√ Приказ ФСТЭК России «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010 г. № 58 (скачать документ MS Word, 119 Кб) *. ПРИКАЗ от 14 марта 2014 г. N 31.
Обзор приказа ФСТЭК №31
Зарегистрирован в Минюсте РФ 30 июня 2014 г. Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими.
Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
| Единая цифровая платформа.МИС 3.0 | Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". В Требованиях безопасности реализованы результаты, пол. |
| Приказ ФСТЭК России №21: Информационное сообщение ФСТЭК России от 24.03.2017 N240/24/1382 | Информационное сообщение ФСТЭК России от 24.03.2017 №240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации. |
Сертификация средств защиты информации от несанкционированного доступа
УТВЕРЖДЕНЫ приказом ФСТЭК России от «14» марта 2014 г. № 31. Перечень мер приказов ФСТЭК России, реализуемых применением InfoDiode. Приказ ФСТЭК N 239 от 25 декабря 2017 г. и N 31 от 14 марта 2014 г. Мера Описание. В информационном сообщении от 27 марта Федеральная служба по техническому и экспортному контролю дала разъяснения к собственному приказу от 9 февраля 2016 г. N 9, утверждающему требования к межсетевым экранам. Новые требования вступили в силу 1 декабря 2016 года. 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» • Приказ ФСТЭК России от 31.08.2010 № 489 «Об утверждении требований о защите информации. 7.6. Руководящий документ ФСТЭК России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей».
Защита документов
Руководящие и методические документы Федеральная служба безопасности Российской Федерации Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 Центра ФСБ России 31. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
Итоговое содержание каждой уточненной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в таблице подраздела "содержание базовой меры защиты информации". Усиления мер защиты информации, приведенные в подразделе "требования к усилению меры защиты информации" и не включенные в таблицу с содержанием базовой меры защиты информации в подразделе "содержание базовой меры защиты информации", применяется по решению обладателя информации, заказчика и или оператора для повышения уровня защищенности информации, содержащейся в информационной системе, или при адаптации, уточнении, дополнении мер защиты информации, а также при разработке компенсирующих мер защиты информации. Дополнение уточненного адаптированного базового набора мер защиты информации может потребоваться в следующих случаях: а если федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти, органа местного самоуправления или организации, определяющими порядок создания и эксплуатации информационной системы, устанавливаются дополнительные требования к защите информации, выполнение которых не предусмотрено Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", предъявлены дополнительные требования к защите информации в информационной системе. При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия: 1 может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный базовый набор мер защиты информации, достаточны для выполнения дополнительных требований, установленных федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти, органа местного самоуправления или организации. В таких случаях у заказчика, оператора и разработчика проектировщика есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации. В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать: приложение N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г.
N 17, и раздел 3 настоящего методического документа; международные, национальные стандарты, стандарты организаций в области информационной безопасности; результаты собственных разработок научно-исследовательские и опытно-конструкторские работы. При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее: изложение причин исключения меры мер защиты информации; сопоставление исключаемой меры мер защиты информации с блокируемой нейтрализуемой угрозой угрозами безопасности информации; описание содержания компенсирующих мер защиты информации; сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации; аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование нейтрализацию угроз безопасности информации. Разработанное обоснование должно быть представлено при проведении аттестационных испытаний.
При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления. Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных, исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций.
На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации. Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации. Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" Собрание законодательства Российской Федерации, 2011, N 19, ст.
Внутренние угрозы угрозы, расположенные внутри контролируемой зоны: порча оборудования, инсайдерские угрозы и даже непреднамеренные ошибки сотрудников и др. Positive Technologies — компания-партнер, предоставляет заказчику комплекс технологических решений, необходимых для создания центра ГосСОПКА Solar Security — компания-интегратор, осуществляет эксплуатацию этих решений, контроль защищенности инфраструктуры, мониторинг и реагирование на инциденты информационной безопасности, а также взаимодействие с главным центром ГосСОПКА 2 Аппаратное обеспечение Таким же важным аспектом для обеспечения безопасности ключевых организаций государства является защита информации на аппаратном уровне. Вводится спец. Что нужно, чтобы пройти аттестацию? Создать эргономичные распределенные рабочие места, на рабочем столе сотрудника будут находиться один или несколько дисплеев и стандартный комплект периферийных устройств мышь, клавиатура, аудио оборудование. Обеспечить выведение вычислительной техники ПК и серверов в защищенный контур, в котором будет организован эффективный контроль за допуском сотрудников и созданы необходимые климатические условия для функционирования аппаратуры.
