используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. ПРИКАЗ. от 14 марта 2014 года N 31. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных.
etherCUT для приказа №31 ФСТЭК
Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости критичности информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс — третий, самый высокий — первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» далее — ГОСТ 34.
Класс защищенности автоматизированной системы управления сегмента подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости критичности информации, обрабатываемой в автоматизированной системе управления сегменте. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: а выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; б анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; в определение возможных способов сценариев реализации возникновения угроз безопасности информации; г оценку возможных последствий от реализации возникновения угроз безопасности информации, нарушения отдельных свойств безопасности информации целостности, доступности, конфиденциальности и автоматизированной системы управления в целом. В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст. При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней сегментов автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования. По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование нейтрализацию отдельных угроз безопасности информации. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика. Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы. Стадии создания» далее — ГОСТ 34.
Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления. При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями.
Для того чтобы выполнить анализ, необходимо будет предоставить испытательным лабораториям исходный код программных решений или воспользоваться интегрируемыми СЗИ, установив их на испытательный стенд. В последнем случае выгрузка исходного кода не потребуется, если стенд будет развернут на рабочей станции разработчика программного обеспечения.
Схема использования СЗИ для анализа кода после завершения разработки ПО Выявление уязвимостей и НДВ, согласно методике, необходимо выполнять посредством проведения статического анализа исходного кода программы, а также путем реализации процедуры, позволяющей выполнять отслеживание и исправление всех обнаруженных дефектов безопасности и уязвимостей исследуемой программы. Исследования по выявлению уязвимостей и НДВ состоят из следующих этапов: подготовка к проведению исследований; проведение исследований программы с привлечением СЗИ для анализа кода; разработка протокола исследований с привлечением СЗИ для подготовки отчетности по результатам исследований. Рекомендуемый набор требований, предъявляемых к инструменту статического анализа в СЗИ: автоматизация анализа исходного кода;.
При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты.
Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию. По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления 16. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются: определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления; разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления; контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом. В ходе обеспечения действий в нештатных непредвиденных ситуациях при эксплуатации автоматизированной системы управления осуществляются: планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных непредвиденных ситуаций; обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных непредвиденных ситуаций; создание альтернативных мест хранения и обработки информации на случай возникновения нештатных непредвиденных ситуаций; резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных непредвиденных ситуаций; обеспечение возможности восстановления автоматизированной системы управления и или ее компонентов в случае возникновения нештатных непредвиденных ситуаций.
С 31 приказом изменения намного более радикальнее и критичнее. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст. УК РФ. Присвоите вы категорию значимости КИИ или примете решение о "незначимости" - это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК.
Обзор приказа ФСТЭК №31
Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 г. N 31 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В. УТВЕРЖДЕНЫ приказом ФСТЭК России от 14 марта 2014 г. N 31. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст.
Обзор приказа ФСТЭК №31
Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608). Ранее не встречал нормального доступного для всех соответствия между мерами защиты из всех приказов ФСТЭК между собой. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608). Итак, 30 июня Минюстом был зарегистрирован долгожданный приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП. Решение etherCUT может использоваться для реализации части мер по приказу №31 ФСТЭК России.
etherCUT для приказа №31 ФСТЭК
Приказ ФСТЭК России от 14 марта 2014 г. N 31 — регламентирует работу по защите информации в АС, управляющими опасными производственными и технологическими процессами на важных и потенциально опасных объектах. УТВЕРЖДЕНЫ приказом ФСТЭК России от 14 марта 2014 г. N 31. Утверждены приказом ФСТЭК России от 14 марта 2014 г. N 31. Итак, 30 июня Минюстом был зарегистрирован долгожданный приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП. Уровни доверия определяются в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772). Приказ ФСТЭК России N 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах.
Разъяснение ФСТЭК по 31-му приказу
Следующие методические документы ФСТЭК России могут применяться при защите АСУ ТП в качестве дополнительного методического материала, в части не противоречащей требованиям настоящего Приказа: «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»; «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»; «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»; «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры». По концепции и структуре требований Приказ во многом является схожим с 21-ым и 17-ым приказом ФСТЭК России и включает в себя блок требований к организации защиты информации в АСУ ТП, а также требования к мерам защиты информации. Предложенная структура АСУ ТП включает три основных уровня, характеризующихся различным составом входящих в него компонентов. В качестве объектов защиты АСУ ТП выделяются: критически важная информация технологическая информация , включающая управляющую, контрольно-измерительную информацию и др. В соответствии с Приказом защита информации, обрабатываемая в АСУ ТП, является составной частью работ по ее созданию и эксплуатации и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты. При этом меры защиты информации должны: обеспечивать, в первую очередь, доступность и целостность информации и при необходимости ее конфиденциальность; соотноситься с мерами по промышленной, физической, пожарной, и т. Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами.
Часто российское нормотворчество упрекают в том, что оно оторвано от передового международного опыта и не соответствует последним тенденциям. Это важные меры: любой процесс обеспечения безопасности, причем не только информационной, начинают строить с тщательного документирования всех процедур. Регулярный чекинг можно сравнить с предполетным осмотром самолета и проверкой бортового журнала, и звучит все это скучновато для пассажира лишь до тех пор, пока пассажир не поднялся на высоту 10 тысяч метров. Требования к защите среды виртуализации ЗСВ. Технологии виртуализации позволяют оптимизировать ресурсы, однако порождают новые угрозы. Понятно, что снижение издержек интереснее борьбы за безопасность, поэтому критически важные системы в целом и АСУ ТП в частности очень быстро оказываются в не совсем безопасных облаках, и этот процесс необходимо как-то контролировать. Обучение и отработка действий пользователей в случае возникновения нештатных непредвиденных ситуаций ДНС. Повышение осведомленности персонала уменьшает как минимум риски, связанные с социальной инженерией.
При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне, то есть с использованием СКЗИ. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Устанавливаются три класса защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с уровнем значимости критичности информации.
Класс защищенности автоматизированной системы управления определяется в соответствии с уровнем значимости критичности информации. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; определение возможных способов сценариев реализации возникновения угроз безопасности информации; оценку возможных последствий от реализации возникновения угроз безопасности информации, нарушения отдельных свойств безопасности информации целостности, доступности, конфиденциальности и автоматизированной системы управления в целом. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней этой системы. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления, а также обеспечивать конфигурацию, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации, программного обеспечения и автоматизированной системы в целом. Срок действия: не ограничен Ответственность: За неправомерное воздействие на КИИ, за несоблюдение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, предусмотрена уголовная ответственность статья 274.
Приказ ФСТЭК России от 14.03.2014 № 31
Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. Согласно требованиям приказа ФСТЭК России №131 SafeERP будет проходить сертификацию как СЗИ 5-го уровня доверия. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст. Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст. Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. I. Общие положения.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при обеспечении безопасности АСУ ТП. Требований, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31, не содержат положений, устанавливающих обязательную аттестацию автоматизированных систем управления производственными и технологическими процессами. В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». Чтобы поверить это предположение, мы сравнили требования приказа ФСТЭК № 31 с ведущими зарубежными стандартами в области систем промышленной автоматизации, а именно. Итак, 30 июня Минюстом был зарегистрирован долгожданный приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и.