Приложение
		(к постановлению Кабинета Министров Кыргызской Республики от 14 апреля 2026 года № 250)

ТРЕБОВАНИЯ

к обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики

Глава 1. Общие положения

1. Настоящие Требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики (далее - Требования) разработаны в соответствии со статьей 12 Закона Кыргызской Республики "О кибербезопасности Кыргызской Республики" и направлены на обеспечение кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики (далее - КИИ), а также предупреждение, выявление, мониторинг, реагирование и минимизацию последствий кибератак и киберинцидентов.
2. Действие настоящих Требований распространяется на информационные, информационно-телекоммуникационные системы, телекоммуникационные сети, базы данных, центры обработки данных и автоматизированные системы управления, которые отнесены к объектам КИИ в соответствии с Положением о порядке категорирования объектов критической информационной инфраструктуры Кыргызской Республики и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Кыргызской Республики, утвержденными постановлением Кабинета Министров Кыргызской Республики "Об утверждении Положения о порядке категорирования объектов критической информационной инфраструктуры Кыргызской Республики и Перечня показателей критериев значимости объектов критической информационной инфраструктуры Кыргызской Республики" от 29 ноября 2024 года № 716.
3. Для обеспечения кибербезопасности объектов КИИ, в которых происходит обработка информации, подлежащей защите в соответствии с законодательством Кыргызской Республики, настоящие Требования применяются с учетом законодательства и стандартов в сфере обеспечения кибербезопасности, а также положений отраслевых нормативных правовых актов.
4. Кибербезопасность объектов КИИ обеспечивается субъектами КИИ согласно Требованиям к созданию систем кибербезопасности объектов критической информационной инфраструктуры и обеспечению их функционирования, утвержденным постановлением Кабинета Министров Кыргызской Республики "Об утверждении Требований к созданию систем кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики и обеспечению их функционирования" от 9 декабря 2024 года № 746, а также в соответствии с настоящими Требованиями.
5. Подсистема кибербезопасности объекта КИИ - это элемент системы кибербезопасности субъекта КИИ, предназначенный для устойчивой защиты информационных процессов объектов КИИ. Подсистема кибербезопасности объекта КИИ объединяет технические средства и организационные меры, направленные на предотвращение угроз, защиту информации и поддержание устойчивости его функционирования. Подсистема кибербезопасности объекта КИИ интегрируется в единый контур кибербезопасности субъекта КИИ и участвует в процессах обеспечения кибербезопасности, мониторинга, реагирования и управления киберинцидентами, организуемых на уровне субъекта КИИ, что позволяет оперативно выявлять и устранять киберугрозы.

Глава 2. Требования к обеспечению кибербезопасности при создании, эксплуатации и выводе из эксплуатации объектов КИИ

6. Обеспечение кибербезопасности объектов КИИ является составной частью работ по созданию (модернизации), вводу в эксплуатацию, эксплуатации и выводу из эксплуатации объектов КИИ. Меры по обеспечению кибербезопасности объектов КИИ принимаются на всех стадиях (этапах) их жизненного цикла.
7. На стадиях (этапах) жизненного цикла при создании (модернизации), вводе в эксплуатацию, эксплуатации и выводе из эксплуатации объекта КИИ проводятся следующие мероприятия:

1) установление требований к обеспечению кибербезопасности объекта КИИ;

2) разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ;

3) внедрение организационных и технических мер по обеспечению кибербезопасности объекта КИИ и ввод его в эксплуатацию;

4) обеспечение кибербезопасности объекта КИИ при его эксплуатации;

5) обеспечение кибербезопасности объекта КИИ при выводе из эксплуатации.

8. Результаты реализации мероприятий, проводимых для обеспечения кибербезопасности объекта КИИ на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом КИИ.

Для объектов КИИ, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации объекта КИИ и (или) создания (модернизации) подсистем кибербезопасности эксплуатируемых объектов КИИ. Создание (модернизация) подсистем кибербезопасности объектов КИИ осуществляется в соответствии с настоящими Требованиями с учетом имеющихся у субъектов КИИ программ (планов).

Глава 3. Установление требований к обеспечению кибербезопасности объекта КИИ

9. Настоящие Требования устанавливаются с учетом показателей критериев значимости объекта КИИ в порядке, определяемом Кабинетом Министров Кыргызской Республики.

Настоящие Требования включаются в технические задания на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ, которые должны содержать:

1) цель и задачи обеспечения кибербезопасности объекта КИИ или подсистемы кибербезопасности объекта КИИ;

2) категорию значимости объекта КИИ;

3) перечень нормативных правовых актов и стандартов кибербезопасности, которым должен соответствовать объект КИИ;

4) требования к организационным и техническим мерам, принимаемым для обеспечения кибербезопасности объекта КИИ.

10. Целью обеспечения кибербезопасности объекта КИИ является обеспечение его устойчивого функционирования в условиях воздействия кибератак и киберинцидентов.
11. Задачами обеспечения кибербезопасности объекта КИИ являются:

1) предотвращение неправомерного доступа к информации, обрабатываемой (передаваемой, хранимой) объектом КИИ, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

2) недопущение воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование объекта КИИ;

3) обеспечение функционирования объекта КИИ в условиях воздействия киберугроз;

4) обеспечение возможности восстановления функционирования объекта КИИ.

12. В объекте КИИ защите от киберугроз подлежат:

- обрабатываемая (передаваемая, хранимая) информация, информация о параметрах управляемого объекта или процесса, а также иная критически важная информация;

- программные и программно-аппаратные средства, телекоммуникационное оборудование;

- средства защиты информации;

- архитектура и конфигурация объекта КИИ.

Глава 4. Разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ

13. Разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ осуществляется субъектом КИИ при создании (модернизации) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ в соответствии с техническими заданиями.

Технические задания на создание (модернизацию) объекта КИИ и подсистемы кибербезопасности объекта КИИ должны включать:

1) разработку модели киберугроз;

2) проектирование подсистемы кибербезопасности объекта КИИ;

3) разработку эксплуатационной документации на объект КИИ (в части обеспечения его кибербезопасности).

При разработке организационных и технических мер по обеспечению кибербезопасности объекта КИИ учитывается его информационное взаимодействие с иными объектами КИИ.

14. Субъект КИИ может привлекать организации (лицо) для разработки, внедрения, модернизации, эксплуатации, обеспечения функционирования и вывода из эксплуатации объектов КИИ и подсистемы кибербезопасности объектов КИИ в соответствии с законодательством Кыргызской Республики исключительно по согласованию с уполномоченным государственным органом в сфере обеспечения кибербезопасности.
15. Целью разработки модели киберугроз является определение возможных способов и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов объекта КИИ, взаимодействия с иными объектами КИИ (далее - архитектура объекта КИИ), а также особенностей функционирования объекта КИИ.

В качестве исходных данных для модели киберугроз используются собственные аналитические данные субъекта КИИ, различные источники данных о киберугрозах, в том числе единая база киберугроз.

По результатам разработки модели киберугроз подразделением и/или офицером кибербезопасности, а также организацией (лицом), привлеченным в соответствии с пунктом 14 настоящих Требований, могут быть разработаны рекомендации по корректировке архитектуры объекта КИИ и организационно-распорядительных документов по кибербезопасности объекта КИИ.

Модель киберугроз должна содержать краткое описание архитектуры объекта КИИ, модель нарушителя и описание всех киберугроз, актуальных для объекта КИИ.

Описание каждой киберугрозы должно включать:

1) источник киберугрозы;

2) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) киберугрозы;

3) возможные способы (сценарии) реализации киберугрозы;

4) возможные последствия от реализации (возникновения) киберугрозы.

Модель киберугроз может разрабатываться для нескольких объектов КИИ, имеющих одинаковые цели создания и архитектуру.

16. Проектирование подсистемы кибербезопасности объекта КИИ должно осуществляться в соответствии с техническими заданиями на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ с учетом модели киберугроз и категории значимости объекта КИИ.

При проектировании подсистемы кибербезопасности объекта КИИ:

1) определяются субъекты доступа и объекты доступа;

2) определяются политики управления доступом;

3) определяются организационные и технические меры, подлежащие реализации в рамках подсистемы кибербезопасности объекта КИИ;

4) осуществляется выбор средств защиты информации с учетом базового состава мер по обеспечению кибербезопасности объектов КИИ соответствующей категории значимости, изложенного в приложении к настоящим Требованиям;

5) разрабатывается архитектура подсистемы кибербезопасности объекта КИИ, включающая состав, места установки, взаимосвязи средств защиты информации, способы подключения к объекту КИИ;

6) определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению кибербезопасности, блокирование (нейтрализацию) киберугроз и устранение уязвимостей объекта КИИ;

7) определяются меры по обеспечению кибербезопасности при взаимодействии объекта КИИ с иными объектами КИИ.

Результаты проектирования подсистемы кибербезопасности объекта КИИ отражаются в проектной документации объекта КИИ (подсистемы кибербезопасности объекта КИИ), разрабатываемой в соответствии с техническими заданиями на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ.

В процессе проектирования объекта КИИ категория его значимости должна определяться в порядке, установленном Кабинетом Министров Кыргызской Республики.