Новый приказ ФСТЭК о защите информации в АСУ ТП
| ФСТЭК РФ разъяснила свои требования к сертифицированным межсетевым экранам | приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при обеспечении безопасности АСУ ТП применять. |
| Нормативные правовые акты по технической защите информации | ПРИКАЗ от 14 марта 2014 г. N 31. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и. |
| Приказ ФСТЭК России от 14 марта 2014 г. N 31 - ИБ | С этой целью в соответствии с п. 29 Порядка ФСТЭК России (территориальный орган ФСТЭК России) после внесения в реестр аттестованных ОИ проводит экспертно-документальную оценку документов, представленных органом по аттестации. |
| Обеспечение безопасности объектов информатизации | 31 янв 2023. Пожаловаться. ФСТЭК России утвердила требования по безопасности к средствам виртуализации. ФСТЭК России информирует об утверждении Требований по безопасности информации к средствам виртуализации (приказ ФСТЭК России от 27 октября 2022 г. № 187). |
Руководящие документы ФСТЭК
| Сертификация средств защиты информации от несанкционированного доступа | 10 Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 30 июня 2018 г. N 131. |
| Приказ ФСТЭК России от 14.03.2014 № 31 | Редакция действует с 12 июля 2021 | Юрист компании | Описание на русском: Приказ ФСТЭК России № 31 от 14.03.2014 (ред. от 15.03.2021) 'Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных. |
| Новый приказ ФСТЭК о защите информации в АСУ ТП | Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. I. Общие положения. |
| Приказ ФСТЭК России № 31 от 14.03.2014 (ред. от 15.03.2021) | ПРИКАЗ от 14 марта 2014 г. N 31. |
Сертификация средств защиты информации от несанкционированного доступа
Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.
Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний.
Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию. По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления 16. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются: определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления; разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления; контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом.
В ходе обеспечения действий в нештатных непредвиденных ситуациях при эксплуатации автоматизированной системы управления осуществляются: планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных непредвиденных ситуаций; обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных непредвиденных ситуаций; создание альтернативных мест хранения и обработки информации на случай возникновения нештатных непредвиденных ситуаций; резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных непредвиденных ситуаций; обеспечение возможности восстановления автоматизированной системы управления и или ее компонентов в случае возникновения нештатных непредвиденных ситуаций. В ходе информирования и обучения персонала автоматизированной системы управления осуществляются: периодическое информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации; периодическое обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне. В ходе анализа угроз безопасности информации в автоматизированной системе управления и возможных рисков от их реализации осуществляются: периодический анализ уязвимостей автоматизированной системы управления, возникающих в ходе ее эксплуатации; периодический анализ изменения угроз безопасности информации в автоматизированной системе управления, возникающих в ходе ее эксплуатации; периодическая оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления анализ риска. В ходе контроля мониторинга за обеспечением уровня защищенности автоматизированной системы управления осуществляются: контроль за событиями безопасности и действиями персонала в автоматизированной системе управления; контроль анализ защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования; анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления; документирование процедур и результатов контроля мониторинга за обеспечением уровня защищенности автоматизированной системы управления; принятие решения по результатам контроля мониторинга за обеспечением уровня защищенности автоматизированной системы, управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке модернизации ее системы защиты. Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления 17.
Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления осуществляется оператором соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и организационно-распорядительными документами по защите информации и в том числе включает: архивирование информации, содержащейся в автоматизированной системе управления; уничтожение стирание данных и остаточной информации с машинных носителей информации и или уничтожение машинных носителей информации. Архивирование информации, содержащейся в автоматизированной системе управления, должно осуществляться при необходимости дальнейшего использования информации в деятельности оператора. Уничтожение стирание данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системы управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения. При выводе автоматизированной системы управления из эксплуатации производится уничтожение машинных носителей информации, содержащих энергонезависимую память. Требования к мерам защиты информации в автоматизированной системе управления 18.
