См. Документы Федеральной службы по тарифам

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ
от 9 августа 2018 г. N 138

О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ
И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ
ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ,
ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ
ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ, УТВЕРЖДЕННЫЕ
ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ
КОНТРОЛЮ ОТ 14 МАРТА 2014 Г. N 31, И В ТРЕБОВАНИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ,
УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ
И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 25 ДЕКАБРЯ 2017 Г. N 239

Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31 (зарегистрирован Министерством юстиции Российской Федерации 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487), и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) изменения согласно приложению к настоящему приказу.

Директор Федеральной службы
по техническому и экспортному контролю
В.СЕЛИН

Приложение
к приказу ФСТЭК России
от 9 августа 2018 г. N 138

ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ
ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ
ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО
ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ
ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ
И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ, УТВЕРЖДЕННЫЕ
ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ
И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 14 МАРТА 2014 Г. N 31,
И В ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ
ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ
ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ
КОНТРОЛЮ ОТ 25 ДЕКАБРЯ 2017 Г. N 239

1. В Требованиях к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31:

1) пункт 1 после абзаца первого дополнить абзацем следующего содержания:

"Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).";

2) абзацы первый - четвертый подпункта 13.3 пункта 13 изложить в следующей редакции:

"13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;

б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;

в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;

г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.

В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198; 2018, N 20, ст. 2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.";

3) в подпункте 15.3 пункта 15:

после абзаца второго дополнить абзацем следующего содержания:

"определение администратора безопасности информации;";

в абзаце четвертом после слов "персонала автоматизированной системы управления" дополнить словами "и администратора безопасности информации";

4) пункт 18 изложить в следующей редакции:

"18. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать:

идентификацию и аутентификацию (ИАФ);

управление доступом (УПД);

ограничение программной среды (ОПС);

защиту машинных носителей информации (ЗНИ);

аудит безопасности (АУД);

антивирусную защиту (АВЗ);

предотвращение вторжений (компьютерных атак) (СОВ);

обеспечение целостности (ОЦЛ);

обеспечение доступности (ОДТ);

защиту технических средств и систем (ЗТС);

защиту информационной (автоматизированной) системы и ее компонентов (ЗИС);

реагирование на компьютерные инциденты (ИНЦ);

управление конфигурацией (УКФ);

управление обновлениями программного обеспечения (ОПО);

планирование мероприятий по обеспечению безопасности (ПЛН);

обеспечение действий в нештатных ситуациях (ДНС);

информирование и обучение персонала (ИПО).

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления приведены в приложении N 2 к настоящим Требованиям.

Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.";

5) подпункты 18.1 - 18.21 пункта 18 признать утратившими силу.

6) приложение N 2 к указанным Требованиям изложить в следующей редакции:

"Приложение N 2
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды

СОСТАВ
МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ
ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ

Условное обозначение и номер меры
Меры защиты информации в автоматизированных системах управления
Классы защищенности автоматизированной системы управления
3
2
1
I. Идентификация и аутентификация (ИАФ)
ИАФ.0
Разработка политики идентификации и аутентификации
+
+
+
ИАФ.1
Идентификация и аутентификация пользователей и инициируемых ими процессов
+
+
+
ИАФ.2
Идентификация и аутентификация устройств
+
+
+
ИАФ.3
Управление идентификаторами
+
+
+
ИАФ.4
Управление средствами аутентификации
+
+
+
ИАФ.5
Идентификация и аутентификация внешних пользователей
+
+
+
ИАФ.6
Двусторонняя аутентификация
ИАФ.7
Защита аутентификационной информации при передаче
+
+
+
II. Управление доступом (УПД)
УПД.0
Разработка политики управления доступом
+
+
+
УПД.1
Управление учетными записями пользователей
+
+
+
УПД.2
Реализация политик управления доступа
+
+
+
УПД.3
Доверенная загрузка
+
+
УПД.4
Разделение полномочий (ролей) пользователей
+
+
+
УПД.5
Назначение минимально необходимых прав и привилегий
+
+
+
УПД.6
Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему
+
+
+
УПД.7
Предупреждение пользователя при его доступе к информационным ресурсам
УПД.8
Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе
+
УПД.9
Ограничение числа параллельных сеансов доступа
+
УПД.10
Блокирование сеанса доступа пользователя при неактивности
+
+
+
УПД.11
Управление действиями пользователей до идентификации и аутентификации
+
+
+
УПД.12
Управление атрибутами безопасности
УПД.13
Реализация защищенного удаленного доступа
+
+
+
УПД.14
Контроль доступа из внешних информационных (автоматизированных) систем
+
+
+
III. Ограничение программной среды (ОПС)
ОПС.0
Разработка политики ограничения программной среды
+
+
ОПС.1
Управление запуском (обращениями) компонентов программного обеспечения
+
ОПС.2
Управление установкой (инсталляцией) компонентов программного обеспечения
+
+
ОПС.3
Управление временными файлами
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.0
Разработка политики защиты машинных носителей информации
+
+
+
ЗНИ.1
Учет машинных носителей информации
+
+
+
ЗНИ.2
Управление физическим доступом к машинным носителям информации
+
+
+
ЗНИ.3
Контроль перемещения машинных носителей информации за пределы контролируемой зоны
ЗНИ.4
Исключение возможности несанкционированного чтения информации на машинных носителях информации
ЗНИ.5
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации
+
+
+
ЗНИ.6
Контроль ввода (вывода) информации на машинные носители информации
+
ЗНИ.7
Контроль подключения машинных носителей информации
+
+
+
ЗНИ.8
Уничтожение (стирание) информации на машинных носителях информации
+
+
+
V. Аудит безопасности (АУД)
АУД.0
Разработка политики аудита безопасности
+
+
+
АУД.1
Инвентаризация информационных ресурсов
+
+
+
АУД.2
Анализ уязвимостей и их устранение
+
+
+
АУД.3
Генерирование временных меток и (или) синхронизация системного времени
+
+
+
АУД.4
Регистрация событий безопасности
+
+
+
АУД.5
Контроль и анализ сетевого трафика
+
АУД.6
Защита информации о событиях безопасности
+
+
+
АУД.7
Мониторинг безопасности
+
+
+
АУД.8
Реагирование на сбои при регистрации событий безопасности
+
+
+
АУД.9
Анализ действий пользователей
+
АУД.10
Проведение внутренних аудитов
+
+
+
АУД.11
Проведение внешних аудитов
+
VI. Антивирусная защита (АВЗ)
АВЗ.0
Разработка политики антивирусной защиты
+
+
+
АВЗ.1
Реализация антивирусной защиты
+
+
+
АВЗ.2
Антивирусная защита электронной почты и иных сервисов
+
+
+
АВЗ.3
Контроль использования архивных, исполняемых и зашифрованных файлов
+
АВЗ.4
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
+
+
+
АВЗ.5
Использование средств антивирусной защиты различных производителей
+
VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0
Разработка политики предотвращения вторжений (компьютерных атак)
+
+
СОВ.1
Обнаружение и предотвращение компьютерных атак
+
+
СОВ.2
Обновление базы решающих правил
+
+
VIII. Обеспечение целостности (ОЦЛ)
ОЦЛ.0
Разработка политики обеспечения целостности
+
+
+
ОЦЛ.1
Контроль целостности программного обеспечения
+
+
+
ОЦЛ.2
Контроль целостности информации
ОЦЛ.3
Ограничения по вводу информации в информационную (автоматизированную) систему
+
ОЦЛ.4
Контроль данных, вводимых в информационную (автоматизированную) систему
+
+
ОЦЛ.5
Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях
+
+
ОЦЛ.6
Обезличивание и (или) деидентификация информации
IX. Обеспечение доступности (ОДТ)
ОДТ.0
Разработка политики обеспечения доступности
+
+
+
ОДТ.1
Использование отказоустойчивых технических средств
+
+
ОДТ.2
Резервирование средств и систем
+
+
ОДТ.3
Контроль безотказного функционирования средств и систем
+
+
ОДТ.4
Резервное копирование информации
+
+
+
ОДТ.5
Обеспечение возможности восстановления информации
+
+
+
ОДТ.6
Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях
+
+
+
ОДТ.7
Кластеризация информационной (автоматизированной) системы
ОДТ.8
Контроль предоставляемых вычислительных ресурсов и каналов связи
+
+
+
X. Защита технических средств и систем (ЗТС)
ЗТС.0
Разработка политики защиты технических средств и систем
+
+
+
ЗТС.1
