В случае экстренной необходимости инструкцией пользователя асзи допускается

Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919

---

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ
от 14 марта 2014 г. N 31

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ

(в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 09.08.2018 N 138, от 15.03.2021 N 46)

В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137), приказываю:

Утвердить прилагаемые Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Директор
Федеральной службы по техническому
и экспортному контролю
В. СЕЛИН

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 14 марта 2014 г. N 31

ТРЕБОВАНИЯ
К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ

(в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 09.08.2018 N 138, от 15.03.2021 N 46)

I. Общие положения

1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее — автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118). (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

2. Настоящие Требования направлены на обеспечение функционирования автоматизированной системы управления в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов (далее — управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.

3. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).

4. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления (далее — заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее — оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее — разработчик).

5. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.

6. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.

II. Требования к организации защиты информации в автоматизированной системе управления

7. Автоматизированная система управления, как правило, имеет многоуровневую структуру:

уровень операторского (диспетчерского) управления (верхний уровень);

уровень автоматического управления (средний уровень);

уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Автоматизированная система управления может включать:

а) на уровне операторского (диспетчерского) управления:

операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;

б) на уровне автоматического управления:

программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;

в) на уровне ввода (вывода) данных (исполнительных устройств):

датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.

Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты.

В автоматизированной системе управления объектами защиты являются:

информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);

программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

8. Защита информации в автоматизированной системе управления является составной частью работ по созданию (модернизации) и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации.

Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации.

Принимаемые организационные и технические меры защиты информации:

должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 30, ст. 4590; N 43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477).

10. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.

12. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия:

формирование требований к защите информации в автоматизированной системе управления;

разработка системы защиты автоматизированной системы управления;

внедрение системы защиты автоматизированной системы управления и ввод ее в действие;

обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления;

обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления.

Формирование требований к защите информации в автоматизированной системе управления

13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком.

Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее — ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее — ГОСТ Р 51624) и стандартов организации и в том числе включает:

принятие решения о необходимости защиты информации в автоматизированной системе управления;

классификацию автоматизированной системы управления по требованиям защиты информации (далее — классификация автоматизированной системы управления);

определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;

определение требований к системе защиты автоматизированной системы управления.

13.1. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются:

анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления;

определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления (определение критически важной информации), и оценка возможных последствий такого нарушения;

анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления;

принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления.

13.2. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления.

Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс — третий, самый высокий — первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям.

Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии.

Результаты классификации автоматизированной системы управления оформляются актом классификации.

Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее — ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.

Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).

13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198; 2018, N 20, ст. 2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней (сегментов) автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования.

По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание автоматизированной системы управления и угроз безопасности информации для каждого из уровней автоматизированной системы управления, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов (сценариев) реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (доступности, целостности, конфиденциальности) и штатного режима функционирования автоматизированной системы управления <*>.

<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137).

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы ФСТЭК России <*>.

<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137).

13.4. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.

Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации, которые должны в том числе содержать:

цель и задачи обеспечения защиты информации в автоматизированной системе управления;

класс защищенности автоматизированной системы управления;

перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления;

объекты защиты автоматизированной системы управления на каждом из ее уровней;

требования к мерам и средствам защиты информации, применяемым в автоматизированной системе управления;

требования к защите информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;

требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

функции заказчика и оператора по обеспечению защиты информации в автоматизированной системе управления;

стадии (этапы работ) создания системы защиты автоматизированной системы управления.

При определении требований к системе защиты автоматизированной системы управления учитываются положения политик обеспечения информационной безопасности заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика.

Разработка системы защиты автоматизированной системы управления

14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и (или) оператором.

Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание (модернизацию) автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее — ГОСТ 34.601), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации и в том числе включает:

проектирование системы защиты автоматизированной системы управления;

разработку эксплуатационной документации на систему защиты автоматизированной системы управления.

Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления.

При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями.

14.1. При проектировании системы защиты автоматизированной системы управления:

определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);

определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;

выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;

определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;

определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;

осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;

определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;

осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.

При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.

Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее — ГОСТ 34.201) и стандартов организации.

14.2. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание (модернизацию) автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.

Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201, ГОСТ Р 51624 и стандартов организации и должна в том числе содержать описание:

структуры системы защиты автоматизированной системы управления;

состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

правил эксплуатации системы защиты автоматизированной системы управления.

Внедрение системы защиты автоматизированной системы управления и ввод ее в действие

15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и (или) оператором.

Внедрение системы защиты автоматизированной системы управления осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации автоматизированной системы управления и в том числе включает:

настройку (задание параметров программирования) программного обеспечения автоматизированной системы управления;

разработку документов, определяющих правила и процедуры (политики), реализуемые оператором для обеспечения защиты информации в автоматизированной системе управления в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);

внедрение организационных мер защиты информации;

установку и настройку средств защиты информации в автоматизированной системе управления;

предварительные испытания системы защиты автоматизированной системы управления;

опытную эксплуатацию системы защиты автоматизированной системы управления;

анализ уязвимостей автоматизированной системы управления и принятие мер по их устранению;

приемочные испытания системы защиты автоматизированной системы управления.

15.1. Настройка (задание параметров программирования) программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации.

15.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры (политики):

реализаций отдельных мер защиты информации в автоматизированной системе управления в рамках ее системы защиты;

планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления;

обеспечения действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;

информирования и обучения персонала автоматизированной системы управления;

анализа угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;

управления (администрирования) системой защиты информации автоматизированной системы управления;

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования автоматизированной системы управления и (или) к возникновению угроз безопасности информации (далее — инциденты), и реагирования на них;

управления конфигурацией автоматизированной системы управления и ее системы защиты;

контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;

защиты информации при выводе из эксплуатации автоматизированной системы управления.

Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов оператора или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

15.3. При внедрении организационных мер защиты информации осуществляются:

введение ограничений на действия персонала (пользователей (операторского персонала), администраторов, обеспечивающего персонала), а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения;

определение администратора безопасности информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа;

проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации.

15.4. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования (нейтрализации) угроз безопасности информации, которые невозможно исключить настройкой (заданием параметров) программного обеспечения автоматизированной системы управления и (или) реализацией организационных мер защиты информации.

Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации.

При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

15.5. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее — ГОСТ 34.603) и стандартов организации и включают проверку работоспособности системы защиты автоматизированной системы управления, а также принятие решения о возможности опытной эксплуатации системы защиты автоматизированной системы управления.

По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и (или) ее системе защиты.

15.6. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34.603 и стандартов организации и включает проверку функционирования системы защиты автоматизированной системы управления, в том числе реализованных мер защиты информации, а также готовность персонала автоматизированной системы управления к эксплуатации системы защиты автоматизированной системы управления.

По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и (или) ее системе защиты.

15.7. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации.

Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.

При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии.

По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) автоматизированной системы управления.

В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.

Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком.

15.8. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.603 и стандартов организации.

В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям.

В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.

Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию.

По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России <*>.

<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34.601, стандартов организации и при положительном заключении (выводе) в акте приемки о соответствии ее системы защиты установленным требованиям к защите информации (или при наличии аттестата соответствия).

Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления

16. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и включает следующие процедуры:

планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления;

обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;

информирование и обучение персонала автоматизированной системы управления;

периодический анализ угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;

управление (администрирование) системой защиты автоматизированной системы управления;

выявление инцидентов в ходе эксплуатации автоматизированной системы управления и реагирование на них;

управление конфигурацией автоматизированной системы управления и ее системы защиты;

контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления.

16.1. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются:

определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления;

разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления;

контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом.

16.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления осуществляются:

планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных (непредвиденных) ситуаций;

обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных (непредвиденных) ситуаций;

создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;

резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных (непредвиденных) ситуаций;

обеспечение возможности восстановления автоматизированной системы управления и (или) ее компонентов в случае возникновения нештатных (непредвиденных) ситуаций.

16.3. В ходе информирования и обучения персонала автоматизированной системы управления осуществляются:

периодическое информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации;

периодическое обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.

16.4. В ходе анализа угроз безопасности информации в автоматизированной системе управления и возможных рисков от их реализации осуществляются:

периодический анализ уязвимостей автоматизированной системы управления, возникающих в ходе ее эксплуатации;

периодический анализ изменения угроз безопасности информации в автоматизированной системе управления, возникающих в ходе ее эксплуатации;

периодическая оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления (анализ риска).

16.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:

определение лиц, ответственных за управление (администрирование) системой защиты автоматизированной системы управления;

управление учетными записями пользователей и поддержание правил разграничения доступа в автоматизированной системе управления в актуальном состоянии;

управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;

управление обновлениями программного обеспечения, включая программное обеспечение средств защиты информации, с учетом особенностей функционирования автоматизированной системы управления;

централизованное управление системой защиты автоматизированной системы управления (при необходимости);

анализ зарегистрированных событий в автоматизированной системе управления, связанных с безопасностью информации (далее — события безопасности);

сопровождение функционирования системы защиты автоматизированной системы управления в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.

16.6. Для выявления инцидентов и реагирования на них осуществляются:

определение лиц, ответственных за выявление инцидентов и реагирование на них;

обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в автоматизированной системе управления персоналом;

анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

планирование и принятие мер по устранению инцидентов, в том числе по восстановлению автоматизированной системы управления в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

планирование и принятие мер по предотвращению повторного возникновения инцидентов.

16.7. В ходе управления конфигурацией автоматизированной системы управления и ее системы защиты осуществляются:

поддержание конфигурации автоматизированной системы управления и ее системы защиты (структуры системы защиты автоматизированной системы управления, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);

определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления;

управление изменениями базовой конфигурации автоматизированной системы управления и ее системы защиты, в том числе определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты, санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты, контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления;

определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления.

16.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:

контроль за событиями безопасности и действиями персонала в автоматизированной системе управления;

контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования;

анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;

документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;

принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке (модернизации) ее системы защиты.

Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления

17. Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и организационно-распорядительными документами по защите информации и в том числе включает:

архивирование информации, содержащейся в автоматизированной системе управления;

уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

17.1. Архивирование информации, содержащейся в автоматизированной системе управления, должно осуществляться при необходимости дальнейшего использования информации в деятельности оператора.

17.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системы управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.

При выводе автоматизированной системы управления из эксплуатации производится уничтожение машинных носителей информации, содержащих энергонезависимую память.

III. Требования к мерам защиты информации в автоматизированной системе управления

18. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать: (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

идентификацию и аутентификацию (ИАФ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

управление доступом (УПД); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

ограничение программной среды (ОПС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

защиту машинных носителей информации (ЗНИ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

аудит безопасности (АУД); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

антивирусную защиту (АВЗ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

предотвращение вторжений (компьютерных атак) (СОВ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

обеспечение целостности (ОЦЛ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

обеспечение доступности (ОДТ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

защиту технических средств и систем (ЗТС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

защиту информационной (автоматизированной) системы и ее компонентов (ЗИС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

реагирование на компьютерные инциденты (ИНЦ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

управление конфигурацией (УКФ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

управление обновлениями программного обеспечения (ОПО); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

планирование мероприятий по обеспечению безопасности (ПЛН); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

обеспечение действий в нештатных ситуациях (ДНС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

информирование и обучение персонала (ИПО). (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления приведены в приложении N 2 к настоящим Требованиям. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

18.1-18.21. подпункты утратили силу. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

19. Выбор мер защиты информации для их реализации в автоматизированной системе управления в рамках ее системы защиты включает:

определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении N 2 к настоящим Требованиям;

адаптацию базового набора мер защиты информации применительно к каждому уровню автоматизированной системы управления, иным структурно-функциональным характеристикам и особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с технологиями, не используемыми в автоматизированной системе управления или ее уровнях, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);

уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении N 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления;

дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организации в области защиты информации.

Для выбора мер защиты информации для соответствующего класса защищенности автоматизированной системы управления применяются методические документы ФСТЭК России <*>.

<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

20. В автоматизированной системе управления соответствующего класса защищенности в рамках ее системы защиты должны быть реализованы меры защиты информации, выбранные в соответствии с пунктами 18 и 19 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления.

Выбранные меры защиты информации рассматриваются для каждого уровня автоматизированной системы управления отдельно и подлежат реализации с учетом особенностей функционирования каждого из уровней.

При этом в автоматизированной системе управления должен быть, как минимум, реализован адаптированный для каждого уровня базовый набор мер защиты информации, соответствующий установленному классу защищенности автоматизированной системы управления.

21. В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в автоматизированной системе управления меры по обеспечению промышленной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры защиты информации, выбранные в соответствии с пунктами 18 и 19 настоящих Требований, могут не применяться. При этом в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование достаточности применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.

22. При отсутствии возможности реализации отдельных мер защиты информации на каком-либо из уровней автоматизированной системы управления и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на штатный режим функционирования автоматизированной системы управления, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности автоматизированной системы управления.

В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению промышленной и (или) физической безопасности автоматизированной системы управления, поддерживающие необходимый уровень защищенности автоматизированной системы управления.

В этом случае в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование применения компенсирующих мер, а при приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

23. Выбранные и реализованные в автоматизированной системе управления в рамках ее системы защиты меры защиты информации, как минимум, должны обеспечивать:

в автоматизированных системах управления 1 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;

в автоматизированных системах управления 2 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;

в автоматизированных системах управления 3 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.

Потенциал нарушителя определяется в ходе оценки его возможностей и мотивации, проводимой при анализе угроз безопасности информации в соответствии с пунктом 13.3 настоящих Требований.

Оператором может быть принято решение о применении в автоматизированной системе управления соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.

24. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии. (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)

В случае использования в автоматизированных системах управления сертифицированных по требованиям безопасности информации средств защиты информации применяются: (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)

в автоматизированных системах управления 1 класса защищенности применяются средства защиты информации не ниже 4 класса, соответствующие 4 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 4 или более высокому уровню доверия; (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)

в автоматизированных системах управления 2 класса защищенности применяются средства защиты информации не ниже 5 класса, соответствующие 5 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 5 или более высокому уровню доверия; (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)

в автоматизированных системах управления 3 класса защищенности применяются средства защиты информации не ниже 6 класса, соответствующие 6 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 6 или более высокому уровню доверия. (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)

Классы защиты определяются в соответствии с нормативными правовыми актами, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. Уровни доверия определяются в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772). (в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 15.03.2021 N 46)

В случае использования в автоматизированных системах управления средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности). (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)

Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований. (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)

Абзацы девятый — десятый. — Утратил силу. (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)

25. При использовании в автоматизированных системах управления новых технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 22 настоящих Требований.

Приложение N 1
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды

ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ

1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).

2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.

УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],

где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:

высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера <*> или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).

средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера <*> или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).

низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) <*> характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.

<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).

В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:

УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].

Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба. Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.

При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации. Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации.

3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:

Приложение N 2
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды

СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ

(в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)

«+» — мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления.

Меры защиты информации, не обозначенные знаком «+», применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системе управления соответствующего класса защищенности.

Требования по защите информации в автоматизированных информационных системах (АИС) формируются вокруг необходимости оградить конфиденциальные данные от утечек или искажений. Угрозы имеют различный генезис: информация страдает от техногенных аварий, повреждающих оборудование, действий хакеров и вредоносных программ, от инсайдеров, похищающих ее для продажи. Создание комплекса аппаратных и программных средств защиты поможет избежать этих рисков.

Задачи по защите информации

Информация имеет свойства, изменение которых приводит к утрате ее ценности. В законодательстве об охране данных к ним относят:

• конфиденциальность – недоступность третьим лицам;
• целостность или неизменность предполагает, что изменить данные могут только лица, имеющие допуск;
• доступность означает, что необходимые данные будут в распоряжении пользователя, доступ к информации не будет ограничен из-за аппаратных проблем или вирусов-шифровальщиков.

Дополнительно выделяется свойство достоверности. Оно рассматривается как точность и правильность, и задача IТ-специалиста – повысить достоверность данных различными методами.

Это реализуется следующими способами:

• Информационный выражается в добавлении контрольных разрядов (дополнительного бита данных, превращающего 8-битный код в 9-битный), что позволяет проверить точность данных, и в добавлении дополнительных операций обработки данных. Это позволяет обнаружить и устранить ошибки в данных.
• Временный. Процедуры контроля применяются не единожды, а несколько раз на протяжении определенного времени.
• Структурный. Создание резервного хранилища данных, структурный сквозной контроль, реализуемый на всех этапах обработки информации и позволяющий найти ошибку на наиболее ранних этапах.  

Меры защиты информации в АИС применяются и ко всему объему данных, обрабатываемых в организации, и к отдельным блокам, отличающимся по степени ценности данных. 

Объекты защиты

Способы защиты информации имеют свою цену, и необходимо так разграничить объекты охраны, чтобы наиболее сложные и дорогостоящие методы применялись к наиболее ценным информационным объектам. Такое ранжирование производится еще на стадии разработки требований к архитектуре информационной системы. 