При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемых с учетом ГОСТ 34. Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34. Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15.
Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; определение администратора безопасности информации; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты.
Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.
Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.
Данный приказ регламентирует ряд технических и организационных мероприятий по защите информации в АСУ ТП. Используя приложения к приказу, оператор обязан классифицировать используемые автоматизированные системы, а также определить состав мер по защите информации на основание предложенных базовых наборов для соответствующего класса защищенности. Основными нормативными актами было принято считать ряд документов ФСТЭК России по ключевым информационным системам, имеющих гриф «Для служебного пользования».
Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления 16. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются: определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления; разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления; контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом. В ходе обеспечения действий в нештатных непредвиденных ситуациях при эксплуатации автоматизированной системы управления осуществляются: планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных непредвиденных ситуаций; обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных непредвиденных ситуаций; создание альтернативных мест хранения и обработки информации на случай возникновения нештатных непредвиденных ситуаций; резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных непредвиденных ситуаций; обеспечение возможности восстановления автоматизированной системы управления и или ее компонентов в случае возникновения нештатных непредвиденных ситуаций. В ходе информирования и обучения персонала автоматизированной системы управления осуществляются: периодическое информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации; периодическое обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.
Приказ ФСТЭК России от 14.03.2014 N 31 - Форум по вопросам информационной безопасности
Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31 зарегистрирован Минюстом России 18 мая 2017 г. N 5 зарегистрирован Минюстом России 27 февраля 2019 г. N 122 зарегистрирован Минюстом России 25 марта 2021 г. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239 зарегистрирован Минюстом России 26 марта 2018 г. N 138 зарегистрирован Минюстом России 5 сентября 2018 г. N 60 зарегистрирован Минюстом России 18 апреля 2019 г. N 35 зарегистрирован Минюстом России 11 сентября 2020 г. Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объекта, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г.
N 31 зарегистрирован Минюстом России 30 июня 2014 г. N 49 зарегистрирован Минюстом России 25 апреля 2017 г. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21 зарегистрирован Минюстом России 14 мая 2013 г. N 68 зарегистрирован Минюстом России 8 июля 2020 г. Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утвержденные приказом ФСТЭК России от 29 мая 2009 г. N 191 зарегистрирован Минюстом России 6 июля 2009 г. Аттестация объектов информатизации осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации далее - владельцы объектов информатизации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения", утвержденного и введенного в действие приказом Ростехрегулирования от 27 декабря 2006 г. N 374-ст. Москва: Стандартинформ, 2007. N 79 Собрание законодательства Российской Федерации, 2012, N 7, ст. Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации: значимых объектов критической информационной инфраструктуры Российской Федерации; информационных систем персональных данных за исключением государственных, муниципальных информационных систем персональных данных ; автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Аттестация объекта информатизации проводится на этапе его создания или развития модернизации и предусматривает проведение комплекса организационных и технических мероприятий и работ аттестационных испытаний , в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
Требования к классу защищенности 1Б: Подсистема управления доступом: должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору коду и паролю временного действия длиной не менее восьми буквенно-цифровых символов; - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам номерам ; - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; - должно осуществляться управление потоками информации с помощью меток конфиденциальности.
В параметрах регистрации указываются: - дата и время входа выхода субъекта доступа в систему из системы или загрузки останова системы; - результат попытки входа: успешный или неуспешный - несанкционированный; - идентификатор код или фамилия субъекта, предъявленный при попытке доступа; - код или пароль, предъявленный при неуспешной попытке; - должна осуществляться регистрация выдачи печатных графических документов на "твердую" копию. Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания наименования, вида, шифра, кода и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа при неполной выдаче документа - фактически выданного количества листов в графе «Брак». В параметрах регистрации указываются: - дата и время выдачи обращения к подсистеме вывода ; - спецификация устройства выдачи [логическое имя номер внешнего устройства]; - краткое содержание наименование, вид, шифр, код и уровень конфиденциальности документа; - идентификатор субъекта доступа, запросившего документ; - объем фактически выданного документа количество страниц, листов, копий и результат выдачи успешный весь объем , неуспешный; - должна осуществляться регистрация запуска завершения всех программ и процессов заданий, задач в АС. В параметрах регистрации указываются: - дата и время изменения полномочий; - идентификатор субъекта доступа администратора , осуществившего изменения; - идентификатор субъекта, у которого проведено изменение полномочий и вид изменения пароль, код, профиль и т. Маркировка должна отражать уровень конфиденциальности объекта; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки; - учет защищаемых носителей должен проводиться в журнале картотеке с регистрацией их выдачи приема ; - должно проводиться несколько видов учета дублирующих защищаемых носителей информации; - должна осуществляться очистка обнуление, обезличивание освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации; - должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя. Криптографическая подсистема: должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа разделяемые носители данных, в каналах связи, а также на съемные портативные носители данных дискеты, микрокассеты и т. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; - доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; - должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.
