используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г.
Информация
- Приказ ФСТЭК по защите АСУ ТП №31 ~ Бизнес без опасности
- Защита документов
- Класс защищённости АСУ ТП
- Choice poll
- Архив блога
ДОКУМЕНТЫ ФСТЭК РОССИИ
Общие положения 1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды далее - автоматизированные системы управления , от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий компьютерных атак , следствием которых может стать нарушение функционирования автоматизированной системы управления. Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации , утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. В случае необходимости применение криптографических методов защиты информации и шифровальных криптографических средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.
Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и или производственным оборудованием исполнительными устройствами и реализованными на нем технологическими и или производственными процессами в том числе системы диспетчерского управления, системы сбора передачи данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления далее - заказчик , лиц, обеспечивающих эксплуатацию автоматизированных систем управления далее - оператор , а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию проектированию автоматизированных систем управления и или их систем защиты далее - разработчик. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.
Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления. Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных, исполнительных устройств нижний полевой уровень.
Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации.
Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации. Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления.
Формирование требований к защите информации в автоматизированной системе управления 13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком. Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации.
Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении.
Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст. УК РФ. Присвоите вы категорию значимости КИИ или примете решение о "незначимости" - это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК. Будете 239 приказ выполнять или 31, а наборы мер в них одинаковые..
Требования по обеспеченю безопасности к конкретной АСУ ТП формируются на основе класса защищенности, установленного для данной АСУ ТП, а также угроз безопасности информации, включенных в модель угроз. Сокращения и термины, используемые в НПА Модель угроз — согласно Методическим рекомендациям, моделью угроз является перечень возможных угроз информационной безопасности компании. В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей модель нарушителя , возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации». Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Например, опираясь на практики методических документов ФСТЭК, относящихся к ключевым системам информационной инфраструктуры КСИИ [5, 6, 7, 8] и к другим типам систем [9, 10]. Полученная степень ущерба необходима разработчику системы информационной безопасности для определения класса защищённости АСУ ТП и зависит от характера чрезвычайной ситуации. Однако заказчик или оператор не могут предоставить требуемые данные, ведь объект по факту ещё не существует. Выход: определить характер чрезвычайной ситуации можно, либо исходя из паспортов аналогичных, уже введённых в эксплуатацию систем, либо методом экспертной оценки. Критерии, на основании которых определяется предварительный класс защищённости АСУ ТП, представлены в таблицах 2 и 3. Однако на практике в ТЗ заказчик указывает всё ту же пресловутую фразу про оценку соответствия СрЗИ без уточнения формы. Причины следующие: отсутствие чёткого толкования условий и результата проведения оценки соответствия в других формах; устоявшаяся практика применения сертифицированных СрЗИ; отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах следствие из предыдущего пункта. Давайте разбираться.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
Стоит отметить, что форма оценки соответствия СрЗИ должна быть определена заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании». Этап внедрения системы защиты информации включает следующие мероприятия: настройку ПО АСУ ТП; проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний системы; анализ уязвимостей АСУ ТП, в рамках которого по решению заказчика может проводиться тестирование на проникновение; разработку документов, определяющих правила и процедуры, реализуемые для защиты информации. В этом случае, аттестация системы защиты информации проводится в соответствии с национальными стандартами и методическим документами ФСТЭК России с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений. Этапы обеспечения защиты информации в ходе эксплуатации системы защиты и при выводе ее из действия предусматривают реализацию определенных процедур управления информационной безопасностью, таких как: планирование мероприятий по обеспечению защиты в автоматизированных системах управления производственными и технологическими процессами; обеспечение действий в нештатных ситуациях; обучение персонала; выявление инцидентов в ходе эксплуатации и реагирование на них; контроль за обеспечением уровня защищенности; управление системой защиты, а также управление конфигурацией автоматизированных систем управления производственными и технологическими процессами; архивирование информации, а также уничтожение данных и остаточной информации при выводе автоматизированных систем управления производственными и технологическими процессами из эксплуатации. Состав мер защиты информации, описанных в документе, приведен в таблице Таблица 1. Каждая группы мер защиты включает требование по обязательному документированию соответствующей процедуры управления информационной безопасности. Таблица 1 — Наборы мер защиты информации Условное обозначение.
Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" Собрание законодательства Российской Федерации, 2011, N 19, ст. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления. Формирование требований к защите информации в автоматизированной системе управления 13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком. Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и стандартов организации и в том числе включает: принятие решения о необходимости защиты информации в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям защиты информации далее - классификация автоматизированной системы управления ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются: анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления; определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления определение критически важной информации , и оценка возможных последствий такого нарушения; анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления; принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления.
