Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31. I. Общие положения.
Приказ ФСТЭК России от 14 марта 2014 г. N 31
К наиболее опасным проявлениям таких тенденций относятся нарушения подконтрольными субъектами обязательных требований, приводящие к возникновению рисков нанесения ущерба интересам безопасности государства. В этой связи работа по профилактике нарушений обязательных требований должна выстраиваться на регулярной основе и проводиться во всех регионах Российской Федерации. Описание текущих и ожидаемых тенденций, которые могут оказать воздействие на состояние подконтрольной среды 9. На состояние подконтрольной среды может оказать воздействие дальнейшее увеличение количества подконтрольных субъектов за счет привлечения к внешнеэкономической деятельности субъектов малого и среднего бизнеса, а также изменение внешнеэкономической конъюнктуры вследствие улучшения политической ситуации в мире и связанной с ним поэтапной отменой санкционного давления на Россию со стороны ряда западных стран. Несмотря на то, что развитие ситуации во внешнеэкономической сфере по указанным направлениям потребует со стороны Российской Федерации определенных дипломатических и организационных усилий, а также финансовых и временных затрат, при планировании профилактических мероприятий представляется целесообразным исходить из развития ситуации по этому оптимистическому сценарию.
Механизм оценки эффективности и результативности профилактических мероприятий 10. Основным механизмом оценки эффективности и результативности профилактических мероприятий является оценка удовлетворенности подконтрольных субъектов качеством мероприятий, которая осуществляется методами социологических исследований. Ключевыми направлениями социологических исследований являются: 1 информированность подконтрольных субъектов об обязательных требованиях, о принятых и готовящихся изменениях в системе обязательных требований, о порядке проведения мероприятий по контролю, правах подконтрольного субъекта в ходе мероприятий по контролю; 2 знание и однозначное толкование подконтрольными субъектами и ФСТЭК России обязательных требований и правил их соблюдения; 3 вовлечение подконтрольных субъектов в регулярное взаимодействие с ФСТЭК России, в том числе в рамках проводимых профилактических мероприятий.
Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации.
При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.
Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.
При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.
В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию. По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34.
При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемых с учетом ГОСТ 34.
Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.
Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации.
При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации.
При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.
Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34.
По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.
При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления.
В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.
Смыслом этого закона, судя по пояснительной записке , подготовленной на этапе его проектирования, является извлечение из правового поля некоторых государственных услуг, для которых ранее действовали принципы открытости госорганов. В том числе, например, это касается контроля за соблюдением лицензионных требований при осуществлении деятельности, связанной с государственной безопасностью. Я считаю, что это правильное решение. Вступил в силу профстандарт для специалистов по ИБ в кредитно-финансовой сфере С 01. Этот профстандарт имеет типовую структуру: общие сведения, описание трудовых функций и характеристика обобщенных трудовых функций. В отличие от других профстандартов для специалистов по ИБ спецы в кредитно-финансовой сфере у нас универсалы. К их трудовым функциям относятся и обеспечение функционирования СЗИ, и управление инцидентами ИБ, и управление рисками ИБ, и методологическое обеспечение процессов ИБ, и контроль обеспечения ИБ и обеспечение операционной надежности, и организация процессов обеспечения ИБ. В общем, спец по ИБ в кредитно-финансовой сфере — «и швец, и жнец, и на дуде игрец».
Это доказывает высокие стандарты в области ИБ, установленные в кредитно-финансовой сфере регуляторами и Банком России в частности.
Приказ № 31
Приказ ФСТЭК по защите АСУ ТП №31. Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608).
Подходы к выполнению требований Приказа №31 ФСТЭК России
Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды с изменениями на 15 марта 2021 года I. Общие положения 1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды далее - автоматизированные системы управления , от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий компьютерных атак , следствием которых может стать нарушение функционирования автоматизированной системы управления. Абзац дополнительно включен с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138 Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления. В случае необходимости применение криптографических методов защиты информации и шифровальных криптографических средств защиты информации осуществляется в соответствии с законодательством Российской Федерации. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и или производственным оборудованием исполнительными устройствами и реализованными на нем технологическими и или производственными процессами в том числе системы диспетчерского управления, системы сбора передачи данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления далее - заказчик , лиц, обеспечивающих эксплуатацию автоматизированных систем управления далее - оператор , а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию проектированию автоматизированных систем управления и или их систем защиты далее - разработчик. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных, исполнительных устройств нижний полевой уровень.
По концепции и структуре требований Приказ во многом является схожим с 21-ым и 17-ым приказом ФСТЭК России и включает в себя блок требований к организации защиты информации в АСУ ТП, а также требования к мерам защиты информации. Предложенная структура АСУ ТП включает три основных уровня, характеризующихся различным составом входящих в него компонентов. В качестве объектов защиты АСУ ТП выделяются: критически важная информация технологическая информация , включающая управляющую, контрольно-измерительную информацию и др. В соответствии с Приказом защита информации, обрабатываемая в АСУ ТП, является составной частью работ по ее созданию и эксплуатации и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты.