При этом: - целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; - целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; - должна осуществляться физическая охрана СВТ устройств и носителей информации , предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; - должен быть предусмотрен администратор служба защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС; - должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квартал; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности, а также оперативное восстановление функций СЗИ НСД при сбоях; - должны использоваться сертифицированные средства защиты. Требования к классу защищенности 1А: Подсистема управления доступом: должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам жетонам, картам, электронным ключам и паролю временного действия длиной не менее восьми буквенно-цифровых символов; - должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам; - должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам паролям, ключам ; - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; - должно осуществляться управление потоками информации с помощью меток конфиденциальности. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: - дата и время выдачи обращения к подсистеме вывода ; - спецификация устройства выдачи [логическое имя номер внешнего устройства]; - краткое содержание наименование, вид, шифр, код и уровень конфиденциальности документа; - идентификатор субъекта доступа, запросившего документ; - объем фактически выданного документа количество страниц, листов, копий и результат выдачи: успешный весь объем , неуспешный; - должна осуществляться регистрация запуска завершения всех программ и процессов заданий, задач в АС.
Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления. Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации.
Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации. Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления. Формирование требований к защите информации в автоматизированной системе управления 13.
Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком. Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и стандартов организации и в том числе включает: принятие решения о необходимости защиты информации в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям защиты информации далее - классификация автоматизированной системы управления ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются: анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления; определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления определение критически важной информации , и оценка возможных последствий такого нарушения; анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления; принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости критичности информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления.
Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации.
Приказ ФСТЭК России от 14 марта 2014 г. № 31
Пользователь признает, что ответственность за любую информацию в том числе, но не ограничиваясь: файлы с данными, тексты и т. Пользователь соглашается, что информация, предоставленная ему как часть сайта , может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте. Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания полностью или в части , за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения. В отношение текстовых материалов статей, публикаций, находящихся в свободном публичном доступе на сайте допускается их распространение при условии, что будет дана ссылка на Сайт. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте или передаваемых через него. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте , включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права. Разрешение споров 8. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии письменного предложения или предложения в электронном виде о добровольном урегулировании спора.
Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда г. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации. Дополнительные условия 9. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте , если иное не предусмотрено новой редакцией Политики конфиденциальности.
Требования к системе защиты АСУ ТП определяются в зависимости от класса защищенности и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.
На этапе разработки системы защиты в рамках проектирования системы защиты информации осуществляется выбор СрЗИ, прошедших оценку соответствия, и определяются необходимые меры защиты с учетом особенностей функционирования ПО и технических средств на каждом уровне АСУ ТП. Стоит отметить, что форма оценки соответствия СрЗИ должна быть определена заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании». Этап внедрения системы защиты информации включает следующие мероприятия: настройку ПО АСУ ТП; проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний системы; анализ уязвимостей АСУ ТП, в рамках которого по решению заказчика может проводиться тестирование на проникновение; разработку документов, определяющих правила и процедуры, реализуемые для защиты информации. В этом случае, аттестация системы защиты информации проводится в соответствии с национальными стандартами и методическим документами ФСТЭК России с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений. Этапы обеспечения защиты информации в ходе эксплуатации системы защиты и при выводе ее из действия предусматривают реализацию определенных процедур управления информационной безопасностью, таких как: планирование мероприятий по обеспечению защиты в автоматизированных системах управления производственными и технологическими процессами; обеспечение действий в нештатных ситуациях; обучение персонала; выявление инцидентов в ходе эксплуатации и реагирование на них; контроль за обеспечением уровня защищенности; управление системой защиты, а также управление конфигурацией автоматизированных систем управления производственными и технологическими процессами; архивирование информации, а также уничтожение данных и остаточной информации при выводе автоматизированных систем управления производственными и технологическими процессами из эксплуатации. Состав мер защиты информации, описанных в документе, приведен в таблице Таблица 1.