В целях тестирования подсистемы кибербезопасности объекта КИИ в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:

- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами объекта КИИ;

- практическую отработку выполнения средствами защиты информации функций кибербезопасности;

- исключение или минимизацию влияния подсистемы кибербезопасности на функционирование объекта КИИ.

Макетирование подсистемы кибербезопасности объекта КИИ и ее тестирование может проводиться с использованием средств и методов моделирования, а также технологий виртуализации.

17. Разработка эксплуатационной документации объекта КИИ осуществляется в соответствии с техническими заданиями на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ на основе проектной документации.

Эксплуатационная документация объекта КИИ должна содержать:

- описание архитектуры подсистемы кибербезопасности объекта КИИ;

- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

Глава 5. Внедрение организационных и технических мер по обеспечению кибербезопасности объекта КИИ и его ввод в эксплуатацию

18. Внедрение организационных и технических мер по обеспечению кибербезопасности объекта КИИ организуется субъектом КИИ в соответствии с проектной и эксплуатационной документацией на объект КИИ и включает:

1) установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств, а также настройку операционной системы;

2) разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения кибербезопасности объекта КИИ;

3) внедрение организационных мер по обеспечению кибербезопасности объекта КИИ;

4) предварительные испытания объекта КИИ и его подсистемы кибербезопасности;

5) опытную эксплуатацию объекта КИИ и его подсистемы кибербезопасности;

6) анализ уязвимостей объекта КИИ и принятие мер по их устранению;

7) приемочные испытания объекта КИИ и его подсистемы кибербезопасности;

8) включение защитных механизмов при разработке программного обеспечения, как составной части безопасной архитектуры.

По решению субъекта КИИ к разработке и внедрению организационных и технических мер по обеспечению кибербезопасности объекта КИИ может привлекаться лицо, эксплуатирующее (планирующее эксплуатировать) объект КИИ.

19. Установка и настройка средств защиты информации должна проводиться в соответствии с проектной и эксплуатационной документацией объекта КИИ, а также эксплуатационной и технической документацией средств защиты информации.

При установке и настройке средств защиты информации должно быть обеспечено выполнение ограничений на эксплуатацию таких средств защиты информации в случае их наличия в эксплуатационной документации.

20. Разрабатываемые организационно-распорядительные документы по кибербезопасности объекта КИИ должны определять правила и процедуры реализации организационных и (или) технических мер (политик безопасности), разработанных и внедренных в рамках подсистемы кибербезопасности объекта КИИ.

Организационно-распорядительные документы по кибербезопасности объекта КИИ должны устанавливать правила безопасной работы работников, эксплуатирующих объекты КИИ, обеспечивающих функционирование объектов КИИ, а также действия при возникновении нештатных ситуаций.

Состав и формы организационно-распорядительных документов по кибербезопасности объектов КИИ определяются субъектом КИИ с учетом особенностей его деятельности.

21. При внедрении организационных мер по обеспечению кибербезопасности объекта КИИ осуществляются:

1) организация контроля физического доступа к программно-аппаратным средствам объекта КИИ и его линиям связи;

2) реализация правил разграничения доступа, регламентирующих права доступа, введение ограничений на действия пользователей, а также изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств;

3) проверка полноты и детальности описания в организационно-распорядительных документах по кибербезопасности объектов КИИ действий пользователей и администраторов объекта КИИ по реализации организационных мер;

4) создание или определение подразделения и/или офицера кибербезопасности субъекта КИИ;

5) отработка действий пользователей и администраторов объекта КИИ по реализации мер кибербезопасности объекта КИИ.

22. Предварительные испытания объекта КИИ и/или его подсистемы кибербезопасности должны включать проверку работоспособности подсистемы кибербезопасности объекта КИИ и средств защиты информации, оценку влияния подсистемы кибербезопасности на функционирование объекта КИИ в соответствии с проектной документацией, а также принятие решения о возможности опытной эксплуатации объекта КИИ и его подсистемы кибербезопасности.
23. Опытная эксплуатация объекта КИИ и/или его подсистемы кибербезопасности должна включать проверку функционирования подсистемы кибербезопасности объекта КИИ, в том числе реализованных организационных и технических мер, а также знаний и умений пользователей и администраторов, необходимых для эксплуатации объекта КИИ и его подсистемы безопасности. По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний объекта КИИ и его подсистемы кибербезопасности.
24. Анализ уязвимостей объекта КИИ проводится в целях выявления недостатков (слабостей) в подсистеме кибербезопасности объекта КИИ и оценки возможности их использования для реализации киберугроз. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры объекта КИИ.

Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, объекта КИИ.

При проведении анализа уязвимостей применяются следующие способы их выявления:

1) анализ проектной, эксплуатационной документации и организационно-распорядительных документов по кибербезопасности объекта КИИ;

2) анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, объекта КИИ;

3) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;

4) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;

5) выявление уязвимостей в исходном коде программных и программно-аппаратных средств, в том числе средств защиты информации, с применением автоматизированных систем статического и динамического анализа исходного кода и его компонентов;

6) тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели киберугроз.

Применение способов и средств выявления уязвимостей осуществляется субъектом КИИ с учетом особенностей функционирования объекта КИИ.

Допускается проведение анализа уязвимостей на макете (в тестовой зоне) объекта КИИ или макетах отдельных сегментов объекта КИИ.

Анализ уязвимостей объекта КИИ проводится до его ввода в эксплуатацию на этапах, определяемых субъектом КИИ.

В случае выявления уязвимостей объекта КИИ, которые могут быть использованы для реализации (способствовать возникновению) киберугроз, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей.

25. В ходе приемочных испытаний объекта КИИ и (или) его подсистемы кибербезопасности должен быть проведен анализ результатов предварительных испытаний, опытной эксплуатации и анализа уязвимостей объекта КИИ и его подсистемы кибербезопасности на соответствие настоящим Требованиям, а также требованиям технических заданий на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ.

В качестве исходных данных при приемочных испытаниях используются модель киберугроз, результаты (акт) категорирования, технические задания на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ, проектная и эксплуатационная документация объекта КИИ, организационно-распорядительные документы по кибербезопасности объектов КИИ, результаты анализа уязвимостей объекта КИИ, материалы предварительных испытаний и опытной эксплуатации, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов субъекта КИИ.

Результаты приемочных испытаний объекта КИИ и его подсистемы кибербезопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки в эксплуатацию объекта КИИ.

Ввод в эксплуатацию объекта КИИ и его подсистемы кибербезопасности осуществляется при положительном заключении (выводе) в акте приемки в эксплуатацию объекта КИИ.

Глава 6. Обеспечение кибербезопасности объекта КИИ при эксплуатации

26. Обеспечение кибербезопасности при эксплуатации объекта КИИ осуществляется субъектом КИИ в соответствии с эксплуатационной документацией и организационно-распорядительными документами по кибербезопасности объекта КИИ и должно включать реализацию следующих мероприятий:

1) планирование мероприятий по обеспечению кибербезопасности объекта КИИ;

2) анализ киберугроз объекту КИИ;

3) управление (администрирование) подсистемой кибербезопасности объекта КИИ;

4) управление конфигурацией объекта КИИ и его подсистемой безопасности;

5) мониторинг и реагирование на киберинциденты в ходе эксплуатации объекта КИИ;

6) обеспечение действий в нештатных ситуациях при эксплуатации объекта КИИ;

7) информирование и обучение персонала объекта КИИ;

8) контроль за обеспечением кибербезопасности объекта КИИ.

27. В ходе планирования мероприятий по обеспечению кибербезопасности объекта КИИ осуществляются:

1) определение лиц, ответственных за планирование и контроль мероприятий;

2) разработка, утверждение и актуализация плана мероприятий;

3) определения порядка контроля выполнения плана мероприятий.

Планирование мероприятий по обеспечению кибербезопасности объекта КИИ должно осуществляться в рамках процесса планирования, внедренного в соответствии с требованиями к созданию систем кибербезопасности объектов КИИ и обеспечению их функционирования.

28. В ходе анализа киберугроз в объекте КИИ и возможных последствий их реализации осуществляются:

1) анализ уязвимостей объекта КИИ, возникающих при его эксплуатации;

2) анализ изменения киберугроз в объекте КИИ, возникающих при его эксплуатации.

Периодичность проведения указанных работ определяется субъектом КИИ в организационно-распорядительных документах по кибербезопасности объектов КИИ, но не реже одного раза в год.

29. В ходе управления (администрирования) подсистемой кибербезопасности объекта КИИ осуществляются:

1) определение лиц, ответственных за управление (администрирование) подсистемой кибербезопасности объекта КИИ;

2) управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа к объекту КИИ;

3) управление средствами защиты информации объекта КИИ;

4) управление уязвимостями объекта КИИ;

5) управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования объекта КИИ;

6) централизованное управление подсистемой кибербезопасности объекта КИИ (при необходимости);

7) мониторинг и регистрация киберинцидентов, а также их анализ в объекте КИИ;

8) сопровождение функционирования подсистемы кибербезопасности объекта КИИ при ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по кибербезопасности объекта КИИ.