При этом меры защиты информации должны: обеспечивать, в первую очередь, доступность и целостность информации и при необходимости ее конфиденциальность; соотноситься с мерами по промышленной, физической, пожарной, и т. Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами. Для определения класса защищенности необходимо определить уровень значимости обрабатываемой информации в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации.
Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ. Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами АСУ ТП.
Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ. В АСУ объектами защиты являются: Информация о параметрах управляемого объекта или процесса, в том числе: входная-выходная информация;.
При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемых с учетом ГОСТ 34.
Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34. Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором.
Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34.
По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение.
Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.
Изменения в НПА по информационной безопасности
Опубликовано информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584 "Об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети". Приказ ФСТЭК РФ от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных. Описание на русском: Приказ ФСТЭК России № 31 от 14.03.2014 (ред. от 15.03.2021) 'Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на.
Подходы к выполнению требований Приказа №31 ФСТЭК России
| Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31 | ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Контроль соответствия требованиям Приказа ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления. |
| Приказ ФСТЭК России № 31 от 14.03.2014 | В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». |
Новости нормативки по ИБ. Сентябрь — октябрь 2023 года
| Приказ ФСТЭК России № 31 от 14.03.2014 | Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. |
| Приказ № 31 | Приказ ФСТЭК России № 229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ». |
| Новости нормативки по ИБ. Сентябрь — октябрь 2023 года - вАЙТИ | Приказ ФСТЭК России N 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах. |
Информация
- Информация
- Архив блога
- Изменения в НПА по информационной безопасности — Роман Быков на
- Изменения в НПА по информационной безопасности
Приказ ФСТЭК России от 14.03.2014 № 31
Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования резервного копирования или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС.
Устанавливаются три класса защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с уровнем значимости критичности информации. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; определение возможных способов сценариев реализации возникновения угроз безопасности информации; оценку возможных последствий от реализации возникновения угроз безопасности информации, нарушения отдельных свойств безопасности информации целостности, доступности, конфиденциальности и автоматизированной системы управления в целом.
При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней этой системы.
Например, опираясь на практики методических документов ФСТЭК, относящихся к ключевым системам информационной инфраструктуры КСИИ [5, 6, 7, 8] и к другим типам систем [9, 10]. Полученная степень ущерба необходима разработчику системы информационной безопасности для определения класса защищённости АСУ ТП и зависит от характера чрезвычайной ситуации.
Однако заказчик или оператор не могут предоставить требуемые данные, ведь объект по факту ещё не существует. Выход: определить характер чрезвычайной ситуации можно, либо исходя из паспортов аналогичных, уже введённых в эксплуатацию систем, либо методом экспертной оценки. Критерии, на основании которых определяется предварительный класс защищённости АСУ ТП, представлены в таблицах 2 и 3.
Однако на практике в ТЗ заказчик указывает всё ту же пресловутую фразу про оценку соответствия СрЗИ без уточнения формы. Причины следующие: отсутствие чёткого толкования условий и результата проведения оценки соответствия в других формах; устоявшаяся практика применения сертифицированных СрЗИ; отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах следствие из предыдущего пункта. Давайте разбираться.
Вместе с тем начинающие внешнеэкономическую деятельность подконтрольные субъекты зачастую не в полной мере владеют тонкостями предконтрактной проработки планируемых к реализации внешнеэкономических сделок, не всегда способны провести идентификацию контролируемых товаров и технологий, что может привести к нарушению ими обязательных требований либо способствовать возникновению финансовых и репутационных издержек, связанных с отказом в выдаче лицензий разрешений на осуществление внешнеэкономических сделок с продукцией, подлежащей экспортному контролю. Продолжают иметь место отдельные случаи, когда подконтрольные субъекты для получения финансовых выгод от осуществления внешнеэкономических сделок с продукцией, подлежащей экспортному контролю, идут на нарушения обязательных требований. Такие нарушения выявляются и к нарушителям применяются меры, предусмотренные законодательством Российской Федерации. Анализ текущего состояния подконтрольной среды свидетельствует о том, что в условиях свободного обращения на внутреннем рынке значительной части номенклатуры продукции, подлежащей экспортному контролю, вышеуказанные негативные тенденции могут проявляться в действиях подконтрольных субъектов, находящихся в любом регионе Российской Федерации. К наиболее опасным проявлениям таких тенденций относятся нарушения подконтрольными субъектами обязательных требований, приводящие к возникновению рисков нанесения ущерба интересам безопасности государства. В этой связи работа по профилактике нарушений обязательных требований должна выстраиваться на регулярной основе и проводиться во всех регионах Российской Федерации. Описание текущих и ожидаемых тенденций, которые могут оказать воздействие на состояние подконтрольной среды 9.
