Требования ФСТЭК к защите информации

Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала на минувшей неделе приказ о внесении изменений в требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, а также внесла изменения в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Как было сказано в пояснении при обсуждении документа, он разработан по результатам мониторинга правоприменения приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в целях обеспечения единства мер обеспечения безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, и мер защиты информации в автоматизированных системах управления, не являющихся такими объектами.

В приказ ФСТЭК России от 14 марта 2014 г. № 31 вносятся изменения, направленные на его актуализацию, а также на унификацию мер защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, с мерами обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Так, согласно приказу, организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать:

• идентификацию и аутентификацию (ИАФ);
• управление доступом (УПД);
• ограничение программной среды (ОПС);
• защиту машинных носителей информации (ЗНИ);
• аудит безопасности (АУД);
• антивирусную защиту (АВЗ);
• предотвращение вторжений (компьютерных атак) (СОВ);
• обеспечение целостности (ОЦЛ);
• обеспечение доступности (ОДТ);
• защиту технических средств и систем (ЗТС);
• защиту информационной (автоматизированной) системы и ее компонентов (ЗИС);
• реагирование на компьютерные инциденты (ИНЦ);
• управление конфигурацией (УКФ);
• управление обновлениями программного обеспечения (ОПО);
• планирование мероприятий по обеспечению безопасности (ПЛН);
• обеспечение действий в нештатных ситуациях (ДНС);
• информирование и обучение персонала (ИПО).

ИСТОЧНИК: Приказ Федеральной службы по техническому и экспортному контролю от 09.08.2018 № 138 "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239" (Зарегистрирован 05.09.2018 № 52071)
Дата опубликования: 06.09.2018
Номер опубликования: 0001201809060006
cкачать PDF-файл для качественной печати (693 Кб)