Рупор "бумажной" безопасности: Изменение требований ФСБ к средствам ГосСОПКи

В июне 2018 года ФСБ обновила формулировки требований.
Проект Приказа ФСБ России
"Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

08.02.2018	13.06.2018
1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства~~, если не оговорено иное).~~	1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства ГосСОПКА).
	2. К средствам ГосСОПКА, на которые распространяются настоящие Требования, относятся: технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее - средства обнаружения); технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее - средства предупреждения); технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий); технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее - средства ППКА); технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее - средства обмена); криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. Средства ГосСОПКА могут реализовываться одним или несколькими техническими, программными и программно-аппаратными средствами.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты II. Общие требования к средствам, предназначенным для обеспечения безопасности значимых объектов КИИ	II. Общие требования к средствам ГосСОПКА
II. Общие требования к средствам~~, предназначенным~~	II. Общие требования к средствам ГосСОПКА
~~для обеспечения безопасности значимых объектов КИИ~~
2. Средства~~, предназначенные для обеспечения безопасности значимых объектов КИИ,~~ должны соответствовать требованиям: ~~2.1. Обеспечение выполнения следующих задач:~~ ~~обнаружение компьютерных атак;~~ ~~предупреждение компьютерных атак;~~ ~~ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;~~ поиск признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ; криптографическая защита обмена информацией необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами. ~~2.2.~~ Отсутствие принудительного обновления ~~программного обеспечения (далее - ПО) и~~ управления ~~с территории иностранного государства.~~ ~~2.3.~~ Отсутствие возможности ~~несанкционированной~~ передачи информации, ~~включая технологическую,~~ в том числе ~~их разработчику (производителю).~~ ~~2.4.~~ Возможность осуществления их модернизации ~~силами российских организаций без участия~~ иностранных ~~организаций и организаций с иностранными инвестициями.~~ ~~2.5.~~ Обеспечение гарантийной и технической поддержкой российскими организациями ~~без участия~~ иностранных ~~организаций и организаций с иностранными инвестициями.~~ ~~2.6. Отсутствие недекларированных возможностей в ПО.~~ 2.7. Наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети "Интернет". 3. В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ)~~, предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции:~~ собственной безопасности;	3. Средства ГосСОПКА должны соответствовать требованиям: 3.1. Отсутствие возможности принудительного обновления или удаленного управления средствами ГосСОПКА со стороны лиц, не являющихся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации. 3.2. Отсутствие возможности бесконтрольной передачи обрабатываемой информации лицам, не являющимся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, в том числе разработчикам (производителям, правообладателям) средств ГосСОПКА и лицам, осуществляющим техническую поддержку, ремонт, гарантийное и техническое обслуживание средств ГосСОПКА. 3.3. Возможность осуществления модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.4. Обеспечение гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. 3.5. Исключение нарушений функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления объектов КИИ (отсутствие влияния на достижение целей и функционирование объектов КИИ). 3.6. Реализация функций собственной безопасности в соответствии с разделом VIII настоящих Требований.
~~визуализации информации;~~ ~~построения сводных отчетов;~~ ~~хранения информации.~~
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты III. Требования к средствам в части обнаружения компьютерных атак	III. Требования к средствам обнаружения
III. Требования к средствам ~~в части~~ обнаружения ~~компьютерных атак~~	III. Требования к средствам обнаружения
4. Средства ~~в части~~ обнаружения ~~компьютерных атак~~ должны обладать следующими функциональными возможностями:	4. Средства обнаружения должны обладать следующими функциональными возможностями:
<1> Источниками событий ИБ могут являться: операционные системы, средства обнаружения вторжений (атак), межсетевые экраны, средства предотвращения утечек данных, антивирусное программное обеспечение, телекоммуникационное оборудование, прикладные сервисы, средства контроля (анализа) защищенности, средства управления телекоммуникационным оборудованием и сетями связи, системы мониторинга состояния телекоммуникационного оборудования, системы мониторинга качества обслуживания.	<1> Источниками событий ИБ могут являться операционные системы, средства обнаружения вторжений (атак), межсетевые экраны, средства предотвращения утечек данных, антивирусное программное обеспечение, телекоммуникационное оборудование, прикладные сервисы, средства контроля (анализа) защищенности, средства управления телекоммуникационным оборудованием и сетями связи, системы мониторинга состояния телекоммуникационного оборудования, системы мониторинга качества обслуживания, а также иные средства и системы защиты информации, системы мониторинга, эксплуатируемые субъектом КИИ.