При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора внутренних пользователей , и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. К внутренним пользователям в целях настоящего документа относятся должностные лица оператора пользователи, администраторы , выполняющие свои должностные обязанности функции с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами инструкциями , утвержденными оператором, и которым в информационной системе присвоены учетные записи. В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и или оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы ремонт, гарантийное обслуживание, регламентные и иные работы в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД. Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной двухфакторной аутентификации - определенной комбинации указанных средств. В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами. Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации. Требования к усилению ИАФ. Требования к классам защищенности средств защиты информации Согласно новых нормативных документов ФСТЭК России, технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в ГИС 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей, а также: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена.
Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний.
Новый приказ ФСТЭК о защите информации в АСУ ТП
Итак, 30 июня Минюстом был зарегистрирован долгожданный приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП. Презентацию по данному проекту я уже выкладывал. Теперь пройдусь по ключевым тезисам, которые я хотел бы выделить в отношении данного приказа. Методика защиты ГИС). В рамках данной статьи рассмотрим. Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах. В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». Утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17 ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ.
ФСТЭК РФ разъяснила свои требования к сертифицированным межсетевым экранам
Услуга доступна руководителям юридических лиц лицам, имеющим право действовать от имени организации без доверенности и индивидуальным предпринимателям. В нем приняли участие команды городских и муниципальных округов региона. В этом году фестиваль прошел под эгидой Года семьи, объявленного Указом Президента России Владимира Путина, поэтому многие пришли на спортивное мероприятие всей семьей. Гостям стенда Тамбовской области рассказывают о возможностях и достижениях вузов региона.
Данный приказ регламентирует ряд технических и организационных мероприятий по защите информации в АСУ ТП. Используя приложения к приказу, оператор обязан классифицировать используемые автоматизированные системы, а также определить состав мер по защите информации на основание предложенных базовых наборов для соответствующего класса защищенности. Основными нормативными актами было принято считать ряд документов ФСТЭК России по ключевым информационным системам, имеющих гриф «Для служебного пользования».
С 1 декабря 2016 г. Серийное производство сертифицированных межсетевых экранов осуществляется в соответствии с выданными на них сертификатами соответствия требованиям по безопасности информации. Таким образом, допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» далее — РД МЭ , при наличии на них действующих сертификатов соответствия требованиям по безопасности информации. Применение средств защиты информации, включая межсетевые экраны, в информационных автоматизированных системах регламентируется Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. N 31, а также Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. Возможность применения конкретной модели межсетевого экрана в информационной автоматизированной системе определяется действующим на него сертификатом соответствия требованиям по безопасности информации. В настоящее время в соответствии с указанными выше нормативными правовыми актами в информационных автоматизированных системах могут применяться межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ.
В таких случаях у заказчика, оператора и разработчика проектировщика есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации. В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать: приложение N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, и раздел 3 настоящего методического документа; международные, национальные стандарты, стандарты организаций в области информационной безопасности; результаты собственных разработок научно-исследовательские и опытно-конструкторские работы. При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее: изложение причин исключения меры мер защиты информации; сопоставление исключаемой меры мер защиты информации с блокируемой нейтрализуемой угрозой угрозами безопасности информации; описание содержания компенсирующих мер защиты информации; сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации; аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование нейтрализацию угроз безопасности информации. Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования нейтрализации угроз безопасности информации. При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора внутренних пользователей , и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. К внутренним пользователям в целях настоящего документа относятся должностные лица оператора пользователи, администраторы , выполняющие свои должностные обязанности функции с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами инструкциями , утвержденными оператором, и которым в информационной системе присвоены учетные записи. В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и или оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы ремонт, гарантийное обслуживание, регламентные и иные работы в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи. Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД. Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной двухфакторной аутентификации - определенной комбинации указанных средств. В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.