Обзор требований ФСТЭК России к анализу программного кода средствами защиты информации
Задать вопрос. Главная Новости НАЦ аттестовал информационную систему предприятия "Ростеха" по 31 Приказу ФСТЭК. Ранее не встречал нормального доступного для всех соответствия между мерами защиты из всех приказов ФСТЭК между собой. 31 приказ будет применятся для защиты АСУ, которые незначимые объекты КИИ. Контроль соответствия требованиям Приказа ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления. Презентация: Вебинар посвящён рассмотрению основных подходов к выполнению требований приказа ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению за. Утверждена приказом ФСТЭК России от 19 февраля 2018 г. N 31.
Изменения в НПА по информационной безопасности
| Новости нормативки по ИБ. Сентябрь — октябрь 2023 года - вАЙТИ | Утверждены приказом ФСТЭК России от 14 марта 2014 г. N 31. |
| ДОКУМЕНТЫ ФСТЭК РОССИИ | Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". |
| Новости нормативки по ИБ. Сентябрь — октябрь 2023 года - вАЙТИ | Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. |
| Приказ ФСТЭК России от 14 марта 2014 г. N 31 - ФСТЭК России | Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. |
Подходы к выполнению требований Приказа №31 ФСТЭК России
Декларирование соответствия Подтверждение соответствия продукции требованиям технических регламентов, при этом качество продукции услуг, персонала подтверждается заявителям изготовителем, продавцом на основании собственных доказательств с участием или без участия органа по сертификации и или аккредитованной испытательной лаборатории. Обязательная сертификация Осуществляется органом по сертификации на соответствие требованиям технических регламентов. Схемы сертификации, применяемые для сертификации, устанавливаются соответствующим техническим регламентом. Может проводиться в соответствии с ГОСТ 34.
На этапе разработки системы защиты в рамках проектирования системы защиты информации осуществляется выбор СрЗИ, прошедших оценку соответствия, и определяются необходимые меры защиты с учетом особенностей функционирования ПО и технических средств на каждом уровне АСУ ТП. Стоит отметить, что форма оценки соответствия СрЗИ должна быть определена заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании».
Этап внедрения системы защиты информации включает следующие мероприятия: настройку ПО АСУ ТП; проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний системы; анализ уязвимостей АСУ ТП, в рамках которого по решению заказчика может проводиться тестирование на проникновение; разработку документов, определяющих правила и процедуры, реализуемые для защиты информации. В этом случае, аттестация системы защиты информации проводится в соответствии с национальными стандартами и методическим документами ФСТЭК России с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений. Этапы обеспечения защиты информации в ходе эксплуатации системы защиты и при выводе ее из действия предусматривают реализацию определенных процедур управления информационной безопасностью, таких как: планирование мероприятий по обеспечению защиты в автоматизированных системах управления производственными и технологическими процессами; обеспечение действий в нештатных ситуациях; обучение персонала; выявление инцидентов в ходе эксплуатации и реагирование на них; контроль за обеспечением уровня защищенности; управление системой защиты, а также управление конфигурацией автоматизированных систем управления производственными и технологическими процессами; архивирование информации, а также уничтожение данных и остаточной информации при выводе автоматизированных систем управления производственными и технологическими процессами из эксплуатации. Состав мер защиты информации, описанных в документе, приведен в таблице Таблица 1. Каждая группы мер защиты включает требование по обязательному документированию соответствующей процедуры управления информационной безопасности.
Стоит учитывать также зарубежный опыт в данном вопросе: самым подходящим решением является создание по примеру NIST SP 800-82 [12] межфункциональной команды кибербезопасности, обеспечивающей плотное взаимодействие этих направлений. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : приказ ФСТЭК России от 14 марта 2014 г. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры : утв.
Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры : утв. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры : утв. Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры : утв.
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах : приказ ФСТЭК России от 11 фев. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных : приказ ФСТЭК России от 18 фев.
Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС. В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck.
Приказ ФСТЭК России от 14 марта 2014 г. N 31
Ранее не встречал нормального доступного для всех соответствия между мерами защиты из всех приказов ФСТЭК между собой. Уровни доверия определяются в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772). Утверждены приказом ФСТЭК России от 14 марта 2014 г. N 31. Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст.
Приказ ФСТЭК России № 31 от 14.03.2014
Иными словами, Приказ ФСТЭК N 31 от 14.03.2014 позволяет легально применить требования для защиты тех АСУ ТП, которые не являются ЗОКИИ. 31 приказ ФСТЭК, используется для незначимых ОКИИ. РИА Новости: Подозрительную радиостанцию из леса в Пушкино изъяли для проверки. Главная» Новости» Фстэк новости. Первая особенность приказа № 31 – «уникальные» требования обеспечения безопасной разработки программного обеспечения (ОБР), которых нет в аналогичных приказах ФСТЭК. Первая особенность приказа № 31 – «уникальные» требования обеспечения безопасной разработки программного обеспечения (ОБР), которых нет в аналогичных приказах ФСТЭК.