Требования по защите АСУ ТП
Проект
Требования к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
I. Общие положения
1. В настоящем документе устанавливаются требования к обеспечению защиты от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления производственными и технологическими процессами, автоматизированные системы управления), и обеспечению защиты самих автоматизированных систем управления от деструктивных информационных воздействий (в том компьютерных атак), направленных на нарушение функционирования автоматизированных систем управления производственными и технологическими процессами.
В документе не рассматриваются требования, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации, а также требования по обеспечению функциональной (технологической) безопасности автоматизированных систем управления производственным или технологическим процессами.
2. Настоящие Требования распространяются на:
- автоматизированные системы управления технологическими процессами, обеспечивающие контроль и автоматизированное управление технологическим оборудованием (исполнительными устройствами) и реализованными на нем технологическими процессами (в том числе системы диспетчерского управления и сбора данных, системы управления производственным оборудованием, системы управления станками с числовым программным управлением, программируемые логические контроллеры);
- автоматизированные системы управления производством, обеспечивающие синхронизацию, координацию, анализ и оптимизацию выпуска продукции в рамках промышленного производства;
- автоматизированные системы управления предприятием, обеспечивающие планирование и управление производством и операциями в рамках организации (предприятия).
3. Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчики), лиц, обеспечивающих эксплуатацию автоматизированных систем управления и владеющих ими на любом законном основании (далее – владельцы), лиц, осуществляющих поставку автоматизированных систем управления и (или) их компонентов (далее – поставщики оборудования), лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчики), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации для оценки соответствия автоматизированных систем управления настоящим Требованиям (далее – оценщики).
Лицо, предоставляющее владельцу вычислительные ресурсы (мощности) и (или) каналы связи для передачи (обработки) информации на основании заключенного договора (далее – поставщик телекоммуникационных услуг), обеспечивает защиту информации в соответствии с законодательством Российской Федерации. В договоре должны быть предусмотрены обязанность владельца и поставщика телекоммуникационных услуг обеспечивать защиту информации, обрабатываемой в автоматизированной системе управления производственными и технологическими процессами, в соответствии с настоящими Требованиями.
4. Настоящие Требования направлены на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления производственными и технологическими процессами, а также критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее – управляемые объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии и о промышленной безопасности опасных производственных объектов.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности и корпоративные структуры, созданные в соответствии с законодательством Российской Федерации, в пределах своих полномочий в соответствии с настоящими Требованиями могут устанавливать дополнительные требования к защите информации в автоматизированных системах управления производственными и технологическими процессами, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых объектов.
6. Защита информации в автоматизированных системах управления производственными и технологическими процессами обеспечивается путем выполнения заказчиком, владельцем, поставщиком оборудования, поставщиком телекоммуникационных услуг, разработчиком и оценщиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
7. Защита информации, содержащей сведения, составляющие государственную тайну, при ее обработке в автоматизированных системах управления производственными и технологическими процессами обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.
II. Требования к организации защиты информации в автоматизированных системах управления производственными и технологическими процессами
8. В автоматизированных системах управления производственными и технологическими процессами объектами защиты являются:
- информация (данные) о производственном или технологическом процессе, контролируемом, управляемом объекте (в том числе данные о параметрах (состоянии) управляемого процесса (объекта), входная (выходная) управляющая информация, команды управления, контрольно-измерительная информация);
- технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства);
- общесистемное, прикладное, специальное программное обеспечение;
- средства защиты информации.
9. Для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами владельцем объекта назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации автоматизированной системы управления производственными и технологическими процессами заказчиком и владельцем в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, № 19, ст. 2716; № 30, ст. 4590; № 43, ст. 5971; № 48, ст. 6728; 2012, № 26, ст. 3446; № 31, ст. 4322; 2013, № 9, ст. 874).
11. Для обеспечения защиты информации в автоматизированных системах управления производственными и технологическими процессами применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
12. Защита информации в автоматизированных системах управления производственными и технологическими процессами является составной частью работ по созданию и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в автоматизированных системах управления, в рамках системы (подсистемы) защиты автоматизированной системы управления (далее – система защиты автоматизированной системы управления).
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты автоматизированной системы управления, должны быть направлены на обеспечение штатного режима функционирования автоматизированной системы управления производственным или технологическим процессами и контролируемого (управляемого) объекта (процесса), в том числе путем исключения:
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации);
- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации).
Организационные и технические меры защиты информации должны быть согласованы с мерами по обеспечению функциональной (технологической) безопасности автоматизированной системы управления производственным или технологическим процессами и контролируемого (управляемого) объекта (процесса).
13. Для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами проводятся следующие мероприятия:
- формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами;
- разработка системы защиты автоматизированной системы управления;
- внедрение системы защиты автоматизированной системы управления;
- аттестация автоматизированной системы управления производственными и технологическими процессами по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами;
- обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами.
Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами
14. Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами осуществляется заказчиком.
Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и стандартами организаций и в том числе включает:
- принятие решения о необходимости защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- классификацию автоматизированной системы управления производственными и технологическими процессами по требованиям защиты информации (далее – классификация автоматизированной системы управления);
- определение угроз безопасности информации, реализация которых может привести к нарушению целостности, доступности или конфиденциальности информации и (или) безопасного функционирования автоматизированной системы управления производственными и технологическими процессами, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты автоматизированной системы управления.
14.1. При принятии решения о необходимости защиты информации в автоматизированной системе управления производственными и технологическими процессами осуществляется:
- анализ целей создания автоматизированной системы управления производственными и технологическими процессами и задач, решаемых этой автоматизированной системой;
- определение информации, нарушение целостности, доступности или конфиденциальности которой может привести к нарушению функционирования автоматизированной системы управления производственными и технологическими процессами;
- анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления производственными и технологическими процессами;
- принятие решения о необходимости создания системы защиты автоматизированной системы управления, а также определение целей и задач защиты информации, основных этапов создания системы защиты автоматизированной системы управления и функций по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами заказчика, владельца, поставщика телекоммуникационных услуг и поставщика оборудования.
14.2. Классификация автоматизированной системы управления производственными и технологическими процессами проводится в зависимости от уровня значимости автоматизированной системы управления и обрабатываемой в ней информации и масштаба автоматизированной системы управления производственными или технологическими процессами.
Устанавливаются четыре класса защищенности автоматизированной системы управления производственными и технологическими процессами, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением № 1 к настоящим Требованиям.
Требование к классу защищенности включается в техническое задание на создание в автоматизированной системы управления производственными и технологическими процессами и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления подлежит пересмотру только в случае ее модернизации, в результате которой изменились уровень значимости автоматизированной системы управления и обрабатываемой в ней информации или масштаб (распределенность) автоматизированной системы управления производственными или технологическими процессами Результаты классификации автоматизированной системы управления производственными и технологическими процессами оформляются актом классификации.
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей автоматизированной системе управления, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (целостности, доступности, конфиденциальности) и безопасного функционирования автоматизированной системы управления.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления производственными и технологическими процессами, включающие структуру и состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи между сегментами в автоматизированной системе управления, с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы обработки информации в автоматизированной системе управления, а также иные характеристики автоматизированной системы управления, применяемые информационные технологии и особенности ее функционирования.
По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления производственными и технологическими процессами, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описания автоматизированной системы управления производственными и технологическими процессами и угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (целостности, доступности, конфиденциальности) и (или) безопасного функционирования автоматизированной системы управления производственными и технологическими процессами. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818).
14.4. Требования к системе защиты автоматизированной системы управления производственными и технологическими процессами определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты автоматизированной системы управления производственными и технологическими процессами включаются в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации, и должны в том числе содержать:
- цель и задачи обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- класс защищенности автоматизированной системы управления;
- перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления производственными и технологическими процессами;
- объекты защиты автоматизированной системы управления производственными и технологическими процессами;
- требования к мерам и средствам защиты информации, применяемым в автоматизированной системе управления производственными и технологическими процессами;
- требования к защите информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщиков телекоммуникационных услуг;
- требования к защите информации при поставке автоматизированных систем управления и (или) их компонентов поставщиками оборудования.
При определении требований к системе защиты автоматизированной системы управления учитываются положения политик обеспечения информационной безопасности заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности владельца и поставщика телекоммуникационных услуг в части, не противоречащей политикам заказчика.
Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами
15. Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами организуется заказчиком и осуществляется разработчиком.
Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами осуществляется в соответствии с техническим заданием на создание автоматизированной системы управления производственными и технологическими процессами и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее – ГОСТ 34.601), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации и в том числе включает:
- проектирование системы защиты автоматизированной системы управления;
- разработку эксплуатационной документации на систему защиты автоматизированной системы управления;
- макетирование и тестирование системы защиты автоматизированной системы управления.