30. Субъекты КИИ осуществляют мониторинг и реагирование на киберинциденты самостоятельно и/или получают/приобретают услуги государственного либо частного мониторинга и реагирования на киберинциденты в соответствии с законодательством в сфере обеспечения кибербезопасности.
31. В ходе управления конфигурацией объекта КИИ и его подсистемой кибербезопасности для целей обеспечения кибербезопасности осуществляются:

1) определение лиц, которым разрешены действия по внесению изменений в конфигурацию объекта КИИ и его подсистему кибербезопасности, и их полномочий;

2) определение компонентов объекта КИИ и его подсистемы кибербезопасности, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурации): программно-аппаратные, программные средства, включая средства защиты информации, и их настройки, программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;

3) управление изменениями объекта КИИ и его подсистемы безопасности: разработка параметров настройки, обеспечивающих кибербезопасность объекта КИИ, анализ потенциального воздействия планируемых изменений на обеспечение кибербезопасности объекта КИИ, санкционирование внесения изменений в объект КИИ и его подсистему безопасности, документирование действий по внесению изменений в объект КИИ и сохранение данных об изменениях конфигурации;

4) контроль действий по внесению изменений в объект КИИ и его подсистему кибербезопасности.

Реализованные процессы управления изменениями объекта КИИ и его подсистемы кибербезопасности должны охватывать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, объекта КИИ.

32. Для обеспечения действий в нештатных ситуациях при эксплуатации объекта КИИ осуществляются:

1) планирование мероприятий по обеспечению кибербезопасности объекта КИИ;

2) обучение и отработка действий персонала по обеспечению кибербезопасности объекта КИИ;

3) создание альтернативных мест хранения и обработки информации;

4) резервирование программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи;

5) обеспечение возможности восстановления объекта КИИ и (или) его компонентов;

6) определение порядка анализа возникших нештатных ситуаций и принятия мер по недопущению их повторного возникновения.

33. В ходе информирования и обучения персонала объекта КИИ осуществляются:

1) информирование персонала об киберугрозах, правилах безопасной эксплуатации объекта КИИ;

2) доведение до персонала требований по обеспечению кибербезопасности объектов КИИ, а также положений организационно-распорядительных документов по кибербезопасности объектов КИИ в части, их касающейся;

3) обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий с персоналом;

4) контроль осведомленности персонала об киберугрозах и уровня знаний персонала по вопросам обеспечения кибербезопасности КИИ.

Периодичность проведения указанных работ определяется субъектом КИИ в организационно-распорядительных документах по кибербезопасности объектов КИИ.

34. В ходе контроля за обеспечением кибербезопасности объекта КИИ субъектом КИИ осуществляются:

1) контроль (анализ) защищенности объекта КИИ с учетом особенностей его функционирования;

2) анализ и оценка функционирования объекта КИИ и его подсистемы кибербезопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы кибербезопасности объекта КИИ;

3) документирование процедур и результатов контроля;

4) принятие решения по результатам контроля о необходимости доработки (модернизации) его подсистемы кибербезопасности.

Глава 7. Обеспечение кибербезопасности объекта КИИ при выводе из эксплуатации

35. Обеспечение кибербезопасности объекта КИИ при выводе из эксплуатации или после принятия решения об окончании обработки информации осуществляется субъектом КИИ в соответствии с эксплуатационной документацией объекта КИИ и организационно-распорядительными документами по кибербезопасности объекта КИИ.

Обеспечение кибербезопасности объекта КИИ при выводе из эксплуатации должно предусматривать:

1) архивирование информации, содержащейся в объекте КИИ;

2) уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) их уничтожение;

3) уничтожение или архивирование данных об архитектуре и конфигурации объекта КИИ;

4) архивирование эксплуатационной документации объекта КИИ и его подсистемы кибербезопасности и организационно-распорядительных документов по кибербезопасности объекта КИИ.

36. Архивирование информации, содержащейся в объекте КИИ, должно осуществляться в случае ее дальнейшего использования в деятельности субъекта КИИ.
37. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации осуществляется в случае обработки объектом КИИ информации, подлежащей защите в соответствии с законодательством Кыргызской Республики, или в случае принятия такого решения субъектом КИИ.

Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости их передачи другому пользователю объекта КИИ или в иные организации для ремонта, технического обслуживания или дальнейшего уничтожения.

При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, производится или их физическое уничтожение, или гарантированное уничтожение содержащейся на машинных носителях информации.

Уничтожение (стирание) данных и остаточной информации с машинных носителей информации, а также самих машинных носителей информации подлежит документированию.

38. При выводе объекта КИИ из эксплуатации должен быть осуществлен сброс настроек программных и программно-аппаратных средств, в том числе средств защиты информации, удалена информация о субъектах и объектах доступа, учетные записи пользователей, а также идентификационная и аутентификационная информация субъектов доступа.
39. При выводе объекта КИИ из эксплуатации вся эксплуатационная документация объекта КИИ и его подсистемы кибербезопасности, эксплуатационная документация на средства защиты информации подлежит архивному хранению в соответствии с законодательством в сфере архивного дела.

Глава 8. Требования к организационным и техническим мерам, принимаемым для обеспечения кибербезопасности объекта КИИ

40. Обеспечение кибербезопасности объекта КИИ достигается путем принятия в рамках подсистемы кибербезопасности объекта КИИ совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) киберугроз, реализация которых может привести к прекращению или нарушению функционирования объекта КИИ и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).
41. Меры по обеспечению кибербезопасности объекта КИИ реализуются субъектом КИИ самостоятельно в соответствии с пунктом 14 настоящих Требований.
42. В объекте КИИ в зависимости от их категории значимости и киберугроз должны быть реализованы следующие организационные и технические меры:

1) оценка, авторизация и мониторинг (AM);

2) оценка рисков кибербезопасности (ОР);

3) управление конфигурациями (УК);

4) управление рисками цепочки поставок (ЦП);

5) политики по кибербезопасности (ПЛ);

6) программы по кибербезопасности (ПР);

7) защита объектов КИИ и коммуникаций (КК);

8) идентификация и аутентификация (ИА);

9) контроль доступа (КД);

10) защита носителей информации (ЗН);

11) техническое обслуживание (ТО);

12) безопасность персонала (БП);

13) осведомленность и тренинги (ОТ);

14) целостность объектов КИИ и данных (ЦД);

15) физическая безопасность (ФБ);

16) ввод объектов КИИ и сервисов (ВС);

17) логирование (ЛО);

18) реагирование на киберинциденты (РК);

19) планирование на случай непредвиденных обстоятельств (НО).

Базовый состав мер по обеспечению кибербезопасности объектов КИИ в зависимости от соответствующей категории значимости приведен в приложении к настоящим Требованиям.

43. Выбор мер по обеспечению кибербезопасности объектов КИИ для их реализации включает:

1) определение базового набора мер по обеспечению кибербезопасности объекта КИИ;

2) адаптацию базового набора мер по обеспечению кибербезопасности объекта КИИ;

3) дополнение адаптированного набора мер по обеспечению кибербезопасности объекта КИИ мерами, установленными иными нормативными правовыми актами Кыргызской Республики.

Базовый набор мер по обеспечению кибербезопасности объекта КИИ определяется на основе установленной категории значимости объекта КИИ в соответствии с приложением к настоящим Требованиям.

Базовый набор мер по обеспечению кибербезопасности объекта КИИ подлежит адаптации в соответствии с киберугрозами, применяемыми информационными технологиями и особенностями функционирования объекта КИИ. При этом из базового набора могут быть исключены меры, непосредственно связанные с информационными технологиями, не используемыми в объекте КИИ, или характеристиками, не свойственными объекту КИИ.

При адаптации базового набора мер по обеспечению кибербезопасности объекта КИИ для каждой киберугрозы, включенной в модель киберугроз, сопоставляется мера или группа мер, обеспечивающих блокирование одной или нескольких киберугроз или снижающих возможность ее реализации исходя из условий функционирования объекта КИИ. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех киберугроз, в него дополнительно включаются меры, приведенные в приложении к настоящим Требованиям.

Дополнение адаптированного набора мер по обеспечению кибербезопасности объекта КИИ осуществляется с целью выполнения требований, установленных иными нормативными правовыми актами Кыргызской Республики.

44. В случае если объект КИИ осуществляет обработку персональных данных, меры по обеспечению кибербезопасности объекта КИИ и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости и установленными уровнями защищенности персональных данных.
45. Если принятые в объекте КИИ меры по обеспечению промышленной, функциональной и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных киберугроз, дополнительные меры могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению кибербезопасности объекта КИИ должна быть обоснована достаточность применения мер по обеспечению промышленной или физической безопасности для блокирования (нейтрализации) соответствующих киберугроз.
46. При отсутствии возможности реализации отдельных мер по обеспечению кибербезопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование объекта КИИ в соответствии с проектной документацией объекта КИИ, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) киберугроз с необходимым уровнем защищенности объекта КИИ. При этом в ходе разработки организационных и технических мер по обеспечению кибербезопасности объекта КИИ должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) киберугроз.

В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению аппаратной, программной, промышленной, функциональной и (или) физической безопасности объекта КИИ, поддерживающие необходимый уровень его защищенности.

47. Для обеспечения кибербезопасности объектов КИИ должны применяться сертифицированные средства защиты информации.
48. Применяемые в объекте КИИ программные и программно-аппаратные средства, в том числе средства защиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, эксплуатационной и иной технической документацией.
49. Применяемые в объекте КИИ программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и технической поддержкой.

