Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при. Иными словами, Приказ ФСТЭК N 31 от 14.03.2014 позволяет легально применить требования для защиты тех АСУ ТП, которые не являются ЗОКИИ. Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31.
Разъяснение ФСТЭК по 31-му приказу
Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 г. N 31 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В. Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. N 31: 1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах. Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 15.03.2021) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных. Ранее не встречал нормального доступного для всех соответствия между мерами защиты из всех приказов ФСТЭК между собой. Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст.
ДОКУМЕНТЫ ФСТЭК РОССИИ
Введенная в 2006-м году, в трехглавом законе определение информационной системы заставило всех регуляторов пересмотреть свою нормативную базу, но в тех же ГОСТах остались системы автоматизированные. Связано это с принятой на критически важных объектах трехуровневой классификацией уровней опасности, уровней антитеррористической защищенности и т. Обязательная сертификация средств защиты информации не требуется - вместо нее явно говорится об оценке соответствия в соответствии с ФЗ "О техническом регулировании". Других решений просто нет и при наличии требования обязательной сертификации выполнить его было бы физически невозможно. Да и испытательные лаборатории пока не готовы подступиться к этому вопросу - обычные ФСТЭКовские требования тут не работают. В нем очень неплохо было показано, что есть требования функциональные они проверяются в рамках сертификации по обычным РД , есть требования к доверию плохо прижившиеся у нас ОУДы в "Общих критериях" и есть требования к среде, в которой будет функционировать изделие ИТ. Тоже решение закономерное - приемка АСУ ТП и так процесс непростой и проходит жесткое "модерирование" цена ошибки слишком высока. Дублировать этот процесс еще и с точки зрения ИБ нецелесообразно; особенно при убогих и совершенно неадекватных реалиям требованиях по аттестации тут и тут.
При этом красной нитью по тексту приказа проходит мысль, что меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого контролируемого объекта и или процесса и не должны оказывать отрицательного мешающего влияния на штатный режим функционирования АСУ ТП. Возможно как обоснованное исключение защитных мер, так и применение мер компенсирующих. Но финальный текст поменялся по сравнению с проектом. Было внесено немало изменений.
Тоже решение закономерное - приемка АСУ ТП и так процесс непростой и проходит жесткое "модерирование" цена ошибки слишком высока. Дублировать этот процесс еще и с точки зрения ИБ нецелесообразно; особенно при убогих и совершенно неадекватных реалиям требованиях по аттестации тут и тут. При этом красной нитью по тексту приказа проходит мысль, что меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого контролируемого объекта и или процесса и не должны оказывать отрицательного мешающего влияния на штатный режим функционирования АСУ ТП.
Возможно как обоснованное исключение защитных мер, так и применение мер компенсирующих. Но финальный текст поменялся по сравнению с проектом. Было внесено немало изменений. Беглый анализ позволяет выделить следующие отличия принятой версии от предварительной: Изменен п. Если в проекте речь шла о снижении рисков незаконного вмешательства, то в итоговом варианте - об обеспечении функционирования АСУ ТП в штатном режиме риски тоже остались, но на втором месте. Убран п. Не могу сказать, что это критично, так как аналогичная норма включена в алгоритм выбора защитных мер на этапе дополнения защитных мер.
Добавлен новый блок в п. Незначительно расширен перечень объектов защиты - добавлены промышленные сервера и системы локальной автоматики, микропрограммное ПО.
Такое внимание понятно и очевидно — любые сбои или несанкционированный доступ на эти объекты может привести к возникновению реальной угрозы жизни и здоровья людей, а также окружающей природной среды. При этом, речь идет не только о физической защите. Обеспечение информационной безопасности - не менее важная задача в комплексе работ по защите указанных объектов. В части обеспечения информационной безопасности критичных объектов выделяют защиту автоматизированных систем управления технологическим процессом АСУ ТП.
Документ определяет порядок действий с высвободившимися регистрационными номерами реестра и порядок присвоения таких номеров другим объектам. Ну что я могу сказать: ФСТЭК России, как всегда, оперативно реагирует на изменения обстановки, ликвидируя имеющиеся пробелы в нормативке, за что им большое спасибо! Внимательный читатель заметит, что соответствующие приказы утверждены еще летом. Я пишу про них только сейчас потому, что они были официально опубликованы после регистрации в Минюсте России, которая состоялась 06. Эти документы применяются до 31. Приказами предусмотрены плановые, внеплановые, документарные и выездные проверки сроком не более 20 рабочих дней не менее чем двумя должностными лицами. К важным изменениям относится то, что в Сроках и последовательностях нет зафиксированных в административных регламентах прав и обязанностей должностных лиц при осуществлении лицензионного контроля. Нет также порядков исполнения государственной функции, досудебного обжалования решений, принятых ФСТЭК России и его должностными лицами при осуществлении контроля. Административные регламенты заменили сроками и последовательностями из-за Федерального закона от 04.
Обзор требований ФСТЭК России к анализу программного кода средствами защиты информации
Причины следующие: отсутствие чёткого толкования условий и результата проведения оценки соответствия в других формах; устоявшаяся практика применения сертифицированных СрЗИ; отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах следствие из предыдущего пункта. Давайте разбираться. При рассмотрении предприятия через призму ИБ—АСУ ТП—ИТ обособление данных направлений в отдельные подразделения, находящиеся на одном уровне организационной иерархии, на практике расценивается как самый эффективный вариант, обеспечивающий равенство интересов трёх направлений или их обоснованную приоритезацию с учётом стратегии развития. Ответственный за ИБ промышленных систем автоматизации должен относиться к подразделению ИБ и обладать компетенциями в сфере автоматизации. Стоит учитывать также зарубежный опыт в данном вопросе: самым подходящим решением является создание по примеру NIST SP 800-82 [12] межфункциональной команды кибербезопасности, обеспечивающей плотное взаимодействие этих направлений. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : приказ ФСТЭК России от 14 марта 2014 г. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры : утв. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры : утв.
Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС.
В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck.
При этом добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между ним и органом по сертификации, который осуществляет подтверждение соответствия. Например, есть отраслевые системы добровольной сертификации, подтверждающие соответствие СрЗИ стандартам организации данной отрасли. Декларирование соответствия Подтверждение соответствия продукции требованиям технических регламентов, при этом качество продукции услуг, персонала подтверждается заявителям изготовителем, продавцом на основании собственных доказательств с участием или без участия органа по сертификации и или аккредитованной испытательной лаборатории. Обязательная сертификация Осуществляется органом по сертификации на соответствие требованиям технических регламентов.
Убрана "информация о промышленном или технологическом процессе", но добавлена "иная критическая важная информация". Переформулировали 8-й пункт ранее 9-й , но суть осталась той же.
По тексту некоторые абзацы в пунктах переставили местами и переписали некоторые абзацы немного другими словами суть осталась неизменной. Убран фрагмент в п. Вообще видно, что даже после общественного обсуждения работа с документом велась очень активно и не бездумно - там где средств защиты нет и не появится в ближайшее время произошла замена на встроенные в АСУ ТП защитные механизмы там где они есть. А вот пункт 22 из проекта про сегментирование убрали. В приложение 2 перечень защитных мер внесли следующие изменения в части базового набора мер: УПД. Сейчас предстоит осознать, что будет меняться в отрасли с выходом данного приказа. Заказчикам придется закладывать реализацию его положений в свои планы-графики. Интеграторам придется изучать положения нового приказа для его внедрения у заказчиков.
Разработанный мной курс, читаемый в АИСе, уже учитывает и сам приказ и сделанные в нем правки. Но надо понимать, что этот приказ - это только начало долго пути под названием "защита информации в АСУ ТП".
Обзор приказа ФСТЭК №31
| Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31 | Утверждена приказом ФСТЭК России от 19 февраля 2018 г. N 31. |
| Подходы к выполнению требований Приказа №31 ФСТЭК России - YouTube | Контроль соответствия требованиям Приказа ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления. |
| Приказ ФСТЭК России № 31 от 14.03.2014 | Приказ ФСТЭК России от 14 марта 2014 г. N 31 — регламентирует работу по защите информации в АС, управляющими опасными производственными и технологическими процессами на важных и потенциально опасных объектах. |
| Разъяснение ФСТЭК по 31-му приказу | - Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. |
| Приказ ФСТЭК России от 14.03.2014 № 31 | Приказ ФСТЭК России N 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах. |
Изменения в НПА по информационной безопасности
Профилактические мероприятия осуществляются с учетом требований законодательства Российской Федерации в области защиты государственной тайны и иной информации ограниченного доступа. Цели, задачи и принципы проведения профилактических мероприятий 5. Целями проведения профилактических мероприятий являются: предупреждение и сокращение количества нарушений подконтрольными субъектами обязательных требований; повышение прозрачности деятельности ФСТЭК России при осуществлении экспортного контроля; снижение административной нагрузки на подконтрольных субъектов; создание мотивации у подконтрольных субъектов к добросовестному поведению и, как следствие, снижение уровня ущерба охраняемым законом ценностям. Основными задачами профилактических мероприятий являются: формирование у всех подконтрольных субъектов единого понимания обязательных требований в области экспортного контроля и порядка их соблюдения; инвентаризация состава и особенностей подконтрольных субъектов, оценка состояния подконтрольной среды; выявление причин, факторов и условий, способствующих нарушению обязательных требований, определение способов устранения или снижения рисков их возникновения; установление зависимости видов, форм и интенсивности профилактических мероприятий от особенностей конкретных подконтрольных субъектов. Краткий анализ текущего состояния подконтрольной среды 8.
Текущее состояние подконтрольной среды характеризуется увеличением количества подконтрольных субъектов, осуществляющих внешнеэкономическую деятельность в отношении товаров работ, услуг , информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники либо при подготовке и или совершении террористических актов. Реализуемые в настоящее время на государственном уровне программы поддержки несырьевого экспорта нацелены на формирование широкого слоя активных экспортеров, в том числе из среды малого и среднего бизнеса, а также на устранение излишних административных барьеров во внешнеэкономической сфере, что должно позитивно отразиться на состоянии конкуренции и делового климата в стране. Вместе с тем начинающие внешнеэкономическую деятельность подконтрольные субъекты зачастую не в полной мере владеют тонкостями предконтрактной проработки планируемых к реализации внешнеэкономических сделок, не всегда способны провести идентификацию контролируемых товаров и технологий, что может привести к нарушению ими обязательных требований либо способствовать возникновению финансовых и репутационных издержек, связанных с отказом в выдаче лицензий разрешений на осуществление внешнеэкономических сделок с продукцией, подлежащей экспортному контролю.
Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ. Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами АСУ ТП. Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.
В АСУ объектами защиты являются: Информация о параметрах управляемого объекта или процесса, в том числе: входная-выходная информация;.
Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; определение возможных способов сценариев реализации возникновения угроз безопасности информации; оценку возможных последствий от реализации возникновения угроз безопасности информации, нарушения отдельных свойств безопасности информации целостности, доступности, конфиденциальности и автоматизированной системы управления в целом. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней этой системы. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления, а также обеспечивать конфигурацию, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации, программного обеспечения и автоматизированной системы в целом. Срок действия: не ограничен Ответственность: За неправомерное воздействие на КИИ, за несоблюдение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, предусмотрена уголовная ответственность статья 274. За действия, повлекшие причинение вреда критической информационной инфраструктуре, предусмотрена уголовная ответственность часть 3 ст.
Однако любое программное обеспечение далее — ПО , разрабатываемое и используемое в системах, где хранятся и обрабатываются данные, имеет встроенные программные алгоритмы для защиты информации например, проверки полномочий доступа к данным или к системе в целом , которые также могут нуждаться в проверке на безопасность.
Основной причиной инцидентов в области ИБ чаще всего становятся ошибки кодирования, приводящие к уязвимостям программ и систем. В связи с этим для предотвращения нарастающих угроз в информационной сфере всем разработчикам программных продуктов рекомендуется принимать меры по выпуску защищенного ПО и придерживаться требований ГОСТ и приказов ФСТЭК России, касающихся безопасной разработки кода. Разработка безопасного ПО. Общие требования» можно обеспечить реализацию и проведение мер по разработке безопасного программного обеспечения непосредственно в процессах его жизненного цикла. Целесообразно проводить исследования по выявлению уязвимостей и НДВ: при выполнении проектирования и разработки ПО этап разработки ; при выполнении квалификационного тестирования ПО этап тестирования ; при выполнении инсталляции программы и поддержки приемки ПО этап реализации и эксплуатации.
"Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП"
Иными словами, Приказ ФСТЭК N 31 от 14.03.2014 позволяет легально применить требования для защиты тех АСУ ТП, которые не являются ЗОКИИ. Главная» Новости» Фстэк новости. 31 приказ ФСТЭК, используется для незначимых ОКИИ. Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ).
Приказ ФСТЭК России № 31 от 14.03.2014
Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31. I. Общие положения. Проект изменений в 31 приказ ФСТЭК России (ЗИ в АСУ ТП). Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 г. N 31 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В.