Выделяются следующие информационные массивы:

• исходные данные – сведения, которые направляются в АИС на хранение и обработку от пользователей, клиентов, контрагентов;
• производные данные, создающиеся в АИС в результате обработки исходных. Это базы данных, отчеты, структурированные иным способом информационные массивы;
• служебные, вспомогательные сведения, данные сканирования, архивы работы систем защиты;
• программные средства защиты информации, представляющие собой лицензионные продукты или созданные собственными силами;
• алгоритмы, которые легли в основу разработки программ.

За исключением вспомогательных данных, большинство информационных массивов может содержать коммерческую тайну, защита которой должна обеспечиваться на самом высоком уровне.

Планирование и реализация систем защиты

Задача по защите информации в автоматизированных электронных системах должна решаться планомерно. Невозможно обеспечить эффективную работу системы без структурирования деятельности. 

Выделяются следующие этапы работы:

1. Планирование. Выработка требований к обеспечению информационной безопасности становится основой для создания системы. Требования к безопасности опираются на категорию бизнес-процессов, потребности пользователей, модель угроз, степень опасности, исходящей от внутренних или внешних угроз. Планирование осуществляется на основе мировых или отечественных стандартов защиты информации. Это ISO/IEC 27001 и аналогичные, регулирующие различные аспекты информационной безопасности, и российский ГОСТ Р ИСО/МЭК 27001, прямо повторяющий нормы международного. За базу принимаются и рекомендации ФСТЭК РФ в части защиты персональных данных.

2. Внедрение. Процесс выстраивается таким образом, чтобы исключить срывы сроков или ошибки, возникающие в ходе неправильного планирования и бюджетирования.

3. Управление. Для крупных компаний нужна оперативно-диспетчерская служба. Небольшим достаточно сил одного системного администратора. Оперативное управление представляет собой организованное реагирование на нештатные ситуации в процессе функционирования системы, на инциденты информационной безопасности. Оно носит комплексный характер, проводится в ручном и автоматическом режимах. 

4. Плановое руководство защитой информации. Оно состоит из регулярного аудита работы систем защиты, анализа результатов аудита, подготовки докладов руководству и выработки предложений по улучшению систем защиты и усилению мер безопасности.

5. Повседневная деятельность по обеспечению безопасности информации. Это планирование, организация, управление, оценка, выявление инцидентов, оперативные корректировки работы программных и аппаратных средств.

Каждый этап работы по обеспечению безопасности данных должен осуществляться с использованием всех доступных ресурсов и контролем их эффективности.

Методы защиты информации

Выстраивая систему защиты информации в автоматизированных информационных системах корпорации, IT-специалист может использовать различные методы, одновременное применение которых позволяет решать поставленные задачи.

Они делятся на следующие подгруппы:

• методы повышения степени достоверности информации;
• методы защиты данных от утраты в результате аварий или сбоя оборудования;
• методы контроля возможности физического доступа к аппаратуре, панелям управления и сетям, в результате которого возможно повреждение оборудования, хищение информации, намеренное создание аварийных или нештатных ситуаций, установка закладных устройств, позволяющих считывать звуковые и электромагнитные волны;
• методы аутентификации пользователей, программ, съемных носителей информации.

На практике специалисты используют и другие организационные и аппаратно-программные методы. Организационные реализуются на уровне всей компании, решение о выборе аппаратно-программных средств остается в компетенции специалиста.

Организационные 

Выбор и применение этой группы методов зависит от специфики работы организации и от того, в каком правовом поле она существует:

• частная компания, не являющаяся оператором персональных данных и не работающая со сведениями, содержащими государственную тайну. Для нее возможно применение любых удобных организационных методов, без допущения избыточности;
• частная фирма – оператор персональных данных или работающая со сведениями, содержащими государственную тайну. Требования к организационным способам защиты информации для нее устанавливаются на уровне закона и нормативных документов ФСТЭК РФ;
• банк, в чьей работе которого возникает три вида конфиденциальной информации – персональные данные, банковская тайна, коммерческая тайна. Требования по защите информации в АИС для него дополнительно устанавливает регулятор, Центробанк, и он же решает, какие организационные методы должны применяться;
• государственный орган или компания, для которых большинство организационных методов определяются централизованно, на уровне министерств или головных организаций.

Организационные методы делятся на две группы – системные и административные.

К системным относятся:

• повышение надежности оборудования, выбор рабочих станций с меньшими рисками отказа, установка оборудования, снижающего риск утраты информации в результате отключения электроэнергии;
• резервное хранение данных на внешних серверах, что позволяет устранить ошибки, возникающие из-за системных сбоев или уничтожения оборудования;
• ранжирование пользователей – предоставление им разного уровня доступа к сведениям при обработке информации, что снижает риск несанкционированного проникновения к данным, их уничтожения, изменения или копирования; 
• структурирование обработки информации, оптимизация связанных бизнес-процессов, выделение специальных кластеров для обработки информации определенного типа.

Задача по разработке и внедрению административных методов ложится совокупно на руководство предприятия, вышестоящие организации, отделы персонала и безопасности. 

К административным способам относятся:

• принятие внутренних нормативных актов, регулирующих действия по обработке информации и доступу к АИС;
• повышение корпоративной культуры, направленное на возникновение интереса пользователей к защите информации;
• установление режима коммерческой тайны, включение в трудовые договоры пункта об ответственности за ее разглашение;
• обучение пользователей, повышение их мотивации;
• повышение эргономичности труда, облегчение условий работы таким образом, чтобы системные сбои или утрата важной информации не происходили по причине усталости или невнимательности персонала.

Внедрение организационных способов защиты информации в автоматизированных информационных системах должно постоянно сопровождаться аудитом действенности примененных мер и их дальнейшим совершенствованием по результатам выявленных ошибок.