В объекте КИИ не допускается:

- наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ, за исключением случаев, при которых осуществляется использование промежуточных систем, фиксирующих метаданные подключения, действия пользователя (видеозапись сессий), а также обеспечивающих криптографическую защиту подключения, функционал по предотвращению утечки данных и авторизацию лиц, использующих промежуточные системы для получения удаленного доступа;

- наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ, за исключением случаев, при которых осуществляется использование промежуточных систем, фиксирующих метаданные подключения, действия пользователя (видеозапись сессий), а также обеспечивающих криптографическую защиту подключения, функционал по предотвращению утечки данных и авторизацию лиц, использующих промежуточные системы для получения локального доступа;

- передача информации разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта КИИ.

Входящие в состав объектов КИИ программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Кыргызской Республики (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта КИИ (филиалах, представительствах), а также случаев, установленных законодательством Кыргызской Республики и (или) международными договорами, вступившими в силу в установленном законом порядке).

50. При использовании в объектах КИИ новых информационных технологий и выявлении дополнительных киберугроз, для которых не определены меры по обеспечению кибербезопасности, должны разрабатываться компенсирующие меры.

Глава 9. Ответственность за нарушение настоящих Требований

51. Нарушение настоящих Требований влечет за собой ответственность в соответствии с законодательством Кыргызской Республики.

Приложение к Требованиям к обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики

Базовый состав мер по обеспечению кибербезопасности объектов КИИ соответствующей категории значимости

Обозначение и номер меры	Меры обеспечения кибербезопасности объектов КИИ	Категория значимости			Срок выполнения (1-3 года)
		3	2	1
1. Оценка, авторизация и мониторинг (AM)
АМ-1	Оценка настоящих мер в объектах КИИ и их операционной среде с определенной периодичностью для определения степени, в которой настоящие меры внедрены правильно, работают по назначению и дают желаемый результат в отношении выполнения установленных требований кибербезопасности	+	+	+	1
АМ-2	Управление обменом информацией между объектами КИИ и внешними объектами информационной инфраструктуры с использованием соглашения о безопасности обмена информацией. Документирование характеристик подключения, требований по обеспечению кибербезопасности, настоящих мер и ответственности для каждого объекта информационной инфраструктуры, включая КИИ, а также возможное воздействие на объекты КИИ передаваемой информацией	+	+	+	2
AM-3	Назначение в субъекте КИИ ответственного сотрудника за объекты КИИ, в компетенцию которого входит дача разрешения на применение настоящих мер перед введением объектов КИИ в эксплуатацию и разрешение на их эксплуатацию	+	+	+	2
AM-4	Проведение тестирования проникновения в объекты КИИ	+	+	+	1
AM-5	Отслеживание и контроль соединения между объектами КИИ и их составными компонентами в соответствии с установленными правилами и протоколами соединения, периодический пересмотр необходимости каждого внутреннего соединения	+	+	+	2
AM-6	Проведение внутренних аудитов	+	+	+	1
2. Оценка рисков кибербезопасности (OP)
OP-1	Инвентаризация активов (объектов информационной инфраструктуры, включая КИИ, и информации, которую они обрабатывают, хранят и передают)	+	+	+	1
OP-2	Осуществление категоризации активов (объектов информационной инфраструктуры, включая КИИ, и информации, которую они обрабатывают, хранят и передают) на предмет критичности для кибербезопасности	+	+	+	2
OP-3	Проведение оценки рисков кибербезопасности, включая определение вероятности и величины ущерба от реализации риска кибербезопасности	+	+	+	2
OP-4	Оценка рисков кибербезопасности третьих сторон, связанных с объектами КИИ, их компонентами и сервисами, которые поставляются внешними организациями или лицами (не работниками)		+	+	2
OP-5	Управление уязвимостями, их анализ и устранение	+	+	+	2
3. Управление конфигурациями (УК)
УК-1	Разработка, документирование и поддержание текущей базовой конфигурации объектов КИИ	+	+	+	2
УК-2	Рассмотрение предлагаемых изменений конфигурации объектов КИИ и утверждение таких изменений, сохранение записей о контролируемых изменениях конфигурации, а также отслеживание и анализ деятельности, связанной с изменениями конфигурации объектов КИИ	+	+	+	2
УК-3	Анализ изменений в объектах КИИ для определения потенциального влияния на кибербезопасность до внедрения этих изменений		+	+	2
УК-4	Определение, документирование, подтверждение и обеспечение соблюдения физических и логических ограничений доступа, связанных с изменениями в объектах КИИ	+	+	+	2
УК-5	Отслеживание и контроль изменений параметров конфигурации в соответствии с политикой и процедурами субъекта КИИ		+	+	2
УК-6	Настройка объектов информационной инфраструктуры субъекта КИИ в целях обеспечения безопасности объектов КИИ, необходимых для поддержания деятельности объектов КИИ: запрет или ограничения использования функций, портов, протоколов, программного обеспечения и/или сервисов, которые не связаны с поддержанием деятельности объектов КИИ	+	+	+	1
УК-7	Проверка объектов КИИ с определенной субъектом КИИ периодичностью для выявления ненужных и/или небезопасных функций, портов, протоколов, программного обеспечения и сервисов	+	+	+	2
УК-8	Разработка и документирование перечня компонентов объектов КИИ	+	+	+	2
УК-9	Использование программного обеспечения и сопутствующей документации в соответствии с договорами (соглашениями) и законодательством об авторском праве, контроль использования лицензий программного обеспечения и сопутствующей документации для их защиты от неправомерных действий	+	+	+	1
УК-10	Определение разрешенных и запрещенных действий в отношении установки программного обеспечения пользователями, в частности, белый/черный списки программного обеспечения	+	+	+	1
4. Управление рисками цепочки поставок (ЦП)
ЦП-1	Разработка плана управления рисками цепочки поставок, связанными с разработкой, проектированием, приобретением, поставкой, интеграцией, эксплуатацией и обслуживанием объектов КИИ		+	+	2
ЦП-2	Наладка процессов для выявления и устранения слабых мест или недостатков в элементах цепочки поставок совместно с подразделениями субъекта КИИ, ответственными за управление цепочкой поставок	+	+	+	2
ЦП-3	Проведение оценки и анализа рисков, связанных с цепочкой поставок, соответствующих поставщиков и объектов информационной инфраструктуры включая КИИ, их компонентов или сервисов, которые они предоставляют	+	+	+	2
ЦП-4	Утверждение соглашений и процедур с организациями, участвующими в цепочке поставок объектов информационной инфраструктуры, включая КИИ, их компонентов или сервисов для уведомления о возможной компрометации цепочки поставок и предоставления результатов проводимых оценок и аудитов	+	+	+	1
ЦП-5	Требование от поставщиков соблюдения политики и процедур по обеспечению кибербезопасности для персонала, установленных субъектом КИИ		+	+	1
ЦП-6	Документирование требований по обеспечению кибербезопасности для поставщиков		+	+	1
ЦП-7	Требование от поставщиков уведомления ответственных сотрудников субъекта КИИ о любых кадровых переводах или увольнениях внешнего персонала, обладающего учетными записями и/или пропусками субъекта КИИ или имеющего системные привилегии в течение определенного субъектом КИИ периода времени		+	+	2
ЦП-8	Контроль за соблюдением поставщиками требований по обеспечению кибербезопасности		+	+	3
ЦП-9	Пересмотр и обновление плана управления рисками цепочки поставок с определенной периодичностью или по мере необходимости для учета киберугроз, организационных или внешних изменений		+	+	3
ЦП-10	Защита плана управления рисками цепочки поставок от несанкционированного раскрытия и модификации			+	2
ЦП-11	Документирование выбранных и внедренных процессов и настоящих мер в рамках цепочки поставок в плане по управлению рисками цепочки поставок			+	2
5. Политики по кибербезопасности (ПЛ)
ПЛ-1	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур обеспечения кибербезопасности, а также их реализацию	+	+	+	1
ПЛ-2	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур контроля доступа, идентификации и аутентификации, а также их реализацию	+	+	+	1
ПЛ-3	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур повышения осведомленности и обучения в области кибербезопасности, а также их реализацию	+	+	+	1
ПЛ-4	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур управления конфигурациями, а также их реализацию	+	+	+	1
ПЛ-5	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур управления киберинцидентами, а также их реализацию	+	+	+	1
ПЛ-6	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур защиты носителей информации, а также их реализацию	+	+	+	1
ПЛ-7	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики, методики и процедур управления рисками кибербезопасности, а также их реализацию	+	+	+	1
ПЛ-8	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур мониторинга и логирования, а также их реализацию	+	+	+	1
ПЛ-9	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур обеспечения физической безопасности, а также их реализацию	+	+	+	1
ПЛ-10	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур обновления объектов КИИ и их компонентов, а также их реализацию	+	+	+	1
ПЛ-11	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур действий в нештатных (непредвиденных) обстоятельствах, а также их реализацию	+	+	+	1
ПЛ-12	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур по вводу объектов КИИ и сервисов в эксплуатацию, а также их реализацию	+	+	+	1
ПЛ-13	Назначение ответственного лица за управление, разработку, документирование, анализ, обновление и распространение политики и процедур по внедрению и эксплуатации средств защиты информации (например, антивирусной защиты, использование межсетевых экранов и их конфигурация, стандартов конфигурации) а также их реализацию	+	+	+	1
ПЛ-14	Назначение ответственного лица за управление, разработку, документирование, планирование, анализ, обновление и распространение политики и процедур по проведению оценки настоящих мер, а также их реализацию	+	+	+	1
6. Программы по кибербезопасности (ПР)
ПР-1	Включение ресурсов, необходимых для реализации программы по обеспечению кибербезопасности, в планирование и запросы на выделение бюджета и документирование всех исключений из планов и запросов на выделение бюджета	+	+	+	1
ПР-2	Разработка, отслеживание и составление отчетности по показателям эффективности мер обеспечения кибербезопасности	+	+	+	1
7. Защита объектов КИИ и коммуникаций (КК)
КК-1	Отделение пользовательских функциональных возможностей, включая сервисы пользовательского интерфейса, от функциональных возможностей управления объектами КИИ		+	+	2
КК-2	Изолирование функций кибербезопасности от функций, не связанных с кибербезопасностью	+	+	+	2
КК-3	Внедрение механизмов защиты от атак типа "отказ в обслуживании", отслеживание и контроль аномальной сетевой активности			+	2
КК-4	Внедрение механизмов антивирусной защиты и отслеживания аномальной активности на конечных точках	+	+	+	1
КК-5	Внедрение механизмов определения и предотвращения вторжения	+	+	+	1
КК-6	Внедрение механизмов защиты веб- и мобильных приложений		+	+	1
КК-7	Внедрение системы/средства защиты информации для обмена информацией	+	+	+	2
КК-8	Внедрение обманных систем и обеспечение сбора информации с последующим анализом	+	+	+	2
КК-9	Обеспечение конфиденциальности и целостности информации, передаваемой по каналам связи: внедрение криптографических механизмов для предотвращения несанкционированного раскрытия информации и обнаружения изменений в информации во время передачи	+	+	+	1
КК-10	Определение и внедрение требований к управлению криптографическими ключами в системе: создание ключей, распределение ключей, хранение ключей, доступ к ключам, уничтожение ключей	+	+	+	1
КК-11	Определение и внедрение правил использования криптографических методов защиты информации в объектах КИИ	+	+	+	1
КК-12	Выпуск сертификатов открытых ключей в соответствии с политикой сертификации субъекта КИИ или получение сертификатов открытых ключей у доверенного поставщика, включение только доверенных сертификатов удостоверяющего центра в хранилища сертификатов, управляемые субъектом КИИ	+	+	+	1
КК-13	Защита конфиденциальности и целостности информации в состоянии покоя, внедрение криптографических механизмов для предотвращения несанкционированного раскрытия и модификации информации	+	+	+	1
КК-14	Поиск, получение обновлений программного обеспечения от доверенного источника	+	+	+	1
КК-15	Контроль целостности обновлений программного обеспечения	+	+	+	2
КК-16	Установка обновлений программного обеспечения	+	+	+	1
КК-17	Защита информации от утечки по техническим каналам		+	+	2
КК-18	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр		+	+	2
КК-19	Защита от внешних воздействий	+	+	+	2
КК-20	Маркирование аппаратных компонентов объектов КИИ (серверное и сетевое оборудование) относительно разрешенной к обработке информации	+	+	+	1
8. Идентификация и аутентификация (ИА)