Система защиты автоматизированной системы управления производственными и технологическими процессами не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию.
При разработке системы защиты автоматизированной системы управления производственными и технологическими процессами учитывается ее информационное взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщика телекоммуникационных услуг.
15.1. При проектировании системы защиты автоматизированной системы управления производственными и технологическими процессами:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, *объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления производственными и технологическими процессами;
- выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты автоматизированной системы управления производственными и технологическими процессами, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
- определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщика телекоммуникационных услуг.
Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления производственными и технологическим процессами (систему защиты автоматизированной системы управления), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее – ГОСТ 34.201) и стандартов организаций.
При отсутствии необходимых средств защиты информации, прошедших оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании, организуется разработка (доработка) средств защиты информации и их оценка в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по автоматизированной системе управления производственными и технологическими процессами и (или) ее системе защиты с учетом функциональных возможностей имеющихся средств защиты информации.
15.2. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание автоматизированной системы управления производственными и технологическими процессами и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.
Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201, ГОСТ Р 51624 и стандартам организации и должна в том числе содержать описание:
- структуры системы защиты автоматизированной системы управления;
- состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
- правил эксплуатации системы защиты автоматизированной системы управления.
15.3. При макетировании и тестировании макета системы защиты автоматизированной системы управления в том числе осуществляются:
- построение (моделирование) макета системы защиты автоматизированной системы управления, соответствующего реальной системе защиты автоматизированной системы управления или ее отдельным компонентам;
- проверка работоспособности автоматизированной системы управления с реализованной системой защитой и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами автоматизированной системы управления производственными и технологическим процессами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты автоматизированной системы управления;
- корректировка проектных решений, разработанных при создании автоматизированной системы управления и (или) ее системы защиты;
- корректировка проектной и эксплуатационной документации на систему защиты автоматизированной системы управления.
Макетирование системы защиты автоматизированной системы управления и ее тестирование может проводиться в том числе с использованием средств и методов моделирования автоматизированных систем управления производственными и технологическими процессами и технологий виртуализации.
Внедрение системы защиты информации автоматизированной системы управления производственными и технологическими процессами
16. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком. Внедрение системы защиты автоматизированной системы управления осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации автоматизированной системы управления и в том числе включает:
- установку и настройку средств защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- разработку документов, определяющих правила и процедуры, реализуемые владельцем для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты автоматизированной системы управления;
- опытную эксплуатацию системы защиты автоматизированной системы управления;
- анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами и принятие мер по их устранению;
- приемочные испытания системы защиты автоматизированной системы управления.
16.1. Установка и настройка средств защиты информации в автоматизированной системе управления производственными и технологическими процессами должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системе управления и документацией на средства защиты информации.
16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры (политики):
- планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- обеспечения действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами;
- информирования и обучения пользователей автоматизированной системы управления производственными и технологическими процессами;
- анализа угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и рисков от их реализации;
- управления (администрирования) системой защиты информации автоматизированной системы управления;
- выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования автоматизированной системы управления производственными и технологическими процессами и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
- управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
- контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами;
- защиты информации при выводе из эксплуатации автоматизированной системы управления производственными и технологическими процессами.
Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов владельца (положений, инструкций, правил, стандартов организаций или иных документов) или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
16.3. При внедрении организационных мер защиты информации осуществляются:
- реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, *состава и конфигурации технических средств и программного обеспечения;
- проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов автоматизированной системы управления производственными и технологическими процессами по реализации организационных мер защиты информации;
- отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
16.4. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее – ГОСТ 34.603) и стандартов организаций и включают проверку работоспособности системы защиты автоматизированной системы управления, а также принятие решения о возможности опытной эксплуатации системы защиты автоматизированной системы управления.
16.5. Опытная эксплуатация системы защиты автоматизированной системы управления производственными и технологическими процессами проводится с учетом ГОСТ 34.603 и стандартов организаций и включает проверку функционирования системы защиты автоматизированной системы управления, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты автоматизированной системы управления.
16.6. Анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления производственными и технологическими процессами за счет реализации угроз безопасности информации.
Анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления производственными и технологическими процессами.
