используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г.
Приказ ФСТЭК России от 14.03.2014 № 31
Задать вопрос. Главная Новости НАЦ аттестовал информационную систему предприятия "Ростеха" по 31 Приказу ФСТЭК. 3. Контроль за исполнением настоящего приказа возложить на первого заместителя директора ФСТЭК России С.Ф. Якимова. Информация. Вебинары. Новости отрасли. Документы. Предприятия.
Новости нормативки по ИБ. Сентябрь — октябрь 2023 года
Информация. Вебинары. Новости отрасли. Документы. Предприятия. Главная» Новости» Фстэк новости. Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю.
Приказ ФСТЭК России от 14.03.2014 № 31
Николай тация: посвящён рассмотрению основных подходов к выполнению тр. Главная» Новости» Фстэк новости. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608). Приказ ФСТЭК России от 14.03.2014 № 31 Об утверждении требований к обеспечению защиты информации в АСУ ТП на КВО. Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при. Презентация: Вебинар посвящён рассмотрению основных подходов к выполнению требований приказа ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению за.
Разъяснение ФСТЭК по 31-му приказу
В качестве объектов защиты АСУ ТП выделяются: критически важная информация технологическая информация , включающая управляющую, контрольно-измерительную информацию и др. В соответствии с Приказом защита информации, обрабатываемая в АСУ ТП, является составной частью работ по ее созданию и эксплуатации и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты. При этом меры защиты информации должны: обеспечивать, в первую очередь, доступность и целостность информации и при необходимости ее конфиденциальность; соотноситься с мерами по промышленной, физической, пожарной, и т. Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами. Для определения класса защищенности необходимо определить уровень значимости обрабатываемой информации в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации. В случае обработки в АСУ ТП двух и более видов информации измерительная информация, информация о состоянии процесса , уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них или может быть установлен отдельно для каждого из уровней автоматизированных систем управления производственными и технологическими процессами и иных сегментов при их наличии.
Описание текущих и ожидаемых тенденций, которые могут оказать воздействие на состояние подконтрольной среды 9. На состояние подконтрольной среды может оказать воздействие дальнейшее увеличение количества подконтрольных субъектов за счет привлечения к внешнеэкономической деятельности субъектов малого и среднего бизнеса, а также изменение внешнеэкономической конъюнктуры вследствие улучшения политической ситуации в мире и связанной с ним поэтапной отменой санкционного давления на Россию со стороны ряда западных стран. Несмотря на то, что развитие ситуации во внешнеэкономической сфере по указанным направлениям потребует со стороны Российской Федерации определенных дипломатических и организационных усилий, а также финансовых и временных затрат, при планировании профилактических мероприятий представляется целесообразным исходить из развития ситуации по этому оптимистическому сценарию. Механизм оценки эффективности и результативности профилактических мероприятий 10.
Основным механизмом оценки эффективности и результативности профилактических мероприятий является оценка удовлетворенности подконтрольных субъектов качеством мероприятий, которая осуществляется методами социологических исследований. Ключевыми направлениями социологических исследований являются: 1 информированность подконтрольных субъектов об обязательных требованиях, о принятых и готовящихся изменениях в системе обязательных требований, о порядке проведения мероприятий по контролю, правах подконтрольного субъекта в ходе мероприятий по контролю; 2 знание и однозначное толкование подконтрольными субъектами и ФСТЭК России обязательных требований и правил их соблюдения; 3 вовлечение подконтрольных субъектов в регулярное взаимодействие с ФСТЭК России, в том числе в рамках проводимых профилактических мероприятий. Перечень уполномоченных лиц с контактами , ответственных за организацию и проведение профилактических мероприятий в ФСТЭК России и ее территориальных органах 11.
УК РФ. Присвоите вы категорию значимости КИИ или примете решение о "незначимости" - это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК. Будете 239 приказ выполнять или 31, а наборы мер в них одинаковые..
Проверка выполнения юридическим лицом или индивидуальным предпринимателем требований технических регламентов. Добровольная сертификация Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.
При этом добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между ним и органом по сертификации, который осуществляет подтверждение соответствия. Например, есть отраслевые системы добровольной сертификации, подтверждающие соответствие СрЗИ стандартам организации данной отрасли.
etherCUT для приказа №31 ФСТЭК
К их трудовым функциям относятся и обеспечение функционирования СЗИ, и управление инцидентами ИБ, и управление рисками ИБ, и методологическое обеспечение процессов ИБ, и контроль обеспечения ИБ и обеспечение операционной надежности, и организация процессов обеспечения ИБ. В общем, спец по ИБ в кредитно-финансовой сфере — «и швец, и жнец, и на дуде игрец». Это доказывает высокие стандарты в области ИБ, установленные в кредитно-финансовой сфере регуляторами и Банком России в частности. Сам стандарт очень удобно использовать для формирования должностных обязанностей специалистов по ИБ разных направлений, в том числе перечисленных мной двумя абзацами выше. Порядок этих действий в общих чертах такой: при выявлении инцидента ИБ кредитная организация направляет уведомление по форме и в порядке Банка России и одновременно по форме и в порядке НКЦКИ. Если инцидент привел к утечке персональных данных, НКЦКИ надо дополнительно уведомить по еще одной форме в еще одном порядке ; кредитной организации рекомендуется сохранить следы компрометации.
Например, образы оперативки, скомпрометированных жестких дисков, информацию о сетевой активности во время и до атаки; эти следы следует проанализировать в порядке, приведенном в стандарте Банка России СТО БР ИББС-1. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств»; если инцидент ИБ привел к каким-то потерям, масштаб трагедии определяется в соответствии с пунктами 7. Как видим, у Банка России имеется инструкция для кредитно-финансовых организаций на любой случай жизни, что, с моей точки зрения, похвально.
Требования к системе защиты АСУ ТП определяются в зависимости от класса защищенности и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации. На этапе разработки системы защиты в рамках проектирования системы защиты информации осуществляется выбор СрЗИ, прошедших оценку соответствия, и определяются необходимые меры защиты с учетом особенностей функционирования ПО и технических средств на каждом уровне АСУ ТП. Стоит отметить, что форма оценки соответствия СрЗИ должна быть определена заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании». Этап внедрения системы защиты информации включает следующие мероприятия: настройку ПО АСУ ТП; проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний системы; анализ уязвимостей АСУ ТП, в рамках которого по решению заказчика может проводиться тестирование на проникновение; разработку документов, определяющих правила и процедуры, реализуемые для защиты информации. В этом случае, аттестация системы защиты информации проводится в соответствии с национальными стандартами и методическим документами ФСТЭК России с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений. Этапы обеспечения защиты информации в ходе эксплуатации системы защиты и при выводе ее из действия предусматривают реализацию определенных процедур управления информационной безопасностью, таких как: планирование мероприятий по обеспечению защиты в автоматизированных системах управления производственными и технологическими процессами; обеспечение действий в нештатных ситуациях; обучение персонала; выявление инцидентов в ходе эксплуатации и реагирование на них; контроль за обеспечением уровня защищенности; управление системой защиты, а также управление конфигурацией автоматизированных систем управления производственными и технологическими процессами; архивирование информации, а также уничтожение данных и остаточной информации при выводе автоматизированных систем управления производственными и технологическими процессами из эксплуатации.
Состав мер защиты информации, описанных в документе, приведен в таблице Таблица 1.
Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы. Стадии создания" далее - ГОСТ 34. Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления.
При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемой с учетом ГОСТ 34. Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34. Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15.
Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; определение администратора безопасности информации; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.
В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды далее - автоматизированные системы управления , от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий компьютерных атак , следствием которых может стать нарушение функционирования автоматизированной системы управления. Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления. В случае необходимости применение криптографических методов защиты информации и шифровальных криптографических средств защиты информации осуществляется в соответствии с законодательством Российской Федерации. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и или производственным оборудованием исполнительными устройствами и реализованными на нем технологическими и или производственными процессами в том числе системы диспетчерского управления, системы сбора передачи данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления далее - заказчик , лиц, обеспечивающих эксплуатацию автоматизированных систем управления далее - оператор , а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию проектированию автоматизированных систем управления и или их систем защиты далее - разработчик. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень "вода вывода данных, исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации. Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации.
Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления. Формирование требований к защите информации в автоматизированной системе управления 13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком.
Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и стандартов организации и в том числе включает: принятие решения о необходимости защиты информации в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям защиты информации далее - классификация автоматизированной системы управления ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются: анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления; определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления определение критически важной информации , и оценка возможных последствий такого нарушения; анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления; принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости критичности информации, обработка которой осуществляется в автоматизированной системе управления.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при обеспечении безопасности АСУ ТП. Приказ ФСТЭК России N 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах. Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31. I. Общие положения.
Новости нормативки по ИБ. Сентябрь — октябрь 2023 года
| Защита документов | 31 приказ ФСТЭК, используется для незначимых ОКИИ. |
| Приказ ФСТЭК России от 14 марта 2014 г. N 31 | Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. |
| Приказ ФСТЭК России № 31 от 14.03.2014 | Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31. |
Изменения в НПА по информационной безопасности
Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". Приказ ФСТЭК России от 14 марта 2014 г. № 31 (автоматизированные системы управления производственными и технологическими процессами). Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных. Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. Описание на русском: Приказ ФСТЭК России № 31 от 14.03.2014 (ред. от 15.03.2021) 'Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на.