятий и мер по защите информации;
б) проведение мероприятий и принятие мер по защите информации;
в) проведение оценки состояния защиты информации;
г) совершенствование мероприятий и мер по защите информации.
29. При разработке и планировании мероприятий и мер по защите информации должны быть:
а) определены события в информационных системах, наступление которых может привести к нарушению целей защиты информации, установленных в политике защиты информации;
б) определены информационные системы, программные, программно-аппаратные средства, несанкционированный доступ к которым и (или) воздействие на которые могут привести к нарушению целей защиты информации, установленных в политике защиты информации;
в) выявлены и оценены угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению целей защиты информации, установленных в политике защиты информации (далее - угрозы безопасности информации);
г) определены состав и сроки проведения мероприятий и принятия мер по защите информации и оценены необходимые для этого ресурсы.
30. Проводимые мероприятия и принимаемые меры по защите информации должны быть направлены на блокирование (нейтрализацию) актуальных для информационной системы угроз безопасности информации (далее - актуальные угрозы) в соответствии с целями защиты информации, определенными в политике защиты информации.
В зависимости от целей защиты информации мероприятия и меры по защите информации должны быть направлены на:
а) исключение утечки информации ограниченного доступа и иной конфиденциальной информации;
б) предотвращение несанкционированного доступа к информационным системам и содержащейся в них информации, обнаружение фактов несанкционированного доступа и реагирование на них;
в) предотвращение несанкционированной модификации информации, обнаружение фактов несанкционированной модификации и реагирование на них;
г) предотвращение несанкционированной подмены информации, обнаружение фактов несанкционированной подмены и реагирование на них;
д) предотвращение несанкционированного удаления информации и программного обеспечения, обнаружение фактов несанкционированного удаления и реагирование на них;
е) исключение или существенное затруднение отказа в обслуживании авторизованным пользователям информационных систем;
ж) недопущение использования информационных систем и содержащейся в них информации не по назначению;
з) исключение или существенное затруднение нарушения функционирования (работоспособности) информационных систем;
и) недопущение распространения с использованием информационных систем противоправной информации;
к) обеспечение возможности восстановления в установленные оператором (обладателем информации) сроки доступа авторизованных пользователей к информационным системам и содержащейся в них информации, заблокированной вследствие реализации (возникновения) угроз безопасности информации;
л) обеспечение возможности восстановления в установленные оператором (обладателем информации) сроки информации, модифицированной или уничтоженной вследствие реализации (возникновения) угроз безопасности информации.
31. Оценка состояния защиты информации должна проводиться на основе определения оператором (обладателем информации):
а) показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (далее - показатель защищенности Кзи);
б) показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (далее - показатель уровня зрелости Пзи).
Для определения значений и расчета показателя защищенности Кзи и показателя уровня зрелости Пзи должны применяться методические документы, утвержденные ФСТЭК России в соответствии с абзацем вторым пункта 5 и подпунктом 4 пункта 8 Положения о ФСТЭК России (далее - методические документы ФСТЭК России).
32. Расчет и оценка показателя защищенности Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Расчет и оценка показателя уровня зрелости Пзи должны проводиться оператором (обладателем информации) не реже одного раза в два года.
О полученных по результатам оценки значениях показателя защищенности Кзи и показателя уровня зрелости Пзи в случае их несоответствия нормированным значениям, указанным в методических документах ФСТЭК России, в течение 3 календарных дней со дня завершения такой оценки информируется руководитель оператора (обладателя информации) для принятия решения о проведении мероприятий по совершенствованию защиты информации и принятии мер по повышению уровня защищенности информации, содержащейся в информационных системах.
Результаты оценки показателя защищенности Кзи и показателя уровня зрелости Пзи в срок не позднее 5 рабочих дней после дня их расчета должны направляться оператором (обладателем информации) в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации <10>.
--------------------------------
<10> Подпункты 6(1) и 6(5) пункта 8 Положения о ФСТЭК России.
33. По решению руководителя оператора (обладателя информации), ответственного лица структурным подразделением (специалистами) по защите информации с участием подразделений (работников), использующих информационные системы, подразделений (работников), обеспечивающих эксплуатацию информационных систем, разрабатывается план мероприятий по совершенствованию защиты информации, содержащейся в информационных системах, в котором в том числе указываются наименования мероприятий, сроки их выполнения, подразделения (работники), ответственные за реализацию каждого мероприятия.
План утверждается руководителем оператора (обладателя информации), ответственным лицом и доводится до подразделений (работников) оператора (обладателя информации) в части, их касающейся. Результатом реализации мероприятий плана должно быть достижение значений показателя защищенности Кзи и показателя уровня зрелости Пзи не ниже нормированных значений, указанных в методических документах ФСТЭК России.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875