ИА-1	Уникальная идентификация и аутентификация пользователей	+	+	+	2
ИА-2	Уникальная идентификация и аутентификация устройств (в том числе мобильных) перед установлением удаленного соединения			+	2
ИА-3	Управление идентификаторами (идентификация человека, роль, сервис, устройство)	+	+	+	2
ИА-4	Управление средствами аутентификации	+	+	+	2
ИА-5	Двусторонняя взаимная аутентификация систем и сервисов		+	+	1
ИА-6	Защита аутентификационной информации при передаче	+	+	+	1
ИА-7	Внедрение многофакторной аутентификации для доступа	+	+	+	1
ИА-8	Изменение предустановленных аутентификационных данных после первого использования	+	+	+	1
ИА-9	Изменение или обновление аутентификационных данных с определенной субъектом КИИ периодичностью или при их потере, компрометации	+	+	+	1
ИА-10	Защита аутентификационных данных от несанкционированного раскрытия и модификации	+	+	+	1
ИА-11	Проведение смены аутентификационных данных для учетных записей групп или ролей при изменении членства в этих учетных записях	+	+	+	1
ИА-12	Ведение списка обычно используемых, ожидаемых или скомпрометированных паролей, его обновление с определенной периодичностью, а также в случае подозрения, что пароли субъекта КИИ были скомпрометированы	+	+	+	1
ИА-13	Проверка создания или обновления паролей пользователями на предмет их наличия в списке обычно используемых, ожидаемых или скомпрометированных паролей, позволение пользователям осуществления выбора длинных паролей и парольных фраз, включая все печатные символы и обеспечение соблюдения правил к составу и сложности пароля	+	+	+	1
ИА-14	Передача паролей исключительно по криптографически защищенным каналам связи, хранение паролей с использованием криптостойких функций хэширования с механизмами, затрудняющими атаки с предвычислением	+	+	+	1
ИА-15	Сокрытие паролей при их вводе	+	+	+	1
ИА-16	Автоматическая блокировка учетной записи или доступа к конечному устройству, когда максимальное количество неудачных попыток превышено	+	+	+	1
ИА-17	Блокировка доступа пользователя к объекту КИИ после установленного периода бездействия или вручную выполненной блокировки устройства, сохранение блокировки до подтверждения доступа через процедуры идентификации и аутентификации	+	+	+	1
ИА-18	Требование изменения пароля при восстановлении учетной записи	+	+	+	1
ИА-19	Уникальная идентификация и аутентификация внешних пользователей или процессов, действующих от имени внешних пользователей			+	2
ИА-20	Осуществление безопасного хранения предустановленных (встроенных) учетных записей (оборудования, баз данных, операционных систем) с обеспечением разделения информации по паролям между несколькими сотрудниками (разделение пароля)	+	+	+	1
ИА-21	Обеспечение авторизованного доступа к соответствующему закрытому ключу и сопоставление аутентификационных данных с уникальной учетной записью пользователя или группы при аутентификации на основе открытого ключа	+	+	+	1
ИА-22	Проверка сертификатов путем построения и проверки пути сертификации к принятому доверенному издателю, включая проверку информации о статусе сертификата при использовании инфраструктуры открытых ключей (PKI)	+	+	+	1
9. Контроль доступа (КД)
КД-1	Управление учетными записями пользователей	+	+	+	1
КД-2	Определение и документирование типов учетных записей, разрешенных и запрещенных для использования в объектах КИИ	+	+	+	2
КД-3	Назначение уполномоченных сотрудников, ответственных за управление учетными записями	+	+	+	1
КД-4	Обозначение критериев для членства в группах и ролях	+	+	+	2
КД-5	Ведение перечня авторизованных пользователей объекта КИИ, определяющего членство в группах и ролях и дополнительные права доступа (привилегии)	+	+	+	2
КД-6	Требование подтверждения запросов на создание учетных записей от уполномоченных сотрудников субъекта КИИ	+	+	+	1
КД-7	Создание, включение, изменение и отключение учетных записей в соответствии с разработанными политикой и процедурами Удаление пользователей запрещено, за исключением ситуаций, подтвержденных актом руководителя субъекта КИИ	+	+	+	1
КД-8	Контроль использования учетных записей	+	+	+	1
КД-9	Сопоставление идентификационных данных пользователей с уникальными личностями, сбор, утверждение и проверка доказательств, подтверждающих личность	+	+	+	1
КД-10	Требование подтверждения личности пользователей, которым требуются учетные записи для логического доступа к объектам КИИ перед самим получением идентификатора и доступа	+	+	+	1
КД-11	Отключение доступа к объектам КИИ, блокировка учетных данных, отзыв выданных возможностей доступа при прекращении трудовой деятельности сотрудника	+	+	+	1
КД-12	Внесение изменений в разрешение на доступ по мере необходимости, в связи с назначением или переводом сотрудника	+	+	+	1
КД-13	Уведомление ответственных сотрудников субъекта КИИ о переводе или назначении сотрудника в течение определенного субъектом КИИ периода времени	+	+	+	1
КД-14	Согласование процессов управления учетными записями с процессами увольнения и перевода сотрудников	+	+	+	2
КД-15	Уведомление ответственных за управление учетными записями о необходимости изменения прав доступа или отключении учетных записей в случаях увольнения, изменения обязанностей сотрудников, отсутствия потребности в доступе либо изменения условий использования учетных записей	+	+	+	1
КД-16	Проверка учетных записей на соответствие требованиям управления учетными записями	+	+	+	1
КД-17	Организация и внедрение процесса изменения аутентификационных данных общих, сервисных или групповых учетных записей в случае удаления сотрудников из группы, увольнения сотрудника или по другим причинам, включая киберинцидент	+	+	+	1
КД-18	Произведение отключения учетной записи сразу после того, как учетная запись истекла, больше не связана с пользователем или лицом, нарушает политику организации, была неактивна в течение определенного субъектом КИИ периода времени	+	+	+	1
КД-19	Установка и внедрение административных процедур для передачи аутентификационных данных, потерянных, скомпрометированных аутентификационных данных	+	+	+	1
КД-20	Осуществление разделения обычных и привилегированных учетных записей	+	+	+	1
КД-21	Создание и администрирование учетных записей привилегированных пользователей в соответствии со схемой доступа на основе ролей или на основе атрибутов	+	+	+	1
КД-22	Контроль назначения привилегированных ролей или привилегированных атрибутов	+	+	+	1
КД-23	Отслеживание изменения ролей	+	+	+	1
КД-24	Отзыв доступа, в случае если назначение привилегированных ролей или атрибутов больше не является целесообразным	+	+	+	2
КД-25	Определение и документирование обязанностей сотрудников, требующих разделения, во избежание конфликта интересов	+	+	+	2
КД-26	Определение разрешений на доступ к объектам КИИ для обеспечения разделения обязанностей	+	+	+	1
КД-27	Применение принципа наименьших привилегий с разрешением пользователям (или процессам, действующим от имени пользователей) только тех авторизованных доступов, которые необходимы для выполнения поставленных задач	+	+	+	2
КД-28	Введение ограничения на определенное организацией количество последовательных недействительных попыток входа пользователя в систему в течение определенного субъектом КИИ периода времени	+	+	+	1
КД-29	Определение действий, которые могут выполняться в объектах КИИ без идентификации или аутентификации в соответствии с деятельностью субъекта КИИ	+	+	+	3
КД-30	Документирование и предоставление обоснования в плане по обеспечению безопасности объекта КИИ, действия пользователей, не требующих идентификации или аутентификации			+	3
КД-31	Установление и документирование ограничений на использование требований по настройке и подключению удаленного доступа, а также руководства по его внедрению	+	+	+	2
КД-32	Реализация криптографических механизмов для защиты конфиденциальности и целостности сеансов удаленного доступа	+	+	+	1
КД-33	Направление сессии удаленного доступа через авторизованные и управляемые точки контроля доступа в сети	+	+	+	2
КД-34	Установление требований к настройке и подключению беспроводного доступа, а также требований к руководству по его внедрению	+	+	+	1
КД-35	Обеспечение защиты беспроводного доступа к объектам КИИ с использованием механизмов аутентификации и шифрования	+	+	+	1
КД-36	Установление требований к настройке и подключению мобильных устройств, контролируемых субъектом КИИ, а также требований к руководству по их внедрению, в том числе когда такие устройства находятся за пределами контролируемой субъектом КИИ зоны	+	+	+	2
КД-37	Осуществление авторизации подключений мобильных устройств к объектам КИИ	+	+	+	2
КД-38	Определение условий и положений доверительных отношений с внешними организациями с разрешением уполномоченным лицам получать доступ к объектам КИИ, а также обрабатывать, хранить или передавать информацию через внешние объекты информационной инфраструктуры	+	+	+	1
КД-39	Назначение ответственных лиц, имеющих право обеспечивать доступность информации для общего пользования	+	+	+	2
КД-40	Обучение уполномоченных лиц навыками отбора информации, не включающей сведения с ограниченным доступом	+	+	+	2
КД-41	Проверка предлагаемой информации перед размещением в общедоступных объектах информационной инфраструктуры, включая КИИ, во избежание включения в нее информации с ограниченным доступом	+	+	+	3
КД-42	Проверка содержимого общедоступных объектов информационной инфраструктуры, включая КИИ, на наличие информации с ограниченным доступом с определенной субъектом КИИ периодичностью и ее удаление в случае обнаружения	+	+	+	3
КД-43	Установление и предоставление правил, описывающих обязанности и ожидаемое поведение лиц, которым требуется доступ к информации и объектам  КИИ в отношении их использования, а также получение от таких лиц документального подтверждения ознакомления и согласия на соблюдение указанных правил до предоставления доступа к информации и объектам КИИ	+	+	+	1
КД-44	Пересмотр и обновление с определенной субъектом КИИ периодичностью правил, описывающих обязанности и ожидаемое поведение в отношении использования информации и объектов КИИ лиц, которым требуется доступ к ним, а также получение от таких лиц документального подтверждения ознакомления и согласия соблюдения обновленных правил поведения	+	+	+	3
КД-45	Включение в правила поведения ограничения на использование социальных сетей, мессенджеров и внешних сайтов, размещение информации о субъекте КИИ в сети Интернет, а также использование организационных идентификаторов (например, электронной почты) и данных аутентификации (например, пароли) для регистрации на внешних ресурсах	+	+	+	1
КД-46	Предупреждение пользователя об условиях конфиденциальности и правилах поведения при доступе к объектам КИИ	+	+	+	2
КД-47	Оповещение пользователя при успешном входе о предыдущем доступе к объекту КИИ	+	+	+	2
КД-48	Ограничение числа одновременных сеансов доступа к одному объекту КИИ			+	2
10. Защита носителей информации (ЗН)
ЗН-1	Предоставление доступа к носителям информации только определенному субъектом КИИ кругу лиц	+	+	+	1
ЗН-2	Маркировка носителей с указанием ограничений на распространение, предостережений по обращению и применимой маркировки безопасности информации	+	+	+	1
ЗН-3	Физический контроль, защита и надежное хранение носителей информации в пределах контролируемой субъектом КИИ зоны до тех пор, пока носители не будут уничтожены или информация не будет стерта с использованием утвержденного оборудования, методов и процедур	+	+	+	2