При анализе уязвимостей автоматизированной системы управления производственными и технологическими процессами проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления производственными и технологическими процессами на проникновение. Указанное тестирование проводится, как правило, на макете автоматизированной системы управления.
В случае выявления уязвимостей в автоматизированной системе управления производственными и технологическими процессами, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
16.7. Приемочные испытания системы защиты автоматизированной системы управления производственными и технологическими процессами проводятся с учетом ГОСТ 34.603 и стандартов организаций и включают проверку выполнения требований к системе защиты автоматизированной системы управления в соответствии с техническим заданием на создание автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.
Аттестация автоматизированной системы управления производственными и технологическими процессами и ввод ее в действие
17. Аттестация автоматизированной системы управления производственными и технологическими процессами организуется заказчиком или владельцем, проводиться оценщиком и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие автоматизированной системы управления производственными и технологическими процессами настоящим Требованиям.
17.1. В качестве исходных данных, необходимых для аттестации автоматизированной системы управления производственными и технологическими процессами, используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организаций.
17.2. Аттестация автоматизированной системы управления производственными и технологическими процессами проводится в соответствии с программой и методиками аттестационных испытаний до ввода в эксплуатацию автоматизированной системы управления. Для проведения аттестации автоматизированной системы управления производственными и технологическими процессами применяются национальные стандарты, стандарты организаций, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии автоматизированной системы управления производственными и технологическими процессами требованиям к защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
17.3. Допускается аттестация автоматизированной системы управления производственными и технологическими процессами на основе результатов аттестационных испытаний макета данной автоматизированной системы управления.
В этом случае распространение аттестата соответствия на вводимую в эксплуатацию автоматизированную систему управления производственными и технологическими процессами допускается при условии соответствия макета автоматизированной системы управления, прошедшего аттестационные испытания, вводимой в эксплуатацию автоматизированной системе управления производственными и технологическими процессами.
Особенности аттестации автоматизированной системы управления производственными и технологическими процессами на основе результатов аттестационных испытаний ее макета, а также условия и порядок распространения аттестата соответствия на другие автоматизированные системы управления, соответствующие макету автоматизированной системы управления, определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
17.4. Повторная аттестация автоматизированной системы управления производственными и технологическими процессами осуществляется только в случае модернизации автоматизированной системы управления производственными и технологическими процессами, в результате которой изменился ее класс защищенности.
При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты автоматизированной системы управления, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия. В случае невозможности проведения дополнительных аттестационных испытаний на действующей автоматизированной системе управления производственными и технологическими процессами аттестационные испытания проводятся на макете автоматизированной системы управления.
17.5. Ввод в действие автоматизированной системы управления производственными и технологическими процессами осуществляется с учетом ГОСТ 34.601, стандартами организации и при наличии аттестата соответствия.
Обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами
18. Обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами осуществляется владельцем в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и в том числе включает следующие процедуры:
- планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами;
- информирование и обучение пользователей автоматизированной системы управления производственными и технологическими процессами;
- анализ угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и рисков от их реализации;
- управление (администрирование) системой защиты автоматизированной системы управления;
- выявление инцидентов в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами и реагирование на них;
- управление конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
- контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами.
18.1. В ходе планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами осуществляются:
- определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления, в том числе предусматривающего мероприятия по защите информации в ходе создания, аттестации, эксплуатации и вывода из эксплуатации автоматизированных систем управления, сроки выполнения мероприятий и ответственных за их выполнение;
- контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом.
18.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления производственными и технологическими процессами осуществляются:
- планирование мероприятий по обеспечению защиты информации в автоматизированных системах управления в случае возникновения нештатных (непредвиденных) ситуаций;
- обучение и отработка действий пользователей по обеспечению защиты информации в автоматизированных системах управления в случае возникновения нештатных (непредвиденных) ситуаций;
- создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций;
- резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций;
- обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций.
18.3. В ходе информирования и обучения пользователей автоматизированной системы управления производственными и технологическими процессами осуществляется:
- периодическое информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации;
- периодическое обучение пользователей правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с пользователей.
18.4. В ходе анализа угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и возможных рисков от их реализации осуществляется:
- периодический анализ изменения угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами, возникающих в ходе ее эксплуатации;
- оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами (оценка риска).
