ПРИКАЗ. от 14 марта 2014 года N 31. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных. Утверждены приказом ФСТЭК Pоссии от 14 марта 2014 г. № 31. РИА Новости: Подозрительную радиостанцию из леса в Пушкино изъяли для проверки.
Обзор приказа ФСТЭК №31
Утверждены приказом ФСТЭК России от 14 марта 2014 г. N 31. Приказ ФСТЭК РФ от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных. ПРИКАЗ. от 14 марта 2014 года N 31. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных.
Приказ ФСТЭК России от 14.03.2014 № 31
Ранее не встречал нормального доступного для всех соответствия между мерами защиты из всех приказов ФСТЭК между собой. Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. ПРИКАЗ. от 14 марта 2014 года N 31. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных.
Приказ ФСТЭК России № 31 от 14.03.2014
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст. При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней сегментов автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования. По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование нейтрализацию отдельных угроз безопасности информации. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика.
Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы. Стадии создания» далее — ГОСТ 34. Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления. При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.
Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемой с учетом ГОСТ 34. Виды, комплектность и обозначение документов при создании автоматизированных систем» далее — ГОСТ 34. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34. Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; определение администратора безопасности информации; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации.
Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации.
При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления. Требования к организации защиты информации в автоматизированной системе управления 7.
Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации. Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации.
Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации. Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия: формирование требований к защите информации в автоматизированной системе управления; разработка системы защиты автоматизированной системы управления; внедрение системы защиты автоматизированной системы управления и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления; обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления. Формирование требований к защите информации в автоматизированной системе управления 13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком. Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.
Автоматизированные системы в защищенном исполнении. Общие требования" далее - ГОСТ Р 51624 и стандартов организации и в том числе включает: принятие решения о необходимости защиты информации в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям защиты информации далее - классификация автоматизированной системы управления ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются: анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления; определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления определение критически важной информации , и оценка возможных последствий такого нарушения; анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления; принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости критичности информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления.
Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям. Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации.
Изменения в 239 приказ запланированы для исправления ошибок, допущенных при утверждении приказа. В тексте действующего приказа в 16 разделе Мер безопасности указано две меры ДНС. Предлагается не только восстановить нумерацию мер, но и сделать ДНС. Сейчас они относятся к корректирующим или дополнительным мерам.
В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки. Изображение Anti-Malware. При данном варианте исследований существуют риски ввода в эксплуатацию небезопасного программного обеспечения. Для того чтобы выполнить анализ, необходимо будет предоставить испытательным лабораториям исходный код программных решений или воспользоваться интегрируемыми СЗИ, установив их на испытательный стенд. В последнем случае выгрузка исходного кода не потребуется, если стенд будет развернут на рабочей станции разработчика программного обеспечения.
Приказ ФСТЭК России от 14.03.2014 № 31
| Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31 | ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст. |
| "Приказ ФСТЭК № 31 как основополагающий документ по обеспечению безопасности АСУ ТП" | Иными словами, Приказ ФСТЭК N 31 от 14.03.2014 позволяет легально применить требования для защиты тех АСУ ТП, которые не являются ЗОКИИ. |
| ДОКУМЕНТЫ ФСТЭК РОССИИ | Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. I. Общие положения. |
| Приказ ФСТЭК № 31 - Контроль соответствия | Опубликовано информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584 "Об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети". |
| Приказ ФСТЭК России от 14 марта 2014 г. N 31 - ИБ | - Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. |
Приказ ФСТЭК России № 31 от 14.03.2014
По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии. По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете в тестовой зоне автоматизированной системы управления. В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей. Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком.
Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34. В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям. В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации. Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию. По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание модернизацию автоматизированной системы управления и или техническому заданию частному техническому заданию на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34.
Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами АСУ ТП. Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.
В АСУ объектами защиты являются: Информация о параметрах управляемого объекта или процесса, в том числе: входная-выходная информация;.
Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или выполнить вход. После регистрации на сайте Вам в Личном кабинете будет предоставлен бесплатный доступ к скачиванию любых 5 статей на выбор. Статьи приобретаются навсегда и будут доступны в Вашем Личном кабинете. В дальнейшем Вы можете приобретать доступ к другим статьям оформляя счет-оферты в Личном кабинете.
Но и опасаться этого не стоит - свобода выбора защитных мер позволяет пока не принимать в расчет то, что невозможно выполнить. Правда, свобода выбора тоже для кого-то является злом, но тут уж ничего не поделаешь.
Приказ говорит об автоматизированных, а не информационных системах. Видимо мы еще долго будем жить на два мира - мира ИС и АС. Введенная в 2006-м году, в трехглавом законе определение информационной системы заставило всех регуляторов пересмотреть свою нормативную базу, но в тех же ГОСТах остались системы автоматизированные. Связано это с принятой на критически важных объектах трехуровневой классификацией уровней опасности, уровней антитеррористической защищенности и т. Обязательная сертификация средств защиты информации не требуется - вместо нее явно говорится об оценке соответствия в соответствии с ФЗ "О техническом регулировании". Других решений просто нет и при наличии требования обязательной сертификации выполнить его было бы физически невозможно. Да и испытательные лаборатории пока не готовы подступиться к этому вопросу - обычные ФСТЭКовские требования тут не работают. В нем очень неплохо было показано, что есть требования функциональные они проверяются в рамках сертификации по обычным РД , есть требования к доверию плохо прижившиеся у нас ОУДы в "Общих критериях" и есть требования к среде, в которой будет функционировать изделие ИТ.
Тоже решение закономерное - приемка АСУ ТП и так процесс непростой и проходит жесткое "модерирование" цена ошибки слишком высока. Дублировать этот процесс еще и с точки зрения ИБ нецелесообразно; особенно при убогих и совершенно неадекватных реалиям требованиях по аттестации тут и тут.
Приказ ФСТЭК России от 14.03.2014 № 31
Утверждены приказом ФСТЭК России от 14 марта 2014 г. N 31. Приказ ФСТЭК России от 14 марта 2014 г. № 31 (автоматизированные системы управления производственными и технологическими процессами). Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. РИА Новости: Подозрительную радиостанцию из леса в Пушкино изъяли для проверки. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и.
Подходы к выполнению требований Приказа №31 ФСТЭК России
Контроль соответствия требованиям Приказа ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления. Решение etherCUT может использоваться для реализации части мер по приказу №31 ФСТЭК России. Главная» Новости» Фстэк новости. Чтобы поверить это предположение, мы сравнили требования приказа ФСТЭК № 31 с ведущими зарубежными стандартами в области систем промышленной автоматизации, а именно. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и.