План-проспект проекта Требований к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды

Общие положения

Сфера применения Требований.

Назначение и порядок применения Требований.

Взаимосвязь с иными нормативными правовыми актами и методическими документами.

Требования к организации защиты автоматизированных систем управления производственными и технологическими процессами (АСУ ТП)

Объекты защиты в АСУ ТП.

Система (подсистема) защиты АСУ ТП.

Цели и задачи защиты АСУ ТП.

Требования к формированию требований к защите АСУ ТП (принятие решения о необходимости защиты АСУ ТП, классификация АСУ ТП по требованиям безопасности, определение угроз безопасности информации, определение требований к системе защиты АСУ ТП для включения в техническое задание на создание АСУ ТП).

Требования к разработке системы защиты АСУ ТП (проектирование системы защиты АСУ ТП, разработка эксплуатационной документации на систему защиты АСУ ТП, макетирование и тестирование системы защиты АСУ ТП).

Требования к внедрению системы защиты информации АСУ ТП установку и настройку средств защиты информации в информационной системе (разработка организационно-распорядительные документов по защите АСУ ТП (политик безопасности), внедрение организационных мер защиты АСУ ТП, предварительные испытания системы защиты АСУ ТП, опытная эксплуатация системы защиты АСУ ТП, анализ уязвимостей АСУ ТП и принятие мер по их устранению, приемочные испытания системы защиты АСУ ТП).

Требования к оценке соответствия АСУ ТП требованиям по безопасности и ввод ее в действие (исходные данные, необходимые для оценки соответствия АСУ ТП, процедуры оценки соответствия АСУ ТП требованиям по безопасности, ввод в действие АСУ ТП).

Требования к обеспечению защиты АСУ ТП в ходе ее эксплуатации (управление системой защиты АСУ ТП, выявление инцидентов и реагирование на них, управление конфигурацией АСУ ТП, контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП, планирование действий в непредвиденных ситуациях, информирование и обучение персонала).

Требования к обеспечению защиты АСУ ТП при выводе из эксплуатации (архивирование данных АСУ ТП, уничтожение (стирание) данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации и технических средств).

Требования к мерам защиты АСУ ТП

Идентификация и аутентификация.

Управление доступом.

Ограничение программной среды.

Защита машинных носителей информации.

Регистрация событий безопасности (аудит).

Контроль (анализ) защищенности.

Антивирусная защита.

Обнаружение вторжений.

Обеспечение целостности среды и данных.

Защита технических средств.

Защита систем связи и передачи данных.

Обеспечение действий в непредвиденных ситуациях.

Реагирование на инциденты.

Управление конфигурацией.

Информирование и обучение персонала.

Физическая защита.

Приложение № 1

Определение класса защищенности АСУ ТП

В приложении № 1 устанавливаются классы защищенности АСУ ТП, в зависимости от назначения, размещение, особенностей функционирования АСУ ТП и возможных последствий от нарушения функционирования АСУ ТП.

Приложение № 2

Состав мер по защите АСУ ТП различных классов защищенности

Условное обозначение и номер меры Меры защиты АСУ ТП Классы защищенности АСУ ТП

I. Идентификация и аутентификация (ИАФ)

II. Управление доступом (УПД)

III. Ограничение программной среды (ОПС)

IV. Защита машинных носителей информации (ЗНИ)

V. Регистрация событий безопасности (РСБ)

VI. Антивирусная защита (АВЗ)

VII. Обнаружение вторжений (СОВ)

VIII. Контроль (анализ) защищенности (АНЗ)

IX. Обеспечение целостности среды и данных (ОЦЛ)

X. Защита технических средств (ЗТС)

XI. Защита систем связи и передачи данных (ЗИС)

XII. Физическая защита (ФИЗ)

XVIII. Выявление инцидентов и реагирование на них (ИНЦ)

XIV. Управление конфигурацией (УКФ)

XV. Обеспечение действий в непредвиденных ситуациях (ДНС)

XVI. Информирование и обучение персонала (ИНФ)