Сведения об изменениях в Перечне требований к системе защиты информации, подлежащих включению в техническое задание.

Детальное сравнение старых (приказ 195) и новых (приказ 259) требований  в формате xlsx можно скачать по сылке.

В Перечне требований к системе защиты информации, подлежащих включению в техническое задание, произошли следующие изменения:

1 Для удобства объединены требования к классам: «4-ин» и «4-спец»; «3-ин» и «3-спец».

2 Добавлены следующие требования:

• Требование по обеспечению криптографической защиты информации 5.2 «издание сертификатов открытых ключей проверки электронной цифровой подписи (удостоверяющий центр, регистрационный центр (при его наличии), средства электронной цифровой подписи)». Требование является обязательным для всех классов ИС.
• Требование 7.17 «ежегодное проведение оценки эффективности защищенности информационной системы (тестирование на проникновение). Требование является обязательным для классов 3-бг и 3-дсп
• Требование 7.18 «обеспечение обнаружения и реагирования на угрозы безопасности конечных узлов (уровня узла) в информационной системе». Требование является обязательным для классов 3-бг и 3-дсп.
• Требование 7.19 «обеспечение централизованного сбора и хранения сведений о DNS-запросах активов информационной системы, средств защиты информации в течение установленного срока хранения, но не менее одного месяца». Требование является обязательным для классов 3-ин, 3-спец, 3-бг, 3-юл и 3-дсп

3 Исключены следующие требования из предыдущей версии Положения:

• Требование 7.11 «Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ» (требование заменено на более общее требование по обеспечению антивирусной защиты, которое позволяет учитывать особенности ИС и реализации ее СЗИ).
• Требование 7.12 «Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ» (требование заменено на более общее требование по обеспечению антивирусной защиты, которое позволяет учитывать особенности ИС и реализации ее СЗИ).
• Требование 7.15 «Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях» (требование заменено на более общее требование по обеспечению межсетевого экранирования, которое позволяет учитывать особенности ИС и реализации ее СЗИ).
• Требование 7.19 «Определение перечня внешних подключений к информационной системе и порядка такого подключения» (Перечень таких подключений определяется (корректируется) на стадии проектирования/создания).
• Требование 7.21 «Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы» (требование заменено на более строгое)

4 Внесены изменения и уточнения в формулировки требований: