Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608).
Приказ ФСТЭК России от 14.03.2014 № 31
используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. Опубликовано информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584 "Об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети". Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 г. N 31 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В. Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. 31 приказ ФСТЭК, используется для незначимых ОКИИ.
НАЦ аттестовал информационную систему предприятия "Ростеха" по 31 Приказу ФСТЭК
Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Приказ ФСТЭК России N 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах.
Новости нормативки по ИБ. Сентябрь — октябрь 2023 года
Николай тация: посвящён рассмотрению основных подходов к выполнению тр. Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. Презентация: Вебинар посвящён рассмотрению основных подходов к выполнению требований приказа ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению за.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
Регистрационный N 32919 В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст. Директор Федеральной службы по техническому и экспортному контролю В. Селин Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды I. Общие положения 1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды далее - автоматизированные системы управления , от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий компьютерных атак , следствием которых может стать нарушение функционирования автоматизированной системы управления. Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.
В случае необходимости применение криптографических методов защиты информации и шифровальных криптографических средств защиты информации осуществляется в соответствии с законодательством Российской Федерации. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и или производственным оборудованием исполнительными устройствами и реализованными на нем технологическими и или производственными процессами в том числе системы диспетчерского управления, системы сбора передачи данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления далее - заказчик , лиц, обеспечивающих эксплуатацию автоматизированных систем управления далее - оператор , а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию проектированию автоматизированных систем управления и или их систем защиты далее - разработчик. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления. Требования к организации защиты информации в автоматизированной системе управления 7.
Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень "вода вывода данных, исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации. Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации.
Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления. Формирование требований к защите информации в автоматизированной системе управления 13.
Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком. Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации.
При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне, то есть с использованием СКЗИ. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
Устанавливаются три класса защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с уровнем значимости критичности информации.
N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. В случае необходимости применение криптографических методов защиты информации и шифровальных криптографических средств защиты информации осуществляется в соответствии с законодательством Российской Федерации, то есть защищается с помощью сертифицированного программного обеспечения. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне, то есть с использованием СКЗИ.
Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами АСУ ТП. Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ. В АСУ объектами защиты являются: Информация о параметрах управляемого объекта или процесса, в том числе: входная-выходная информация;.
Приказ № 31
N 183-ФЗ "Об экспортном контроле"; Федерального закона от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля надзора и муниципального контроля"; основных направлений разработки и внедрения системы оценки результативности и эффективности контрольно-надзорной деятельности, утвержденных распоряжением Правительства Российской Федерации от 17 мая 2016 г. N 934-р. Профилактические мероприятия осуществляются с учетом требований законодательства Российской Федерации в области защиты государственной тайны и иной информации ограниченного доступа. Цели, задачи и принципы проведения профилактических мероприятий 5. Целями проведения профилактических мероприятий являются: предупреждение и сокращение количества нарушений подконтрольными субъектами обязательных требований; повышение прозрачности деятельности ФСТЭК России при осуществлении экспортного контроля; снижение административной нагрузки на подконтрольных субъектов; создание мотивации у подконтрольных субъектов к добросовестному поведению и, как следствие, снижение уровня ущерба охраняемым законом ценностям. Основными задачами профилактических мероприятий являются: формирование у всех подконтрольных субъектов единого понимания обязательных требований в области экспортного контроля и порядка их соблюдения; инвентаризация состава и особенностей подконтрольных субъектов, оценка состояния подконтрольной среды; выявление причин, факторов и условий, способствующих нарушению обязательных требований, определение способов устранения или снижения рисков их возникновения; установление зависимости видов, форм и интенсивности профилактических мероприятий от особенностей конкретных подконтрольных субъектов. Краткий анализ текущего состояния подконтрольной среды 8.