Аппаратно-программные

Эта группа методов зависит от общей политики компании и действий IТ-подразделений. Программные методы призваны обеспечить защиту информации при ее обработке в АИС и при передаче по каналам связи. Аппаратные обеспечивают применение точных контрольно-технических средств, дублирующих функции программных методов (например, шифрование на высоком уровне невозможно обеспечить только программными средствами) и способных обнаружить ошибки, недоступные для выявления программными средствами. 

Задачи аппаратно-программных методов по обеспечению сохранности и достоверности информации делятся на группы:

1. Дублирование и резервирование информации на трех уровнях, создание удаленных баз данных. Оперативное резервирование – создание копий файлов в режиме реального времени. Восстановительное, когда копии файлов создаются в целях их восстановления, если утеря произошла из-за сбоя. Долгосрочное, при котором системные сведения сохраняются в большом объеме, включая копии всех системных файлов, и хранятся длительное время как в целях восстановления, так и в целях аудита.  

2. Блокировка злонамеренных или ошибочных операций, создаваемых действиями пользователей или внешних злоумышленников, вредоносными программами.

3. Защита от вредоносных программ. Это вирусы, черви, троянские кони и логические бомбы. В борьбе с ними используются сканирование, выявление изменения элементов файлов, аудит, антивирусные программы.

4. Защита от внешних проникновений и несанкционированного доступа к информации. Здесь используются сетевые экраны, средства обнаружения атак.

5. Шифрование информации при помощи средств криптографической защиты.

6. Аутентификация пользователей, использование средств контроля доступа. Доступ может быть ограничен или разграничен программными средствами. 

Перечисленные способы программной защиты информации в автоматизированных информационных системах не являются исчерпывающими. Помимо них широко применяются такие комплексные решения, как DLP- и SIEM-системы.

Методы контроля доступа

Первым шагом на пути защиты информации является создание системы контроля доступа пользователей, так как риск для данных существенно выше при внутреннем, а не при внешнем проникновении в систему. Этот метод реализуется и в организационной, и в программной плоскости.

Для его реализации применяются следующие средства:

1. Создается замкнутое пространство, где размещаются рабочие станции и периферийные устройства, в которое исключен доступ для посторонних благодаря созданной в организации системе пропусков. Допускается выделение отдельных зон, в которых обрабатывается информация особой важности внутри компании. При этом рабочие станции не подключаются к общей сети, а попасть в помещение возможно только по электронному пропуску.
2. Обработка отдельных процессов производится на выделенных исключительно для них рабочих станциях, часто также не подключенных к Интернету. В рамках этого метода разграничения создаются отдельные кластеры для вывода информации на печать.

Методы идентификации пользователей

Вторым системным решением, обязательным для безопасности информации в АИС, становится допуск к работе только уполномоченных пользователей.

Существует несколько способов распознавания, и компания выбирает необходимый, исходя из ценности информации, которую следует защищать: 

1. Простой пароль и логин. Система распознает пользователя при их введении. В целях безопасности пароли должны иметь установленный формат, меняться с заданной периодичностью, а за неправомерную передачу пароля и логина другому сотруднику или пользование чужими средствами идентификации должна устанавливаться дисциплинарная ответственность.

2. Диалоговый режим распознавания. В программу изначально вносятся определенные данные, идентифицирующие пользователя, и при каждом соединении или входе в система запрашивает у него ответы на вопросы, которые могут меняться.

3. Биометрический метод распознавания (по отпечаткам пальцев, сетчатке глаза) потребует внедрения дорогостоящих технологий, доступных не всем компаниям.

4. Распознавание при помощи автоматических радиокодовых устройств (токенов), направляющих в систему шифрованные сигналы. При их совпадении с заданными доступ предоставляется. Вариантом метода является аппаратный способ контроля доступа, когда компьютер может быть включен только с помощью электронного ключа.

5. Распознавание с использованием электронных карточек (чипов). Чип содержит информацию, идентифицирующую пользователя, она считывается при обращении к рабочей станции. Информация может наноситься в зашифрованном виде. Ключ шифрования может быть дополнительным параметром идентификации, вводится при входе в систему, для обеспечения наивысшего уровня безопасности меняется при каждом входе.

Аппаратные способы контроля допуска дают наибольшую гарантию защиты данных. Пароли не могут быть подделаны или перехвачены, а решение с биометрическими характеристиками оказывается наиболее эффективным.

Средства разграничения доступа

Помимо физического барьера для входа в АИС существуют и барьеры, закрывающие доступ к информации определенного уровня. Категории информации и ранги пользователей, имеющих к ней доступ, определяются во внутренних политиках безопасности компании. Применяемые системы разграничения доступа обязаны исключить все случаи превышения полномочий пользователя. 

Механизм разграничения предполагает следующие варианты:

1. По уровням конфиденциальности информации. Устанавливаются грифы секретности разной степени: «Секретно», «Совершенно секретно», «Особой важности». Ими маркируются пользователи и массивы информации. Сотрудник получает доступ к базам данных своего уровня и ниже, доступ к более высоким уровням исключается.

2. По специальным спискам. Он может реализовываться в двух вариантах. Для каждого информационного объекта (файла, программы, базы) устанавливается перечень пользователей, имеющих право на работу с ним, или для каждого пользователя определяется список элементов данных, к которым он имеет допуск.

3. По матрице полномочий. В программе создается двухмерная матрица, в которой каждому пользователю присваивается идентификатор. Он указывается в столбце матрицы, в строке находятся идентификаторы элементов информации. При их совпадении допуск разрешается.

4. По принципу мандата. Защищаемый информационный элемент получает метку. Документ открывается только, если запрос к нему содержит аналогичную метку. Пользователям метка выдается системным администратором или владельцем информации.

Но такие системы контроля не всегда защищают от действий инсайдеров, присвоивших чужие идентифицирующие признаки. Для этого необходимо внедрять систему протоколирования действий пользователей.

Протоколирование

Журналы учета, в которые автоматически заносится информация о действиях пользователей, работают на основе программ-регистраторов, которые могут функционировать самостоятельно или быть частью DLP-системы. Такие программы или устройства контролируют использование защищаемой информации, выявляют успешные или безуспешные попытки несанкционированного доступа к ней, производят запись всех действий, в результате накапливают статистические данные о функционировании системы защиты, служащие базой для информационного аудита.

Криптографические средства

Системы допуска работают для внутренних пользователей, но если в систему происходит внешнее проникновение или данные передаются по внешним каналам связи, единственным эффективным способом защиты информации в автоматизированных информационных системах становится шифрование. При шифровании информация видоизменяется, и вернуть ей первоначальную форму можно только при помощи ключа. Средства криптографической защиты сертифицируются ФСБ РФ и могут носить только программный и программно-аппаратный характер, когда информация зашифровывается и расшифровывается при помощи аппаратных средств.

Шифроваться могут файлы, папки, диски, передаваемые данные. Недорогим, но эффективным способом защиты данных является архивирование с паролем. Использование при передаче данных VPN-протокола также поможет сохранить информацию, циркулирующую внутри сети предприятия.

SIEM-системы

Крупные компании при разработке концепции комплексной защиты информации в информационных системах обращают внимание на такие решения, как SIEM-системы. Они не предназначены для защиты от инцидентов информационной безопасности напрямую. Программы из категории Security Information and Event Management призваны обеспечить оперативное информирование о любых сбоях в работе оборудования, программ, любых отклонениях от заданных параметров.

SIEM с определенной периодичностью опрашивает программы, включая DLP-системы, антивирусы, а также маршрутизаторы и другое оборудование. Данные сравниваются с изначально заданными параметрами, и при выявлении отклонений система направляет уведомление об инциденте. Службы, получившие уведомление, принимают меры оперативного реагирования. 

Дополнительными функциями являются:

• протоколирование действий пользователей, данные журналов учета, что станет доказательственной базой в суде при возбуждении дела о компьютерном преступлении или краже коммерческой тайны;
• аудит работоспособности системы и существующего уровня безопасности.

При разработке стратегии безопасности данные SIEM-системы выступают основанием для изменения технологических характеристик системы или приобретения нового программного обеспечения. 

DLP-системы

Набирающие популярность на российском рынке средств защиты информации DLP-системы – решение, которое максимально обеспечивает конфиденциальность и целостность информации, предотвращая несанкционированные действия со стороны пользователей. Принцип работы DLP-системы строится на умении отличать конфиденциальную информацию от открытой. Отслеживая внутренний и внешний трафик, система выявляет случаи, когда маркированная конфиденциальная информация несанкционированно отправляется на печать, копируется, направляется во внешний мир при помощи мессенджера или электронной почты. Все такие ситуации блокируются, а на рабочий стол пользователя выводится предупреждение о запрете действий. Система дорабатывается под потребности компании-клиента и комплексно решает задачи безопасности. Такие системы должны быть проверены и сертифицированы ФСТЭК РФ на отсутствие незадекларированных возможностей, что уверит пользователя в их соответствии нормативной документации.  

Планирование этапов защиты информации в автоматизированных информационных системах должно начинаться с выработки стратегии наиболее эффективного использования программных и аппаратных средств. Иногда отказ от использования сложного, но безопасного решения приводит к утечке данных стоимостью в годовой бюджет компании и репутационным потерям. 

14.11.2019

Приказ ФАПСИ от 13.06.2001 N 152
«Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
(Зарегистрировано в Минюсте РФ 06.08.2001 N 2848)

Вы можете заказать документ на e-mail

Приложение № 1

к приказу № 57/06-04-03

от 16.02.2017 г

РЕГЛАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Содержание

Вводные положения

1.1. Введение

1.2. Цели

1.3. Задачи

1.4. Область действия

1.5. Период действия и порядок внесения изменений

2. Термины и определения

3. Обозначения и сокращения

4. Основные принципы обеспечения ИБ

5. Соответствие Регламента действующему законодательству

6. Ответственность за реализацию информационной безопасности

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

8. Правила информационной безопасности

8.1. Правила предоставления доступа к информационному ресурсу

8.1.1. Назначение

8.1.2. Положение регламента

8.1.3. Порядок создания (продления) учетной записи пользователя

8.1.4. Порядок удаления учетной записи пользователя

8.2. Правила защиты АРМ

8.2.1. Назначение

8.2.2. Положения регламента

8.3. Регламент учетных записей

8.3.1. Назначение

8.3.2. Положение регламента

9. Профилактика нарушений информационной безопасности

10. Ликвидация последствий нарушения информационной безопасности

11. Ответственность нарушителей ИБ

12. Регулирующие законодательные нормативные документы

12.1. Основополагающие нормативные документы

12.2. Законы Российской Федерации

12.3. Указы и распоряжения Президента Российской Федерации

12.4. Постановления и распоряжения Правительства РФ

12.5. Нормативные и руководящие документы Федеральных служб РФ

 Вводные положения

1.1. Введение

Регламент информационной безопасности Департамента административных органов и общественной безопасности администрации Владимирской области (далее – Департамент) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Департамент в своей деятельности.

1.2. Цели

Основными целями регламента ИБ являются защита информации Департамента и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его Положении.

Общее руководство обеспечением ИБ осуществляет заместитель директора департамента. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет консультант отдела обеспечения деятельности мировых судей выполняющий функции администратора информационной безопасности в Департаменте и судебных участках мировых судей (далее администратор информационной безопасности).

Сотрудники департамента обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящего Регламента и других документов ИБ.