ЗН-4	Защита и контроль носителей информации во время транспортировки за пределы контролируемой субъектом КИИ зоны, включая подотчетность носителей информации во время транспортировки и документирования действий, связанных с транспортировкой	+	+	+	2
ЗН-5	Стирание информации с носителей перед их утилизацией, выводом из-под контроля субъекта КИИ или передачей для повторного использования с применением утвержденных технических средств, методов и процедур, обеспечивающих надежность, соразмерную категории безопасности или классификации информации	+	+	+	2
ЗН-6	Определение и документирование правил использования и доступа к носителям информации, включая запрет на использование отчуждаемых носителей информации (например, flash-накопитель, CD/DVD-диски, внешние накопители и т.д.), если у таких устройств нет определяемого владельца и маркировки и/или указанные устройства не состоят на учете субъекта КИИ	+	+	+	2
ЗН-7	Управление физическим доступом к машинным носителям информации	+	+	+	1
ЗН-8	Исключение возможности несанкционированного чтения информации на машинных носителях информации	+	+	+	1
ЗН-9	Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации	+	+	+	1
ЗН-10	Контроль ввода (вывода) информации на съемные машинные носители информации	+	+	+	2
11. Техническое обслуживание (ТО)
ТО-1	Составление графика, документирование и просмотр записей по техническому обслуживанию, ремонту и замене компонентов объектов КИИ в соответствии со спецификациями производителя или поставщика и/или требованиями субъекта КИИ			+	1
ТО-2	Требование от уполномоченных сотрудников субъекта КИИ подтверждения изъятия объектов КИИ или их компонентов для технического обслуживания, ремонта или замены за пределами субъекта КИИ	+	+	+	1
ТО-3	Подтверждение, контроль и отслеживание использования инструментов для обслуживания объектов КИИ, а также пересмотр ранее утвержденных инструментов для обслуживания объектов КИИ с определенной субъектом КИИ периодичностью	+	+	+	1
ТО-4	Подтверждение использования удаленных средств обслуживания и диагностики только в соответствии с политикой субъекта КИИ, ведение записей об удаленном обслуживании и диагностике	+	+	+	1
ТО-5	Внедрение процесса авторизации персонала по техническому обслуживанию и ведение списка авторизованных организаций или персонала по техническому обслуживанию, а также осуществление проверок на предмет наличия необходимого разрешения на доступ у персонала, выполняющего техническое обслуживание объектов КИИ без сопровождения	+	+	+	1
ТО-6	Назначение сотрудников субъекта КИИ с требуемыми полномочиями доступа и техническими компетенциями для надзора за деятельностью по обслуживанию	+	+	+	1
12. Безопасность персонала (БП)
БП-1	Осуществление внутренней проверки биографических сведений сотрудника перед предоставлением доступа к объектам КИИ	+	+	+	2
БП-2	Сохранение доступа субъекта КИИ к ранее контролируемой сотрудником информации и проведение собеседования по вопросам конфиденциальности при прекращении трудовой деятельности сотрудника	+	+	+	1
БП-3	Проведение анализа и подтверждения необходимости существующих разрешений на логический и физический доступ к объектам КИИ при переназначении или переводе сотрудника на другую должность в субъекте КИИ	+	+	+	1
БП-4	Установление требований по обеспечению кибербезопасности для персонала, включая роли и обязанности по обеспечению кибербезопасности для поставщиков	+	+	+	1
БП-5	Включение ролей и обязанностей по обеспечению кибербезопасности в описание всех должностей в субъекте КИИ	+	+	+	2
БП-6	Разработка и документирование соглашений о доступе к объектам КИИ в субъекте КИИ	+	+	+	1
БП-7	Пересмотр и обновление соглашений о доступе к объектам КИИ с определенной субъектом КИИ периодичностью	+	+	+	1
БП-8	Проверка лиц, которым требуется доступ к информации и объектам КИИ, на предмет подписания соглашений о доступе к объектам КИИ перед его предоставлением или повторным подписанием в случае обновления соглашений о доступе к объектам КИИ в установленные субъектом КИИ сроки	+	+	+	2
БП-9	Применение санкционных мер в рамках законодательства к сотрудникам, не соблюдающим установленные субъектом КИИ политики и процедуры кибербезопасности	+	+	+	1
БП-10	Уведомление ответственных сотрудников субъекта КИИ в течение определенного субъектом КИИ периода времени о применении санкционных мер к сотрудникам с указанием конкретных лиц и причин их применения	+	+	+	1
13. Осведомленность и тренинги (ОТ)
ОТ-1	Проведение обучения пользователей объектов КИИ (включая руководителей подразделений и руководства субъекта КИИ) по повышению грамотности и осведомленности в вопросах кибербезопасности в рамках первоначального обучения новых пользователей и с определенной периодичностью в дальнейшем	+	+	+	1
ОТ-2	Обновление содержания материалов по повышению грамотности и осведомленности в вопросах кибербезопасности с определенной субъектом КИИ периодичностью и в связи с изменениями в объектах КИИ и/или процессах субъекта КИИ	+	+	+	3
ОТ-3	Включение уроков, извлеченных из внутренних или внешних киберинцидентов, в методы повышения грамотности и осведомленности в вопросах кибербезопасности	+	+	+	2
ОТ-4	Проведение обучения с учетом конкретных ролей в части обеспечения кибербезопасности для сотрудников перед разрешением доступа к объектам КИИ, информации или выполнением назначенных обязанностей с определенной субъектом КИИ периодичностью	+	+	+	1
ОТ-5	Документирование и отслеживание деятельности по обучению в области кибербезопасности, включая обучение по повышению осведомленности и обучение с учетом конкретных ролей	+	+	+	1
ОТ-6	Проведение практических занятий с персоналом по правилам безопасной работы в объектах КИИ		+	+	2
ОТ-7	Контроль осведомленности персонала о киберугрозах и правилах безопасной работы	+	+	+	1
ОТ-8	Хранение записей о проведенном обучении в течение определенного субъектом КИИ периода времени	+	+	+	1
14. Целостность объектов КИИ и данных (ЦД)
ЦД-1	Контроль целостности программного обеспечения	+	+	+	2
ЦД-2	Контроль целостности информации	+	+	+	2
ЦД-3	Выявление, информирование и исправление недостатков объектов КИИ, проведение тестирования обновлений программного обеспечения для устранения недостатков на эффективность и возможные побочные эффекты перед установкой, установление обновлений, связанных с кибербезопасностью, сразу после их выпуска	+	+	+	2
ЦД-4	Внедрение механизмов защиты от вредоносного кода на конечных точках объектов КИИ и уровне контроля сетевого и почтового трафика для обнаружения и устранения вредоносного кода. Автоматическое обновление указанных механизмов при появлении новых версий в соответствии с политикой и процедурами управления конфигурацией субъекта КИИ. Настройка для периодического сканирования конечных точек с определенной субъектом КИИ периодичностью и для сканирования в реальном времени файлов из внешних источников на границе с сетью Интернет при загрузке, открытии или исполнении, согласно политике субъекта КИИ. Обеспечение блокировки или помещения вредоносного кода на карантин и отправка предупреждений сотрудникам, ответственным за кибербезопасность и информационные технологии при обнаружении угроз. Решение проблем ложных срабатываний при обнаружении и устранении вредоносного кода с учетом потенциального влияния на доступность объектов КИИ	+	+	+	1
ЦД-5	Осуществление мониторинга объектов КИИ для обнаружения кибератак, индикаторов потенциальных кибератак и несанкционированных подключений, обнаружения и регистрация событий, потенциально относимых к киберинцидентам, а также выявления несанкционированного использования объектов КИИ. Использование встроенных возможностей мониторинга или развертывание специализированных средств. Проведение анализа выявленных событий и аномалий с предоставлением руководству отчетности по результатам мониторинга с установленной субъектом КИИ периодичностью и по мере необходимости	+	+	+	1
ЦД-6	Использование сертифицированных средств защиты информации	+	+	+	3
15. Физическая безопасность (ФБ)
ФБ-1	Организация контролируемой субъектом КИИ зоны	+	+	+	1
ФБ-2	Разработка, утверждение и поддержка списка лиц, имеющих авторизованный физический доступ к объектам КИИ	+	+	+	1
ФБ-3	Обеспечение авторизации физического доступа к объектам КИИ путем проверки индивидуальных разрешений на доступ перед его предоставлением, а также контроля входа и выхода на объекты КИИ с помощью систем контроля управления доступом и/или сотрудников охраны	+	+	+	1
ФБ-4	Обеспечение выдачи идентификаторов лицам, посещающим физическую зону безопасности субъекта КИИ, за счет цветовой дифференциации идентификаторов с обязательным условием ношения идентификаторов на видном месте для возможности определения авторизации нахождения в зоне безопасности	+	+	+	1
ФБ-5	Ведение журналов аудита предоставления физического доступа к объектам КИИ	+	+	+	1
ФБ-6	Сопровождение посетителей субъекта КИИ и контроль их деятельности	+	+	+	1
ФБ-7	Защита ключей, комбинаций и других устройств физического доступа	+	+	+	1
ФБ-8	Проведение инвентаризации устройств физического доступа с определенной субъектом КИИ периодичностью	+	+	+	1
ФБ-9	Изменение комбинаций и ключей с определенной периодичностью и/или при потере ключей, компрометации комбинаций, а также переводе или увольнении лиц, владеющих ключами или комбинациями	+	+	+	1
ФБ-10	Обеспечение физической защиты линий передачи информации, которые используются объектами КИИ и предоставляют подключение пользователям	+	+	+	1
ФБ-11	Контроль физического доступа к линиям передачи информации в субъекте КИИ	+	+	+	1
ФБ-12	Отслеживание физического доступа к объектам КИИ для последующего обнаружения и реагирования на инциденты физической безопасности	+	+	+	1
ФБ-13	Просмотр журналов физического доступа с определенной субъектом КИИ периодичностью и при возникновении события или подозрения на событие нарушения физического доступа	+	+	+	1
ФБ-14	Координация результатов проверок и расследований нарушений физической безопасности с процессом реагирования на киберинциденты в субъекте КИИ	+	+	+	1
ФБ-15	Контроль физического доступа к объекту КИИ с использованием сигнализации физического проникновения и оборудования для наблюдения, а также идентификации лиц за счет наличия цветовой маркировки идентификаторов	+	+	+	1
ФБ-16	Обеспечение зоны безопасности охраной			+	1
ФБ-17	Проверка записей о доступе посетителей с определенной субъектом КИИ периодичностью и информирование уполномоченных сотрудников субъекта КИИ об отклонениях в записях о доступе посетителей			+	1
ФБ-18	Защита силового оборудования, силовых кабелей и линий передачи информации объектов КИИ от повреждения и разрушения	+	+	+	1
ФБ-19	Обеспечение резервным источником питания объектов КИИ, который активируется вручную или автоматически и может поддерживать минимально необходимые эксплуатационные возможности в случае потери основного источника питания на длительное время	+	+	+	1
ФБ-20	Использование и обслуживание системы обнаружения и подавления пожара, которая поддерживается независимым источником энергии	+	+	+	1
ФБ-21	Отслеживание и поддержка показателей контроля окружающей среды, таких как температурный режим, уровень влажности, давления и излучения в пределах объекта КИИ, на требуемом для оптимальной работы объектов КИИ уровне	+	+	+	1
ФБ-22	Защита объектов КИИ от повреждений в результате утечки воды за счет использования механизмов перекрытия подачи воды	+	+	+	1