ретроспективный анализ ~~данных~~ и выявление не обнаруженных ранее компьютерных инцидентов. 5. При осуществлении сбора и первичной обработки событий ИБ средства должны обеспечивать: удаленный и локальный сбор событий ИБ; сбор событий ИБ в непрерывном режиме функционирования, в случае потери связи - сразу после ее восстановления~~, а также по расписанию;~~	ретроспективный анализ событий ИБ и выявление не обнаруженных ранее компьютерных инцидентов. 5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать: удаленный или локальный сбор событий ИБ; сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи - сразу после ее восстановления;
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства должны обеспечивать:	6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства обнаружения должны обеспечивать:
7. При осуществлении ретроспективного анализа ~~данных~~ и выявления не обнаруженных ранее компьютерных инцидентов средства должны обеспечивать: выявление связей и зависимостей между ~~полученными раннее данными (~~событиями ИБ, ~~компьютерными инцидентами, информацией об уязвимостях и недостатках в настройке,~~ справочной информацией ~~и другими данными) и анализируемыми в данный момент времени~~ событиями ИБ;	7. При осуществлении ретроспективного анализа событий ИБ и выявления не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать: выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новой или измененной справочной информацией; выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новыми или измененными правилами выявления инцидентов; выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) состояниями защищенности (конфигурационные сведения, сведения об уязвимостях и т.п.);
	глубину ретроспективного анализа событий ИБ не менее шести месяцев.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты IV. Требования к средствам в части предупреждения компьютерных атак	IV. Требования к средствам предупреждения
IV. Требования к средствам ~~в части~~ предупреждения ~~компьютерных атак~~	IV. Требования к средствам предупреждения
8. Средства ~~в части~~ предупреждения ~~компьютерных атак~~ должны обладать следующими функциональными возможностями: сбор и обработка сведений об инфраструктуре контролируемых информационных ~~ресурсов~~ и справочной информации <1>;	8. Средства предупреждения должны обладать следующими функциональными возможностями: сбор и обработка сведений об инфраструктуре контролируемых информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее - информационные ресурсы) и справочной информации <1>;
<1> В качестве справочной информации используется любая дополнительная информация, позволяющая идентифицировать контролируемые ~~объекты~~.	<1> В качестве справочной информации используется любая дополнительная информация, позволяющая идентифицировать контролируемые информационные ресурсы.
сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого ~~на объектах~~ контролируемых информационных ~~ресурсов~~;	сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее - ПО), используемого в контролируемых информационных ресурсах;
9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать: 9.1. Сбор и обработку ~~конфигурационной информации:~~ ~~об объектах, функционирующих в составе~~ контролируемых информационных ресурсов; о сетевых моделях ~~контролируемых информационных ресурсов;~~ ~~о контролируемых информационных ресурсах~~; об источниках событий ИБ~~, используемых в составе контролируемых информационных ресурсов;~~ о телекоммуникационном оборудовании~~, используемом в контролируемых информационных ресурсах~~.	9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать: 9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию: об объектах; о сетевых моделях; об источниках событий ИБ; о телекоммуникационном оборудовании.