Однако заказчик или оператор не могут предоставить требуемые данные, ведь объект по факту ещё не существует. Выход: определить характер чрезвычайной ситуации можно, либо исходя из паспортов аналогичных, уже введённых в эксплуатацию систем, либо методом экспертной оценки. Критерии, на основании которых определяется предварительный класс защищённости АСУ ТП, представлены в таблицах 2 и 3. Однако на практике в ТЗ заказчик указывает всё ту же пресловутую фразу про оценку соответствия СрЗИ без уточнения формы. Причины следующие: отсутствие чёткого толкования условий и результата проведения оценки соответствия в других формах; устоявшаяся практика применения сертифицированных СрЗИ; отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах следствие из предыдущего пункта. Давайте разбираться. При рассмотрении предприятия через призму ИБ—АСУ ТП—ИТ обособление данных направлений в отдельные подразделения, находящиеся на одном уровне организационной иерархии, на практике расценивается как самый эффективный вариант, обеспечивающий равенство интересов трёх направлений или их обоснованную приоритезацию с учётом стратегии развития. Ответственный за ИБ промышленных систем автоматизации должен относиться к подразделению ИБ и обладать компетенциями в сфере автоматизации.
Определение угроз безопасности информации и построение модели угроз производится на основании методических документов ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», включая: оценку возможностей нарушителей; анализ возможных сценариев реализации угроз безопасности информации; анализ последствий от нарушения свойств безопасности; и др. Требования к системе защиты АСУ ТП определяются в зависимости от класса защищенности и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации. На этапе разработки системы защиты в рамках проектирования системы защиты информации осуществляется выбор СрЗИ, прошедших оценку соответствия, и определяются необходимые меры защиты с учетом особенностей функционирования ПО и технических средств на каждом уровне АСУ ТП. Стоит отметить, что форма оценки соответствия СрЗИ должна быть определена заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании». Этап внедрения системы защиты информации включает следующие мероприятия: настройку ПО АСУ ТП; проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний системы; анализ уязвимостей АСУ ТП, в рамках которого по решению заказчика может проводиться тестирование на проникновение; разработку документов, определяющих правила и процедуры, реализуемые для защиты информации. В этом случае, аттестация системы защиты информации проводится в соответствии с национальными стандартами и методическим документами ФСТЭК России с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений. Этапы обеспечения защиты информации в ходе эксплуатации системы защиты и при выводе ее из действия предусматривают реализацию определенных процедур управления информационной безопасностью, таких как: планирование мероприятий по обеспечению защиты в автоматизированных системах управления производственными и технологическими процессами; обеспечение действий в нештатных ситуациях; обучение персонала; выявление инцидентов в ходе эксплуатации и реагирование на них; контроль за обеспечением уровня защищенности; управление системой защиты, а также управление конфигурацией автоматизированных систем управления производственными и технологическими процессами; архивирование информации, а также уничтожение данных и остаточной информации при выводе автоматизированных систем управления производственными и технологическими процессами из эксплуатации.
Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования резервного копирования или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС.
Подходы к выполнению требований Приказа №31 ФСТЭК России
31 приказ ФСТЭК, используется для незначимых ОКИИ. приказа ФСТЭК №31. Контроль соответствия требованиям Приказа ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления. Чтобы поверить это предположение, мы сравнили требования приказа ФСТЭК № 31 с ведущими зарубежными стандартами в области систем промышленной автоматизации, а именно. используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. Уровни доверия определяются в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772).
Читайте также:
- Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31 | ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ
- НАЦ аттестовал информационную систему предприятия "Ростеха" по 31 Приказу ФСТЭК
- Приказ ФСТЭК России № 31 от 14.03.2014
- "Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
Обзор требований ФСТЭК России к анализу программного кода средствами защиты информации
Николай тация: посвящён рассмотрению основных подходов к выполнению тр. используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. С утверждением приказа ФСТЭК России № 31 мероприятия по защите информации в АСУ ТП стали носить обязательный характер. Утверждена приказом ФСТЭК России от 19 февраля 2018 г. N 31. Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. I. Общие положения. Приказ ФСТЭК по защите АСУ ТП №31.