ФБ-23	Ведение учета компонентов объектов КИИ, подтверждение и контроль вноса и выноса с контролируемой субъектом зоны компонентов объектов КИИ	+	+	+	1
ФБ-24	Расположение компонентов объектов КИИ в пределах контролируемой субъектом зоны таким образом, чтобы сократить потенциальный ущерб от природных, техногенных и антропогенных угроз и свести к минимуму возможность несанкционированного доступа	+	+	+	1
6. Ввод объектов КИИ и сервисов (ВС)
ВС-1	Определение высокоуровневых требований к обеспечению кибербезопасности для объектов КИИ или их сервисов при планировании деятельности субъекта КИИ		+	+	1
ВС-2	Определение, документирование и выделение ресурсов, необходимых для защиты объектов КИИ или их сервисов, в рамках процессов субъекта КИИ по планированию и бюджетированию		+	+	2
ВС-3	Установление отдельной статьи расходов на обеспечение кибербезопасности в учетной системе организации и документах по бюджетированию	+	+	+	2
ВС-4	Включение мер по обеспечению кибербезопасности на всех этапах жизненного цикла объектов КИИ	+	+	+	2
ВС-5	Определение и документирование ролей и обязанностей в части обеспечения кибербезопасности на всех этапах жизненного цикла объектов КИИ		+	+	2
ВС-6	Определение лиц, имеющих роли и обязанности в части обеспечения кибербезопасности	+	+	+	1
ВС-7	Оценка рисков кибербезопасности на всех этапах жизненного цикла объектов КИИ	+	+	+	2
ВС-8	Включение в техническое задание на разработку, создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ или договор на их приобретение, включая их компоненты или сервисы: - требований к функциональности и надежности; - настоящих мер и документации по кибербезопасности; - описания среды разработки и эксплуатации; - распределения ответственности за кибербезопасность; - критериев приемки	+	+	+	1
ВС-9	Получение по договору или разработка документации администратора, включающей правила безопасной настройки, установки и эксплуатации объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ, эффективное использование механизмов кибербезопасности, а также описание известных уязвимостей в конфигурации и привилегированных функциях	+	+	+	1
ВС-10	Получение по договору или разработка пользовательской документации, описывающей доступные функции и механизмы кибербезопасности, методы безопасного использования объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ, а также обязанности пользователя по поддержанию кибербезопасности	+	+	+	1
ВС-11	Предоставление доступа пользователям объектов КИИ к пользовательской документации и документации администратора с учетом ролей	+	+	+	2
ВС-12	Требование разработчика на всех этапах жизненного цикла объекта КИИ, его компонента или сервиса: - разработки и выполнения плана оценки кибербезопасности; - регулярного тестирования; - предоставления результатов; - внедрения проверяемого процесса устранения недостатков и их своевременного исправления		+	+	2
ВС-13	Требование разработчика следования документированному процессу разработки, который учитывает требования кибербезопасности, определение используемых стандартов и инструментов, фиксации их конфигурации и обеспечение управления изменениями с сохранением их целостности			+	2
ВС-14	Проведение регулярного анализа процесса разработки в целях выявления используемых стандартов, инструментов и их конфигураций для удовлетворения требованиям субъекта КИИ по кибербезопасности			+	2
ВС-15	Замена компонентов объектов КИИ, если поддержка компонентов больше не предоставляется разработчиком, поставщиком или производителем. В случае если замена неподдерживаемых компонентов объектов КИИ не представляется возможной, осуществлять предоставление альтернативных источников для продолжения поддержки	+	+	+	2
ВС-16	Моделирование киберугроз на этапе проектирования объекта КИИ. Использование инструментов статического анализа кода		+	+	2
ВС-17	Регулярный аудит исходного кода объекта КИИ, исключающий конфликт интересов, с обязательными проверками безопасности в коде и его компонентах		+	+	2
ВС-18	Интеграция процессов безопасности в постоянное улучшение и доставку программного обеспечения, регулярное тестирование кода на наличие уязвимостей			+	2
17. Логирование (ЛО)
ЛО-1	Определение типов событий, которые объект КИИ и (или) подсистема кибербезопасности объекта КИИ способны регистрировать для поддержки функции аудита кибербезопасности	+	+	+	1
ЛО-2	Координация функции регистрации событий с другими подразделениями субъекта КИИ, которым требуется информация, связанная с аудитом кибербезопасности для изменения и оптимизации критериев выбора событий для регистрации			+	3
ЛО-3	Предоставление обоснований релевантности типов событий, выбранных для регистрации, поддержание функции расследования произошедших инцидентов кибербезопасности			+	3
ЛО-4	Пересмотр и обновление типов событий, выбранных для регистрации, с определенной субъектом КИИ периодичностью		+	+	3
ЛО-5	Удостоверение включения в записи журналов событий описания события, времени его наступления, адреса источника и назначения, идентификатора процесса, результата события, а также идентификаторов связанных лиц, субъектов или объектов	+	+	+	1
ЛО-6	Резервирование необходимого объема памяти для хранения журналов регистрации событий		+	+	2
ЛО-7	Уведомление уполномоченных сотрудников или подразделений субъекта КИИ в течение определенного субъектом КИИ периода времени в случае нарушений и сбоев в процессе формирования и сбора записей журналов регистрации событий			+	3
ЛО-8	Просмотр и анализ записей журналов регистрации событий с определенной субъектом КИИ периодичностью на предмет признаков ненадлежащих или подозрительных событий и потенциального воздействия		+	+	2
ЛО-9	Информирование о результатах проверки уполномоченных сотрудников субъекта КИИ		+	+	3
ЛО-10	Обеспечение возможности фильтрации и создания отчетов по записям журналов событий для поддержки проверок, анализа и расследования инцидентов с сохранением исходного содержания и порядка записей	+	+	+	2
ЛО-11	Определение точного времени события для каждой записи в журнале регистрации событий	+	+	+	1
ЛО-12	Синхронизация системного времени между системными компонентами, используемыми для формирования, сбора и анализа данных журнала регистрации событий	+	+	+	1
ЛО-13	Синхронизация системного времени с оборудованием или пулами точного времени	+	+	+	1
ЛО-14	Защита данных журналов регистрации событий и средств регистрации событий от несанкционированного доступа, изменения и удаления	+	+	+	2
ЛО-15	Уведомление уполномоченных сотрудников субъекта КИИ при обнаружении несанкционированного доступа, модификации или удаления данных в журналах регистрации событий	+	+	+	1
ЛО-16	Хранение записей журналов регистрации событий в течение определенного субъектом КИИ периода времени для обеспечения поддержки расследований произошедших инцидентов кибербезопасности и выполнения нормативных требований и требований к организации хранения информации	+	+	+	2
ЛО-17	Контроль и анализ сетевого трафика	+	+	+	3
ЛО-18	Мониторинг кибербезопасности	+	+	+	3
18. Реагирование на киберинциденты (РК)
PК-1	Проведение тестирования на предмет эффективности внедренных процедур по реагированию на киберинциденты с определенной субъектом КИИ периодичностью	+	+	+	2
PК-2	Внедрение процедур по обработке киберинцидентов, соответствующих регламенту реагирования на киберинциденты и включающих подготовку, обнаружение и анализ, локализацию, ликвидацию и восстановление	+	+	+	2
PК-3	Координация деятельности по обработке киберинцидентов с деятельностью по планированию действий в непредвиденных обстоятельствах	+	+	+	2
PК-4	Выявление киберинцидентов	+	+	+	2
PК-5	Регистрация киберинцидентов	+	+	+	1
PК-6	Информирование о киберинцидентах	+	+	+	1
PК-7	Анализ киберинцидентов	+	+	+	3
PК-8	Защита информации о киберинцидентах	+	+	+	2
PК-9	Принятие мер по предотвращению повторного возникновения киберинцидентов с внесением изменений в существующие процедуры по реагированию на киберинциденты	+	+	+	3
19. Планирование на случай непредвиденных обстоятельств (НО)
НО-1	Разработка плана действий на случай непредвиденных обстоятельств: - определяющего ключевые функции субъекта КИИ, цели и приоритеты восстановления, роли и обязанности сотрудников; - обеспечивающего поддержание деятельности, восстановление систем без ухудшения контроля; - включающего требования по обмену информацией; - утверждаемого ответственными лицами	+	+	+	1
НО-2	Распространение плана действий в непредвиденных обстоятельствах среди сотрудников, ответственных за его исполнение, доведение изменений в плане действий в непредвиденных обстоятельствах до сведения сотрудников, ответственных за его исполнение	+	+	+	1
НО-3	Координация деятельности по планированию действий в непредвиденных обстоятельствах с деятельностью по обработке киберинцидентов	+	+	+	1
НО-4	Пересмотр плана действий в непредвиденных обстоятельствах с определенной субъектом КИИ периодичностью	+	+	+	2
НО-5	Обновление плана действий в непредвиденных обстоятельствах с учетом изменений в субъекте КИИ, объекте КИИ или среде эксплуатации и проблем, возникших в ходе реализации, выполнения или тестирования плана действий в непредвиденных обстоятельствах	+	+	+	3
НО-6	Проведение тестирования плана действий в непредвиденных обстоятельствах с определенной субъектом КИИ периодичностью	+	+	+	2
НО-7	Проведение анализа результатов тестирования плана действий в непредвиденных обстоятельствах и при необходимости внесение соответствующих изменений		+	+	2
НО-8	Включение опыта и знаний, полученных в ходе тестирования плана действий в непредвиденных обстоятельствах, обучения или реальных действий в непредвиденных обстоятельствах, в тестирование и обучение на случай непредвиденных обстоятельств	+	+	+	2
НО-9	Проведение обучения и отработки действий персонала в нештатных ситуациях	+	+	+	2
НО-10	Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций		+	+	3
НО-11	Обеспечение доступности компонентов объектов КИИ через отказоустойчивые технические решения, резервирование объектов КИИ, контроль безотказного функционирования и регламентированные меры по восстановлению отказавших компонентов		+	+	2
НО-12	Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций	+	+	+	1
НО-13	Осуществление резервного копирования критически важной информации на системном и пользовательском уровнях с периодичностью, определенной субъектом КИИ	+	+	+	1
НО-14	Защита конфиденциальности, целостности и доступности резервных копий	+	+	+	1
НО-15	Проведение тестирования резервных копий с определенной субъектом КИИ периодичностью на предмет надежности носителя и целостности информации	+	+	+	1
НО-16	Обеспечение восстановления объектов КИИ в известное рабочее состояние в течение определенного субъектом КИИ периода времени после сбоя, компрометации или отказа	+	+	+	1
НО-17	Обеспечение возможности восстановления объектов КИИ в случае возникновения нештатных ситуаций	+	+	+	3
НО-18	Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения	+	+	+	3
НО-19	Контроль безотказного функционирования средств защиты информации и объектов КИИ		+	+	3
НО-20	Обеспечение возможности восстановления информации	+	+	+	2
НО-21	Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях	+	+	+	2
НО-22	Управление нагрузкой и масштабированием объектов КИИ		+	+	2
НО-23	Контроль предоставляемых вычислительных ресурсов и каналов связи	+	+	+	2