Настоящий документ распространяется на вновь создаваемые модернизируемые АСУ ТП, вводимые в эксплуатацию после вступления в силу настоящего Приказа и не распространяется на АСУ ТП, обрабатывающие государственную тайну. Стоит отметить, что АСУ ТП рассматриваются как один из классов ключевых систем информационной инфраструктуры. Понятие же ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей системы предупреждения и ликвидации чрезвычайных ситуаций, географические и навигационные системы, системы управления водоснабжением, энергоснабжением, транспортом и др. Следующие методические документы ФСТЭК России могут применяться при защите АСУ ТП в качестве дополнительного методического материала, в части не противоречащей требованиям настоящего Приказа: «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»; «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»; «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»; «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры». По концепции и структуре требований Приказ во многом является схожим с 21-ым и 17-ым приказом ФСТЭК России и включает в себя блок требований к организации защиты информации в АСУ ТП, а также требования к мерам защиты информации. Предложенная структура АСУ ТП включает три основных уровня, характеризующихся различным составом входящих в него компонентов. В качестве объектов защиты АСУ ТП выделяются: критически важная информация технологическая информация , включающая управляющую, контрольно-измерительную информацию и др.
Подобное требование есть во всех рассмотренных документах. При этом инвентаризация предусматривает не только идентификацию компонентов, участвующих в технологических процессах, но и хранение дополнительной информации, позволяющей определить их назначение, степень значимости и т. Данная процедура имеет одно из первостепенных значений для риск-ориентированного подхода, потому ждем ее появления в дальнейших ревизиях документа. Мероприятия, связанные с увольнением персонала. Не самые веселые, но необходимые действия, включающие блокирование учетных записей, смену паролей и т. Говорят, что бывшие следователи лучше всех умеют уничтожать улики, а экс-сотрудник КВО, хорошо знакомый с технологическим процессом, может быть значительно опаснее нарушителя со стороны. В целом, несмотря на отдельные шероховатости, документ соответствует лучшим международным стандартам и практикам в области обеспечения информационной безопасности АСУ ТП, а в отдельных пунктах вводит самые современные требования, необходимость в которых как раз назрела.
Основные разделы
- Telegram: Contact @KII187FZ
- Изменения в НПА по информационной безопасности
- Читайте также:
- Приказ ФСТЭК России № 31 от 14.03.2014
- Класс защищённости АСУ ТП
Приказ ФСТЭК России от 14.03.2014 № 31
Чтобы поверить это предположение, мы сравнили требования приказа ФСТЭК № 31 с ведущими зарубежными стандартами в области систем промышленной автоматизации, а именно. Приказ №31 продолжает курс ФСТЭК по унификации требований по защите информации и информационных систем (а теперь еще и АСУ ТП). окружающей природной среды (утв. приказом Федеральной службы по техническому и экспортному контролю. Опубликовано информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584 "Об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети". Приказ ФСТЭК России от 14.03.2014 № 31 Об утверждении требований к обеспечению защиты информации в АСУ ТП на КВО. УТВЕРЖДЕНЫ приказом ФСТЭК России от 14 марта 2014 г. N 31.
Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
приказа ФСТЭК №31. - Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ.
Приказ ФСТЭК от 14 марта 2014 г. N 31
Профилактические мероприятия осуществляются с учетом требований законодательства Российской Федерации в области защиты государственной тайны и иной информации ограниченного доступа. Цели, задачи и принципы проведения профилактических мероприятий 5. Целями проведения профилактических мероприятий являются: предупреждение и сокращение количества нарушений подконтрольными субъектами обязательных требований; повышение прозрачности деятельности ФСТЭК России при осуществлении экспортного контроля; снижение административной нагрузки на подконтрольных субъектов; создание мотивации у подконтрольных субъектов к добросовестному поведению и, как следствие, снижение уровня ущерба охраняемым законом ценностям. Основными задачами профилактических мероприятий являются: формирование у всех подконтрольных субъектов единого понимания обязательных требований в области экспортного контроля и порядка их соблюдения; инвентаризация состава и особенностей подконтрольных субъектов, оценка состояния подконтрольной среды; выявление причин, факторов и условий, способствующих нарушению обязательных требований, определение способов устранения или снижения рисков их возникновения; установление зависимости видов, форм и интенсивности профилактических мероприятий от особенностей конкретных подконтрольных субъектов. Краткий анализ текущего состояния подконтрольной среды 8. Текущее состояние подконтрольной среды характеризуется увеличением количества подконтрольных субъектов, осуществляющих внешнеэкономическую деятельность в отношении товаров работ, услуг , информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники либо при подготовке и или совершении террористических актов. Реализуемые в настоящее время на государственном уровне программы поддержки несырьевого экспорта нацелены на формирование широкого слоя активных экспортеров, в том числе из среды малого и среднего бизнеса, а также на устранение излишних административных барьеров во внешнеэкономической сфере, что должно позитивно отразиться на состоянии конкуренции и делового климата в стране. Вместе с тем начинающие внешнеэкономическую деятельность подконтрольные субъекты зачастую не в полной мере владеют тонкостями предконтрактной проработки планируемых к реализации внешнеэкономических сделок, не всегда способны провести идентификацию контролируемых товаров и технологий, что может привести к нарушению ими обязательных требований либо способствовать возникновению финансовых и репутационных издержек, связанных с отказом в выдаче лицензий разрешений на осуществление внешнеэкономических сделок с продукцией, подлежащей экспортному контролю.