1.3. Задачи

Регламент информационной безопасности направлен на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Задачами настоящего регламента являются описание организации системы управления информационной безопасностью в Департаменте; определение политики учетных записей; регламент предоставления доступа к информационному ресурсу; регламент защиты АРМ;

1.4. Область действия

Настоящий Регламент распространяется на всех сотрудников Департамента, подведомственных учреждений, сотрудников аппарата мировых судей Владимирской области  и обязателен для исполнения всеми сотрудниками и должностными лицами. Положения настоящего Регламента применимы для использования во внутренних нормативных и методических документах, а также в договорах.

1.5. Период действия и порядок внесения изменений

Настоящий Регламент вводится в действие приказом директора Департамента.

Регламент признается утратившим силу на основании приказа директора Департамента.

Изменения в Регламент вносятся приказом директора Департамента.

Инициаторами внесения изменений в Регламент информационной безопасности являются:

— Директор Департамента;

— Заместитель директора

— Администратор информационной безопасности;

Плановая актуализация настоящего Регламента производится ежегодно и имеет целью приведение в соответствие определенных защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация регламента информационной безопасности производится в обязательном порядке в следующих случаях:

— при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;

— при изменении внутренних нормативных документов (инструкций, положений, рекомендаций), касающихся информационной безопасности Департамента;

— при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Департамента.

Ответственными за актуализацию Регламента информационной безопасности (плановую и внеплановую) несет администратор информационной безопасности.

Контроль за исполнением требований настоящего Регламента и поддержанием ее в актуальном состоянии возлагается на администратора информационной безопасности.

2. Термины и определения

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор информационной безопасности – специалист Департамента, осуществляющий контроль за обеспечением защиты информации в ЛВС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как  Департаментом  (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации – возможность получения информации и ее использования.

Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач отделов Департамента. В Департаменте используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы – информационные системы, информационные средства, информационные ресурсы.

Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.

Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность – доступ к информации только авторизованных пользователей.

Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование отделов Департамента, привести к причинению в Департаменте материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Департамента и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Регламент информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.

Пользователь ЛВС – сотрудник Департамента (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название отдела, телефоны, E-mail и т.п.

Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Системный администратор – сотрудник Департамента, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.

Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.

Средства криптографической защиты информации – средства шифрования, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.

Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ – электронная — вычислительная машина, персональный компьютер.

Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

VPN (VIRTUAL PRIVATE NETWORK) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.

3. Обозначения и сокращения

АРМ – Автоматизированное рабочее место.

АС – Автоматизированная система.

БД – База данных.

ЗИ – Защита информации.

ИБ – Информационная безопасность.

ИС – Информационная система.

ИТС – Информационно-телекоммуникационная система.

КЗ – Контролируемая зона.

МЭ – Межсетевой экран.

НСД – Несанкционированный доступ.

ОС – Операционная система.

ПБ – Политики безопасности.

ПО – Программное обеспечение.

СВТ – Средства вычислительной техники.

СЗИ – Средство защиты информации.

СКЗИ – Средство криптографической защиты информации.

СПД – Система передачи данных.

СУБД – Система управления базами данных.

СУИБ – Система управления информационной безопасностью.

СЭД – Система электронного документооборота.

ЭВМ – Электронная — вычислительная машина, персональный компьютер.

ЭЦП – Электронная цифровая подпись.

4. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются следующие:

— Постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов.

— Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя.

— Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию.

— Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

5. Соответствие Регламента действующему законодательству

Правовую основу составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

6. Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности.

Ответственность за реализацию Регламента возлагается:

в части, касающейся исполнения правил регламента, – на каждого сотрудника Департамента, согласно должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящего Регламента.

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация просвещения сотрудников Департамента и подведомственных учреждений в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Департамента правилам обращения с конфиденциальной информацией, проводится путем:

— проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Департамент;

— самостоятельного изучения сотрудниками внутренних нормативных документов Департамента.

Допуск сотрудников к работе с защищаемыми информационными ресурсами Департамента осуществляется только после его ознакомления с настоящими Регламентом. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Департамента, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

8. Регламент информационной безопасности Департамента

Регламент информационной безопасности Департамента – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Департаменте.

Под Регламентами безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Регламент информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Департамента в области ИБ.

Регламенты информационной безопасности определяют эффективную работу средств защиты информации.

8.1. Регламент предоставления доступа к информационному ресурсу

8.1.1. Назначение

Настоящий Регламент определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Департамента.

8.1.2. Положение Регламента

К работе с информационным ресурсом допускаются сотрудники, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящим Регламентом.

Каждому сотруднику Департамента, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись ), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Департаменте одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

8.1.3. Порядок создания (продления) учетной записи пользователя

Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника Департамента инициируется заявкой (Приложение № 1).

В заявке указывается:

— должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

— основание для регистрации учетной записи (номер приказа о принятии на работу в Департамент или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Департамента).

Заявку подписывает консультант кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат Департамента.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам Департамента.

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.

8.1.4. Порядок удаления учетной записи пользователя

При прекращении срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.

В заявке указывается:

— должность сотрудника, фамилия, имя и отчество сотрудника;

— имя пользователя (учетной записи) данного сотрудника;

— дата прекращения полномочий пользователя.

Заявку подписывает консультант кадровой службы, утверждая тем самым факт прекращения срока действия полномочий пользователя.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по удалению учетной записи пользователя, По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

В случае необходимости сохранения персональных документов на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации.

8.2. Регламент защиты АРМ

8.2.1. Назначение

Настоящий Регламент определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Департамента от неавторизованного доступа, утраты или модификации.

8.2.2. Положения Регламента

Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.

При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе.

Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.

Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратору информационной безопасности. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.

Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.

Пользователям запрещается устанавливать неавторизованные программы на компьютеры.

Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.