18.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:
- определение лиц, ответственных за управление (администрирования) системой защиты автоматизированной системы управления;
- заведение и удаление учетных записей пользователей, управление полномочиями пользователей автоматизированной системы управления и поддержание правил разграничения доступа в автоматизированной системе управления;
- управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, управление учетными записями пользователей, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
- установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению (управление обновлениями программного обеспечения);
- централизованное управление системой защиты автоматизированной системы управления (при необходимости);
- регистрация и анализ событий в автоматизированной системе управления производственными и технологическими процессами, связанных с защитой информации (далее - события безопасности);
- сопровождение функционирования системы защиты автоматизированной системы управления в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации;
18.6. В ходе выявления инцидентов и реагирования на них осуществляются:
- определение лиц, ответственных за выявление инцидентов и реагирование на них;
- обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в автоматизированной системе управления производственными и технологическими процессами пользователями и администраторами;
- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
- планирование и принятие мер по устранению инцидентов, в том числе по восстановлению автоматизированной системы управления производственными и технологическими процессами в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- планирование и принятие мер по предотвращению повторного возникновения инцидентов.
18.7. В ходе управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты осуществляются:
- поддержание конфигурации автоматизированной системы управления производственными и технологическими процессами и ее системы защиты (структуры системы защиты автоматизированной системы управления, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);
- определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
управление изменениями базовой конфигурации автоматизированной системы управления производственными и технологическими процессами и ее системы защиты, в том числе определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты, санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты, контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
- анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления производственными и технологическими процессами;
- определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
- внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления производственными и технологическими процессами.
Управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты осуществляется в соответствии с организационно-распорядительными документами по защите информации в рамках действующего аттестата соответствия и не требует повторной аттестации автоматизированной системы управления.
18.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами, осуществляются:
- контроль за событиями безопасности и действиями пользователей в автоматизированной системе управления производственными и технологическими процессами;
- контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления производственными и технологическими процессами;
- анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;
- документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами;
- принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами о доработке (модернизации) системы защиты автоматизированной системе управления и проведении дополнительных аттестационных испытаний.
Обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами
19. Обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами осуществляется владельцем в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и организационно-распорядительными документами по защите информации и в том числе включает:
- архивирование информации, содержащейся в автоматизированной системе управления производственными и технологическими процессами;
- уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
19.1. Архивирование информации, содержащейся в автоматизированной системе управления производственными и технологическими процессами, должно осуществляться при необходимости дальнейшего использования информации в деятельности владельца.
19.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системе управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
III. Требования к мерам защиты информации в автоматизированной системе управления производственными и технологическими процессами
20. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик автоматизированной системы управления должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность автоматизированной системы управления и информации;
- доступность технических средств и информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.
- безопасную разработку программного обеспечения разработчиком;
- управление обновлениями программного обеспечения;
- планирование мероприятий по обеспечению защиты информации;
- обеспечение действий в нештатных (непредвиденных) ситуациях;
- информирование и обучение пользователей;
- анализ угроз безопасности информации и рисков от их реализации;
- выявление инцидентов и реагирование на них (управление инцидентами);
- управление конфигурацией информационной системы и ее системы защиты.
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления производственными и технологическими процессами приведены в приложении № 2 к настоящим Требованиям.
В случае, если принятые в автоматизированной системе управления производственными и технологическими процессами меры по обеспечению функциональной (технологической) безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации меры защиты информации для соответствующих угроз безопасности информации могут не применяться. При этом в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование достаточности применения мер по обеспечению функциональной (технологической) безопасности для блокирования (нейтрализации) угроз безопасности информации.
20.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
20.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в автоматизированной системе управления правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.
20.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в автоматизированной системе управления программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в автоматизированной системе управления программного обеспечения.
20.4. Меры по защите машинных носителей информации (средства обработки (хранения) информации, съемные машинные носители информации) должны исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них информации, а также несанкционированное использование съемных машинных носителей информации.
20.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в автоматизированной системе управления, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
20.6. Меры по антивирусной защите должны обеспечивать обнаружение в автоматизированной системе управления компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
20.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в автоматизированной системе управления, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации, а также реагирование на эти действия.
20.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.
20.9. Меры по обеспечению целостности автоматизированной системы управления и информации должны обеспечивать обнаружение фактов несанкционированного нарушения целостности автоматизированной системы управления и содержащейся в ней данных, а также возможность восстановления автоматизированной системы управления.