На состояние подконтрольной среды может оказать воздействие дальнейшее увеличение количества подконтрольных субъектов за счет привлечения к внешнеэкономической деятельности субъектов малого и среднего бизнеса, а также изменение внешнеэкономической конъюнктуры вследствие улучшения политической ситуации в мире и связанной с ним поэтапной отменой санкционного давления на Россию со стороны ряда западных стран. Несмотря на то, что развитие ситуации во внешнеэкономической сфере по указанным направлениям потребует со стороны Российской Федерации определенных дипломатических и организационных усилий, а также финансовых и временных затрат, при планировании профилактических мероприятий представляется целесообразным исходить из развития ситуации по этому оптимистическому сценарию. Механизм оценки эффективности и результативности профилактических мероприятий 10.
Основным механизмом оценки эффективности и результативности профилактических мероприятий является оценка удовлетворенности подконтрольных субъектов качеством мероприятий, которая осуществляется методами социологических исследований. Ключевыми направлениями социологических исследований являются: 1 информированность подконтрольных субъектов об обязательных требованиях, о принятых и готовящихся изменениях в системе обязательных требований, о порядке проведения мероприятий по контролю, правах подконтрольного субъекта в ходе мероприятий по контролю; 2 знание и однозначное толкование подконтрольными субъектами и ФСТЭК России обязательных требований и правил их соблюдения; 3 вовлечение подконтрольных субъектов в регулярное взаимодействие с ФСТЭК России, в том числе в рамках проводимых профилактических мероприятий. Перечень уполномоченных лиц с контактами , ответственных за организацию и проведение профилактических мероприятий в ФСТЭК России и ее территориальных органах 11. Ссылка на официальный сайт ФСТЭК России в сети "Интернет", на котором должна содержаться информация о текущих результатах профилактической работы, готовящихся и состоявшихся профилактических мероприятиях,.
Целесообразно проводить исследования по выявлению уязвимостей и НДВ: при выполнении проектирования и разработки ПО этап разработки ; при выполнении квалификационного тестирования ПО этап тестирования ; при выполнении инсталляции программы и поддержки приемки ПО этап реализации и эксплуатации. Одним из способов упростить и автоматизировать проведение таких исследований является применение СЗИ для анализа кода. Необходимо отметить важность проверки программного кода, содержащегося в транспортных запросах, при переносе данных по ландшафту системы от этапа к этапу. В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки. Изображение Anti-Malware.
Добровольная сертификация Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. При этом добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между ним и органом по сертификации, который осуществляет подтверждение соответствия. Например, есть отраслевые системы добровольной сертификации, подтверждающие соответствие СрЗИ стандартам организации данной отрасли. Декларирование соответствия Подтверждение соответствия продукции требованиям технических регламентов, при этом качество продукции услуг, персонала подтверждается заявителям изготовителем, продавцом на основании собственных доказательств с участием или без участия органа по сертификации и или аккредитованной испытательной лаборатории.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
| Новости нормативки по ИБ. Сентябрь — октябрь 2023 года - вАЙТИ | Первая особенность приказа № 31 – «уникальные» требования обеспечения безопасной разработки программного обеспечения (ОБР), которых нет в аналогичных приказах ФСТЭК. |
| etherCUT для приказа №31 ФСТЭК | Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных. |
| Telegram: Contact @KII187FZ | В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». |
| Приказ ФСТЭК России от 14.03.2014 № 31 | Редакция действует с 12 июля 2021 | Юрист компании | Чтобы поверить это предположение, мы сравнили требования приказа ФСТЭК № 31 с ведущими зарубежными стандартами в области систем промышленной автоматизации, а именно. |
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
Ответственный за ИБ промышленных систем автоматизации должен относиться к подразделению ИБ и обладать компетенциями в сфере автоматизации. Стоит учитывать также зарубежный опыт в данном вопросе: самым подходящим решением является создание по примеру NIST SP 800-82 [12] межфункциональной команды кибербезопасности, обеспечивающей плотное взаимодействие этих направлений. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : приказ ФСТЭК России от 14 марта 2014 г. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры : утв. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры : утв. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры : утв. Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры : утв.
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах : приказ ФСТЭК России от 11 фев.
Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.
Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации.
Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34.
По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии.
По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком.
Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний.
В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей модель нарушителя , возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации». Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Краткое изложение Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами АСУ ТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ.
Общие требования" далее - ГОСТ Р 51624 и стандартов организации и в том числе включает: принятие решения о необходимости защиты информации в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям защиты информации далее - классификация автоматизированной системы управления ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются: анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления; определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления определение критически важной информации , и оценка возможных последствий такого нарушения; анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления; принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости критичности информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.
Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" далее - ГОСТ 34. Класс защищенности автоматизированной системы управления сегмента подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости критичности информации, обрабатываемой в автоматизированной системе управления сегменте. Угрозы безопасности информации определяются на каждом из уровней автоматизированной системы управления по результатам: оценки возможностей потенциала, оснащенности и мотивации внешних и внутренних нарушителей; анализа возможных уязвимостей автоматизированной системы управления; анализа возможных способов сценариев реализации угроз безопасности информации и последствий от нарушения как отдельных свойств безопасности информации целостности, доступности, конфиденциальности , так и автоматизированной системы управления в целом. При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней сегментов автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования. По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование нейтрализацию отдельных угроз безопасности информации. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования", а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика. Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы. Стадии создания" далее - ГОСТ 34. Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления. При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями.
etherCUT для приказа №31 ФСТЭК
Предлагается не только восстановить нумерацию мер, но и сделать ДНС. Сейчас они относятся к корректирующим или дополнительным мерам. С 31 приказом изменения намного более радикальнее и критичнее. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст.
Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" далее - ГОСТ 34. Класс защищенности автоматизированной системы управления сегмента подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости критичности информации, обрабатываемой в автоматизированной системе управления сегменте. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: а выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; б анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; в определение возможных способов сценариев реализации возникновения угроз безопасности информации; г оценку возможных последствий от реализации возникновения угроз безопасности информации, нарушения отдельных свойств безопасности информации целостности, доступности, конфиденциальности и автоматизированной системы управления в целом.
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст. При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней сегментов автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования. По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование нейтрализацию отдельных угроз безопасности информации. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика.
Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы. Стадии создания" далее - ГОСТ 34. Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления. При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемой с учетом ГОСТ 34.
Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.
Вместе с тем начинающие внешнеэкономическую деятельность подконтрольные субъекты зачастую не в полной мере владеют тонкостями предконтрактной проработки планируемых к реализации внешнеэкономических сделок, не всегда способны провести идентификацию контролируемых товаров и технологий, что может привести к нарушению ими обязательных требований либо способствовать возникновению финансовых и репутационных издержек, связанных с отказом в выдаче лицензий разрешений на осуществление внешнеэкономических сделок с продукцией, подлежащей экспортному контролю. Продолжают иметь место отдельные случаи, когда подконтрольные субъекты для получения финансовых выгод от осуществления внешнеэкономических сделок с продукцией, подлежащей экспортному контролю, идут на нарушения обязательных требований. Такие нарушения выявляются и к нарушителям применяются меры, предусмотренные законодательством Российской Федерации. Анализ текущего состояния подконтрольной среды свидетельствует о том, что в условиях свободного обращения на внутреннем рынке значительной части номенклатуры продукции, подлежащей экспортному контролю, вышеуказанные негативные тенденции могут проявляться в действиях подконтрольных субъектов, находящихся в любом регионе Российской Федерации. К наиболее опасным проявлениям таких тенденций относятся нарушения подконтрольными субъектами обязательных требований, приводящие к возникновению рисков нанесения ущерба интересам безопасности государства. В этой связи работа по профилактике нарушений обязательных требований должна выстраиваться на регулярной основе и проводиться во всех регионах Российской Федерации. Описание текущих и ожидаемых тенденций, которые могут оказать воздействие на состояние подконтрольной среды 9. На состояние подконтрольной среды может оказать воздействие дальнейшее увеличение количества подконтрольных субъектов за счет привлечения к внешнеэкономической деятельности субъектов малого и среднего бизнеса, а также изменение внешнеэкономической конъюнктуры вследствие улучшения политической ситуации в мире и связанной с ним поэтапной отменой санкционного давления на Россию со стороны ряда западных стран.
Статьи приобретаются навсегда и будут доступны в Вашем Личном кабинете. В дальнейшем Вы можете приобретать доступ к другим статьям оформляя счет-оферты в Личном кабинете. С полными текстами всех статей вы можете ознакомиться на страницах журнала.
Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. Приказ ФСТЭК России № 229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ». Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. Приказ ФСТЭК России от 14 марта 2014 г. № 31 (автоматизированные системы управления производственными и технологическими процессами). ПРИКАЗ. от 14 марта 2014 года N 31. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных. Описание на русском: Приказ ФСТЭК России № 31 от 14.03.2014 (ред. от 15.03.2021) 'Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на.