~~о правилах обнаружения компьютерных атак (сведения о сигнатурах);~~
9.3. Возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации. ~~9.4.~~ Возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации. 10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого ~~на объектах~~ контролируемых информационных ~~ресурсов~~ средства должны обеспечивать:	9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации. 10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах, средства предупреждения должны обеспечивать:
сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты);	сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты и другое);
11. При осуществлении учета угроз безопасности информации средства должны обеспечивать: создание и изменение ~~формализованной~~ записи об угрозе безопасности информации ~~в ручном режиме~~; создание ~~формализованной~~ записи об угрозе безопасности информации ~~в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами;~~ ~~создание формализованной записи об угрозе безопасности информации~~ в автоматизированном режиме ~~посредством взаимодействия с НКЦКИ;~~ ~~автоматизированный обмен~~ информацией ~~об угрозах~~ безопасности информации ~~с НКЦКИ~~; создание и изменение ~~инструкций по обработке угроз~~ безопасности информации; ~~построение рабочих процессов обработки сообщений об угрозах безопасности~~ информации и запросов от НКЦКИ.	11. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать: создание и изменение записи, содержащей уведомление об угрозе безопасности информации; создание записи, содержащей уведомление об угрозе безопасности информации, в автоматизированном режиме путем обмена информацией с НКЦКИ и иными системами учета угроз безопасности информации; создание и изменение типовых сценариев реагирования на компьютерные инциденты, связанные с угрозами безопасности информации, включающих в себя рекомендованный порядок принятия решений, очередность выполняемых действий и способы организации совместных действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерных атак; создание и изменение типовых сценариев обработки запросов, поступающих из НКЦКИ.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты V. Требования к средствам в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты	V. Требования к средствам ликвидации последствий
V. Требования к средствам ~~в части~~ ликвидации последствий	V. Требования к средствам ликвидации последствий
~~компьютерных атак и реагирования на компьютерные инциденты~~
12. Средства ~~в части~~ ликвидации последствий ~~компьютерных атак и реагирования на компьютерные инциденты~~ должны обладать следующими функциональными возможностями:	12. Средства ликвидации последствий должны обладать следующими функциональными возможностями:
~~обеспечение~~ взаимодействия с НКЦКИ;	осуществление взаимодействия с НКЦКИ;
13. При осуществлении учета и обработки компьютерных инцидентов средства должны обеспечивать: создание и изменение типов ~~карточек~~ компьютерных инцидентов, определение состава полей ~~этих~~ карточек и требований к заполнению ~~полей;~~ ~~определение статусной модели компьютерных инцидентов в зависимости от типа инцидента;~~ ~~назначение категорий и приоритетов компьютерных инцидентов по заданным критериям;~~ ~~создание и изменение соглашений об уровне услуг по обработке компьютерных инцидентов;~~ ~~создание и изменение правил по обработке компьютерных инцидентов;~~ ~~управление доступом к данным о компьютерном инциденте;~~ ~~создание формализованной карточки~~ компьютерного инцидента ~~в ручном режиме;~~ создание ~~формализованной~~ карточки компьютерного инцидента ~~в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами и НКЦКИ;~~ ~~создание формализованной карточки компьютерного инцидента из поступившего формализованного сообщения~~ об угрозе безопасности информации; учет ~~формализованных~~ карточек компьютерных инцидентов; фильтрацию, сортировку и поиск ~~хранимых~~ карточек компьютерных инцидентов ~~и сведений об инцидентах;~~ ~~агрегирование записей о компьютерных инцидентах по заданным критериям;~~ регистрацию действий администраторов как по настройке средств, так и по процессу работы со сведениями о компьютерных инцидентах; ~~отслеживание времени внесения и сроков хранения данных, а также источников этих данных;~~ ~~создание и изменение правил по обработке~~ компьютерных инцидентов ~~и ликвидации последствий компьютерных атак.~~ ~~14. При осуществлении~~ управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства должны обеспечивать: ~~обогащение данных~~ компьютерного инцидента ~~данными из внешних систем и предоставление контекста~~ компьютерного инцидента~~, включая сведения о программных и конфигурационных уязвимостях, которые содержатся в реквизитах~~ компьютерного инцидента; ~~применение типовых сценариев~~ реагирования на ~~компьютерные инциденты~~ и ликвидации последствий компьютерных атак, а также ~~задание~~ правил их применимости на основании сведений об инциденте; создание задач для внешних систем и сервисов с возможностью экспорта, импорта и отслеживания статуса этих задач посредством интерфейса прикладного программирования; уведомление о регистрации новых компьютерных инцидентов, завершении длительных задач, а также об изменении их состояния; поддержку принятия управленческого решения при реагировании на угрозу безопасности информации или компьютерный инцидент; ~~поддержку~~ координации действий ~~сил и использования средств реагирования~~ на компьютерный инцидент; контроль соглашений об уровне услуг по обработке компьютерных инцидентов и контроль устранения компьютерных инцидентов. 15. При осуществлении взаимодействия с НКЦКИ средства должны обеспечивать:	13. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать: создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента; автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся индикаторы компрометации для контролируемых информационных ресурсов; запись о текущей стадии процесса реагирования на компьютерные инциденты (например, стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора свидетельств для расследования компьютерного инцидента и т.п.) в зависимости от типа компьютерного инцидента; запись о присвоении категорий опасности и (или) приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов; регистрацию и учет карточек компьютерных инцидентов; фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значению полей карточек; объединение карточек однотипных компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек. 14. Для обеспечения управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать: возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента и т.п.; возможность назначения для карточки компьютерного инцидента шаблонного или специализированного сценария реагирования на компьютерный инцидент и ликвидации последствий компьютерных атак, а также задания правил их применимости на основании сведений о компьютерном инциденте; формирование электронных сообщений для организации взаимодействия и координации действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки. 15. При осуществлении взаимодействия с НКЦКИ средства ликвидации последствий должны обеспечивать:
учет ~~формализованных~~ карточек компьютерных инцидентов в соответствии с системой идентификации ~~НКЦКИ;~~ ~~оперативную коммуникацию со специалистами~~ НКЦКИ. 16. При осуществлении информационно-аналитического сопровождения средства должны обеспечивать: интерактивное формирование выборок данных, основанных на ~~комбинациях атрибутов и объектов из~~ карточек компьютерных инцидентов, ~~сообщений~~ об угрозах безопасности информации и ~~выходящих за рамки стандартных отчетов;~~ реализацию расчетов прогнозных значений анализируемых показателей на основе ретроспективных данных из карточек компьютерных инцидентов и сообщений об угрозах безопасности информации.	учет карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ. 16. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать интерактивное формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты VI. Требования к средствам поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ	VI. Требования к средствам ППКА
VI. Требования к средствам ~~поиска признаков компьютерных~~	VI. Требования к средствам ППКА
~~атак в сетях электросвязи, используемых для организации~~ ~~взаимодействия объектов КИИ~~
17. Средства ~~поиска~~ признаков компьютерных атак в ~~сетях~~ электросвязи~~, используемых для организации~~ взаимодействия ~~объектов КИИ должны обеспечивать:~~	17. Средства ППКА должны обладать следующими функциональными возможностями: обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения;
~~контроль изменений параметров настроек телекоммуникационного оборудования сети электросвязи;~~ контроль изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;
обнаружение ~~признаков~~ компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также сбора, накопления и статистической обработки результатов такого обнаружения; хранение копий трафика внутреннего сетевого взаимодействия сетей электросвязи субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы промышленного назначения; анализ и ~~выгрузку~~ фрагментов копий ~~трафика внутреннего~~ сетевого взаимодействия субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы с закрытыми спецификациями; ~~возможность определять векторы распределенных во времени~~ компьютерных атак ~~и соотносить их с элементами как сетевой инфраструктуры, так и технологического процесса объекта КИИ;~~ ~~возможность извлечения передаваемых файлов заданного типа из сетевого трафика;~~ ~~сигнализацию~~ и уведомление о фактах обнаружения признаков компьютерных атак; ~~сигнализацию~~ и уведомление о нарушениях штатного режима функционирования средств; наличие интерфейса (~~интерфейсов~~) передачи ~~данных о сетевом трафике~~, в котором обнаружены признаки компьютерных атак, а также результатов сбора, накопления и статистической обработки такой информации.	обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи; обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи; хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев; анализ и выгрузка фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием; сигнализация и уведомление о фактах обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием; сигнализация и уведомление о нарушениях штатного режима функционирования средств ППКА; наличие интерфейса(ов) (порта(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации; возможность формирования обобщенных сведений, представляемых в НКЦКИ.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты VII. Требования к средствам криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак	VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак
VII. Требования к средствам ~~криптографической~~ ~~защиты~~ обмена ~~информацией~~, необходимой субъектам КИИ	VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам КИИ
18. Средства ~~криптографической защиты~~ обмена ~~информацией~~, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.	18. Средства обмена должны обеспечивать гарантированную передачу и гарантированный прием информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак. 19. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты VIII. Требования к средствам в части реализации функций собственной безопасности	VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности
VIII. Требования к средствам в части реализации функций собственной безопасности	VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности
19. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации ~~функций~~ собственной безопасности должны ~~обеспечивать:~~ ~~идентификацию и аутентификацию~~ администраторов;	20. Средства ГосСОПКА в части реализации функции собственной безопасности должны обладать следующими функциональными возможностями: идентификация и аутентификация администраторов;
~~регистрацию~~ событий ИБ;	регистрация событий ИБ;
самотестирование и контроль целостности ПО; ~~резервирование и восстановление~~ средств. ~~19.1.~~ При осуществлении идентификации и аутентификации администраторов средства должны обеспечивать: ~~однозначную идентификацию администраторов;~~	резервирование и восстановление; синхронизация от единого источника времени; самотестирование и контроль целостности ПО (только для средств ППКА). 20.1. При осуществлении идентификации и аутентификации администраторов средства ГосСОПКА должны обеспечивать:
~~19.2.~~ При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства должны обеспечивать: разграничение доступа на основе политик безопасности;	20.2. При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства ГосСОПКА должны обеспечивать: разграничение прав доступа на основе политик безопасности;
блокирование доступа при превышении значения максимального периода отсутствия активности; ~~сигнализацию о несанкционированных~~ попытках доступа к управлению средствами;	блокирование сессии доступа при превышении значения максимального периода отсутствия активности; уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;
~~19.3.~~ При осуществлении регистрации событий ИБ средства должны обеспечивать: возможность определения перечня событий ИБ, подлежащих регистрации, и ~~сроков~~ хранения соответствующих записей в журналах ~~регистрации~~; возможность регистрации как минимум следующих связанных с функционированием средств сведений: идентификатора администратора, времени ~~входа и выхода~~, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств~~, интерфейса (порта) подключения~~, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств; ведение электронных журналов учета технического состояния, ~~содержащего~~ следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках ~~работы оборудования~~ с их классификацией, информация о загрузке и инициализации ~~программно-аппаратных~~ средств и их ~~останова~~; защиту электронных журналов ~~регистрации~~ от стирания и редактирования; автоматическое извещение о заполнении электронного журнала ~~регистрации~~ с возможностью его сохранения на внешнем носителе; ~~ведение электронных журналов регистрации с привязкой к единому источнику времени.~~ ~~19.4.~~ При осуществлении обновления программных компонентов и служебных баз данных средства должны обеспечивать: обновление без потери информации, необходимой для функционирования средств;	20.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать: возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных регистрационных журналах с возможностью корректировки сроков; возможность регистрации как минимум следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора администратора, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА; ведение электронных регистрационных журналов учета технического состояния, содержащих следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановки (только для средств ППКА); защиту электронных регистрационных журналов от стирания и редактирования (только для средств ППКА); автоматическое извещение о заполнении электронного регистрационного журнала с возможностью его сохранения на внешнем носителе информации (только для средств ППКА). 20.4. При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать: обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ;
~~19.5. При осуществлении самотестирования и контроля целостности ПО средства должны обеспечивать:~~ контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора; возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном журнале регистрации.
~~19.6.~~ При осуществлении резервирования и восстановления средства должны обеспечивать:	20.5. При осуществлении резервирования и восстановления средства ГосСОПКА должны обеспечивать:
возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования.	возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА). 20.6. При осуществлении самотестирования и контроля целостности ПО средства ППКА должны обеспечивать: контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора; возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном регистрационном журнале.
Приложение. Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты IX. Требования к средствам в части реализации визуализации, построения сводных отчетов и хранения информации	IX. Дополнительные требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий
IX. ~~Требования~~ к средствам ~~в части реализации визуализации,~~ ~~построения сводных отчетов и хранения информации~~	IX. Дополнительные требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий
~~20. Технические, программные, программно-аппаратные и иные средства, предназначенные для~~ обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий ~~компьютерных атак,~~ в части реализации визуализации, построения сводных отчетов и хранения информации должны обеспечивать: ~~20.1. Представление~~ сведений:	21. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий дополнительно предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации. Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать: 21.1. Визуализацию сведений:
~~20.2.~~ Построение сводных отчетов путем реализации следующих возможностей:	21.2. Построение сводных отчетов путем реализации следующих возможностей:
~~20.3.~~ Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.	21.3. Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.