Техническое обслуживание должно осуществляться только на основании обращения пользователя к администратору информационной безопасности.

Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.

Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.

При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.

Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.

Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.

Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию — регламентированы.

АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками Департамента. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности Департамента. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование).

8.3. Регламент учетных записей

8.3.1. Назначение

Настоящий Регламент определяет основные правила присвоения учетных записей пользователям информационных активов Департамента.

8.3.2. Положение Регламента

Регистрационные учетные записи подразделяются на:

— пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Департамента;

— системные – используемые для нужд операционной системы;

— служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.

Каждому пользователю информационных активов Департамента назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).

В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

9. Профилактика нарушений информационной безопасности

Под профилактикой нарушений  информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Департаменте и проведение разъяснительной работы по информационной безопасности среди пользователей.

Проведение в ИС Департамента регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС Департамента степенью периодичности.

Задача предупреждения в ИС Департамента возможных нарушений информационной безопасности решается по мере наступления следующих событий:

— включение в состав ИС Департамента новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС Департамента.

Администратор информационной безопасности (возможно, при помощи сторонней организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения относительно ИС Департамента. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.

Администратор информационной безопасности (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку СЗИ ИС Департамента путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Плановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится администратором информационной безопасности ежеквартально.

Внеплановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится при пересмотре настоящих правил, при возникновении инцидента нарушения правил.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с настоящим Регламентом.

10. Ликвидация последствий нарушения информационной безопасности

Администратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности, и далее следовать его указаниям.

Действия администратора информационной безопасности при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

— Инструкцией пользователя автоматизированной системы;

— Должностными обязанностями администратора информационной безопасности;

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

11. Ответственность нарушителей Регламента информационной безопасности

Ответственность за нарушение  информационной безопасности несет каждый сотрудник Департамента в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Регламента, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Департаменту в результате нарушения ими Регламента  (Ст. 238 Трудового кодекса РФ).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Департамента несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

12. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по информационной безопасности сотрудники Департамента должны руководствоваться следующими законодательными нормативными документами:

12.1. Основополагающие нормативные документы

К основополагающим нормативным документам относятся:

— Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 5 декабря 2016 г. № Пр-646).

12.2. Законы Российской Федерации

— Федеральный закон Российской Федерации от 28.12.2010 г. « О безопасности» № 390-ФЗ (с изменениями от 05.10.2015 г.)

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (с изменениями от 23 июня 2016 г.);

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Уголовный кодекс РФ;

— Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 05.04.2016 г.);

— Федеральный закон от 04.05.2011 г. № 99-ФЗ « О лицензировании отдельных видов деятельности» (с изменениями от 30.12.2015 г.).

12.3. Указы и распоряжения президента Российской Федерации

— Указ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.);

— Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.);

— Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 октября 2010 г.);

— Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.);

— Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 13 июля 2015 г.).

12.4. Постановления и распоряжения правительства Российской Федерации

— Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (с изменениями от 18.03.2016г.);

— Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 21 апреля 2010 г.).

— Постановление Правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации».

— Постановление Правительства от 1 ноября 2012 г. n 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.5. Нормативные и руководящие документы Федеральных служб РФ

— Приказ ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации не составляющей государственную тайну , содержащейся в государственных информационных системах(Зарегистрировано в Минюсте России 31.05.2013 г. № 28608:

— Приказ ФСТЭК России от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

— Приказ ФСБ России №416, ФСТЭК России №489 от 31.08.2010 г. « Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте России 13.10.2010 г. №18904:

— Решение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»;

— Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.);

— Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.);

— Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199);

— Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);

— Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3);

— Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);

— Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114);

— Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187).

Заведующий отделом обеспечения деятельности мировых судей

________________В.В.Родькин

Алгоритм действий при возникновении инцидентов информационной безопасности, связанных с совершением компьютерных атак и внедрением вредоносного программного обеспечения в ФГАОУ ВО УрФУ

1). При возникновении подозрений на инцидент информационной безопасности пользователь информационной системы заполняет форму заявления (см. Приложение 1), визирует её у руководителя своего структурного подразделения и отправляет скан на электронный адрес itsec@urfu.ru. В экстренных случаях допускается отправка заявления, завизированного только пользователем на электронный адрес itsec@urfu.ru или оповещение Управления информационной безопасности по телефону: 375-44-46.

2). Управление информационной безопасности осуществляет первичный анализ инцидента информационной безопасности: возможный характер информационной угрозы, и исходя из этого определяет состав и порядок мероприятий для её устранения. Управление информационной безопасности информирует администратора информационной системы о возникновении инцидента информационной безопасности, направляет рекомендации по устранению информационной угрозы и определяет сроки данных мероприятий.

3). Администратор самостоятельно занимается устранением информационной угрозы. В случае если администратор столкнулся с затруднениями, и угроза не устранена, администратор незамедлительно, повторно, обращается в Управление информационной безопасности за консультацией. По итогам проведенных мероприятий администратор информационной системы оформляет отчет (см. Приложение 2), собственноручно получая необходимые подписи и передает его в Управление информационной безопасности.

4). Управление информационной безопасности может принять решение о блокировке ресурса, узла или, в случае массового заражения, подсети. Разблокировка узла, ресурса или подсети осуществляется после проведения необходимых мероприятий и оформления соответствующего отчета. Собственноручно оформленный и согласованный с ответственными сотрудниками Дирекции информационных технологий и Управлением информационной безопасности отчет предоставляется по форме (см. Приложение 2) администратором подразделения начальнику Управления информационной безопасности.​

5). В случае возникновения необходимости Управление информационной безопасности дает рекомендации пользователю по безопасной эксплуатации информационной системы.

Приложение 1 Заявление о возникновении подозрений на инцидент информационной безопасности

Приложение 2 Отчет администратора информационной системы о проведенных мероприятиях по устранению информационной угрозы