20.10. Меры по обеспечению доступности технических средств и информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу к техническим средствам (исполнительным устройствам) и информации, а также доступность технических средств (исполнительных устройствам) для входной (выходной) управляющей информации, команд управления, контрольно-измерительной информации в штатном режиме функционирования информационной системы.
20.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
20.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование автоматизированной системы управления (далее – средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.
20.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии автоматизированной системы управления или ее отдельных сегментов с иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.
20.14. Меры по обеспечению безопасной разработки программного обеспечения разработчиком должны обеспечивать выявление, анализ и устранение уязвимостей программного обеспечения на всех этапах (стадиях) его разработки, а также контроль принимаемых мер по выявлению, анализу и устранению уязвимостей со стороны заказчика и (или) владельца автоматизированной системы управления.
20.15. Меры по управление обновлениями программного обеспечения должны обеспечивать безопасное получение, проверку и установку обновлений программного обеспечения на компонентах автоматизированной системы управления технологическими процессами.
20.16. Меры по планированию мероприятий по обеспечению защиты информации должны обеспечивать разработку, утверждение и актуализацию (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления, а также контроль его выполнения.
20.17. Меры по обеспечению действий в нештатных (непредвиденных) ситуациях должны обеспечивать планирование мероприятий, обучение и отработку действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций, а также резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций и обеспечение возможности ее восстановления.
20.18. Меры по информированию и обучению пользователей должны обеспечивать периодическое информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, а также теоретическое и практическое обучение (в том числе проведение тренировок) по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации.
20.19. Меры по анализу угроз безопасности информации и рисков от их реализации должны обеспечивать периодический анализ изменения угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами, возникающих в ходе ее эксплуатации, а также периодическую оценку (переоценку) прогнозируемых последствий от реализации угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами.
20.20. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в автоматизированной системе управления, а также принятие мер по устранению и предупреждению инцидентов.
20.21. Меры по управлению конфигурацией автоматизированной системы управления и ее системы защиты информации должны обеспечивать управление изменениями конфигурации автоматизированной системы управления и ее системы защиты информации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности информации, а также документирование этих изменений.
21. Выбор мер защиты информации для их реализации в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты включает:
- определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 к настоящим Требованиям;
- адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам автоматизированной системы управления, информационным технологиям, особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в автоматизированной системе управления, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);
- уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении № 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модель угроз безопасности информации;
- дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организаций в области защиты информации, в том числе в области обеспечения функциональной (технологической) безопасности автоматизированной системы управления производственными и технологическими процессами.
Для выбора мер защиты информации для соответствующего класса защищенности автоматизированной системы управления производственными и технологическими процессами применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
22. В автоматизированной системе управления производственными и технологическими процессами соответствующего класса защищенности в рамках ее системы защиты должны быть реализованы меры защиты информации, выбранные в соответствии с пунктом 21 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации.
При этом в автоматизированной системе управления производственными и технологическими процессами должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности автоматизированной системы управления.
23. При невозможности реализации в автоматизированной системе управления в рамках ее системы защиты отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
В этом случае в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В качестве компенсирующих мер могут рассматриваться меры по обеспечению функциональной (технологической) безопасности автоматизированной системы управления производственными и технологическими процессами.
24. Меры защиты информации выбираются и реализуются в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.
25. Выбранные и реализованные в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты меры защиты информации должны обеспечивать:
- в автоматизированных системах управления 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
- в автоматизированных системах управления 2 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;
- в автоматизированных системах управления 3 и 4 классов защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.
Потенциал нарушителя определяется в ходе оценки его возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 настоящих Требований.
Владельцем может быть принято решение о применении в автоматизированной системе управления производственными и технологическими процессами соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.
26. Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.
При использовании в автоматизированных системах управления производственными и технологическими процессами сертифицированных по требованиям безопасности информации средств защиты информации применяются:
- а) в автоматизированных системах управления производственными и технологическими процессами 1 и 2 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
- межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- б) в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- в) в автоматизированной системе управления производственными и технологическими процессами 4 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
- межсетевые экраны не ниже 4 класса.
В автоматизированной системе управления производственными и технологическими процессами 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
27. При использовании в автоматизированных системах управления производственными и технологическими процессами новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 23 настоящих Требований.
Приложение № 1 к Требованиям к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
Определение класса защищенности автоматизированной системы управления производственными и технологическими процессами
Приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах