Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
25.12.2017только значимые объектыдействует
1 Что это и зачем
Если приказ № 235 говорит, как организационно построить защиту, то приказ № 239 отвечает на вопрос «что конкретно делать технически». Это главный «технический» документ для значимых объектов: он перечисляет, какие именно меры защиты нужно реализовать, и как они зависят от категории значимости объекта. Чем выше категория (К1 строже, чем К3), тем больше и серьёзнее требуемых мер.
2 Кого касается
Касается только тех субъектов КИИ, у кого есть значимые объекты. Если значимых объектов нет, выполнять эти требования не нужно. При наличии значимого объекта приказ применяется обязательно и в объёме, который зависит от присвоенной категории.
3 Что требует
Реализовать состав организационных и технических мер защиты, соответствующий категории значимости объекта.
Разработать модель угроз безопасности информации — то есть описать, от каких атак и нарушителей защищается объект.
Спроектировать систему защиты под конкретный объект и подобрать средства защиты информации.
Задокументировать реализацию мер: какие меры внедрены, как именно и чем подтверждается.
Обеспечить эксплуатацию средств защиты: обновление, настройку, контроль работоспособности на протяжении всего жизненного цикла объекта.
≡Простыми словамиЭто «технический чек-лист» для значимого объекта: какие защитные меры обязательны именно для вашей категории, как описать угрозы и как доказать, что защита реально настроена и работает. Чем важнее объект — тем длиннее список обязательных мер.
4 Статус и редакции
Документ действует. Применяется в редакции от 28.08.2024. Работает в паре с приказом № 235 (организационная часть) и опирается на категорию, присвоенную по правилам ПП № 127. Перед работой сверяйтесь с действующей редакцией.