Защита информации от утечки по техническим каналам
ЗТС.2
Организация контролируемой зоны
+
+
+
ЗТС.3
Управление физическим доступом
+
+
+
ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
+
+
+
ЗТС.5
Защита от внешних воздействий
+
+
+
ЗТС.6
Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.0
Разработка политики защиты информационной (автоматизированной) системы и ее компонентов
+
+
+
ЗИС.1
Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями
+
+
+
ЗИС.2
Защита периметра информационной (автоматизированной) системы
+
+
+
ЗИС.3
Эшелонированная защита информационной (автоматизированной) системы
+
+
+
ЗИС.4
Сегментирование информационной (автоматизированной) системы
+
+
ЗИС.5
Организация демилитаризованной зоны
+
+
+
ЗИС.6
Управление сетевыми потоками
ЗИС.7
Использование эмулятора среды функционирования программного обеспечения ("песочница")
ЗИС.8
Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы
+
+
+
ЗИС.9
Создание гетерогенной среды
ЗИС.10
Использование программного обеспечения, функционирующего в средах различных операционных систем
ЗИС.11
Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом
ЗИС.12
Изоляция процессов (выполнение программ) в выделенной области памяти
ЗИС.13
Защита неизменяемых данных
+
+
ЗИС.14
Использование неперезаписываемых машинных носителей информации
ЗИС.15
Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек
ЗИС.16
Защита от спама
+
+
ЗИС.17
Защита информации от утечек
ЗИС.18
Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию
ЗИС.19
Защита информации при ее передаче по каналам связи
+
+
+
ЗИС.20
Обеспечение доверенных канала, маршрута
+
+
+
ЗИС.21
Запрет несанкционированной удаленной активации периферийных устройств
+
+
+
ЗИС.22
Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами
ЗИС.23
Контроль использования мобильного кода
+
+
ЗИС.24
Контроль передачи речевой информации
+
+
ЗИС.25
Контроль передачи видеоинформации
+
+
ЗИС.26
Подтверждение происхождения источника информации
ЗИС.27
Обеспечение подлинности сетевых соединений
+
+
ЗИС.28
Исключение возможности отрицания отправки информации
+
+
ЗИС.29
Исключение возможности отрицания получения информации
+
+
ЗИС.30
Использование устройств терминального доступа
ЗИС.31
Защита от скрытых каналов передачи информации
+
ЗИС.32
Защита беспроводных соединений
+
+
+
ЗИС.33
Исключение доступа через общие ресурсы
+
ЗИС.34
Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
+
+
+
ЗИС.35
Управление сетевыми соединениями
+
+
ЗИС.36
Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем
ЗИС.37
Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)
ЗИС.38
Защита информации при использовании мобильных устройств
+
+
+
ЗИС.39
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
+
+
+
XII. Реагирование на компьютерные инциденты (ИНЦ)
ИНЦ.0
Разработка политики реагирования на компьютерные инциденты
+
+
+
ИНЦ.1
Выявление компьютерных инцидентов
+
+
+
ИНЦ.2
Информирование о компьютерных инцидентах
+
+
+
ИНЦ.3
Анализ компьютерных инцидентов
+
+
+
ИНЦ.4
Устранение последствий компьютерных инцидентов
+
+
+
ИНЦ.5
Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
+
+
+
ИНЦ.6
Хранение и защита информации о компьютерных инцидентах
+
XIII. Управление конфигурацией (УКФ)
УКФ.0
Разработка политики управления конфигурацией информационной (автоматизированной) системы
+
+
+
УКФ.1
Идентификация объектов управления конфигурацией
УКФ.2
Управление изменениями
+
+
+
УКФ.3
Установка (инсталляция) только разрешенного к использованию программного обеспечения
+
+
+
УКФ.4
Контроль действий по внесению изменений
XIV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0
Разработка политики управления обновлениями программного обеспечения
+
+
+
ОПО.1
Поиск, получение обновлений программного обеспечения от доверенного источника
+
+
+
ОПО.2
Контроль целостности обновлений программного обеспечения
+
+
+
ОПО.3
Тестирование обновлений программного обеспечения
+
+
+
ОПО.4
Установка обновлений программного обеспечения
+
+
+
XV. Планирование мероприятий по обеспечению безопасности (ПЛН)
ПЛН.0
Разработка политики планирования мероприятий по обеспечению защиты информации
+
+
+
ПЛН.1
Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации
+
+
+
ПЛН.2
Контроль выполнения мероприятий по обеспечению защиты информации
+
+
+
XVI. Обеспечение действий в нештатных ситуациях (ДНС)
ДНС.0
Разработка политики обеспечения действий в нештатных ситуациях
+
+
+
ДНС.1
Разработка плана действий в нештатных ситуациях
+
+
+
ДНС.2
Обучение и отработка действий персонала в нештатных ситуациях
+
+
+
ДНС.3
Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций
+
+
ДНС.4
Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций
+
+
ДНС.5
Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций
+
+
+
ДНС.6
Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения
+
+
+
XVII. Информирование и обучение персонала (ИПО)
ИПО.0
Разработка политики информирования и обучения персонала
+
+
+
ИПО.1
Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
+
+
+
ИПО.2
Обучение персонала правилам безопасной работы
+
+
+
ИПО.3
Проведение практических занятий с персоналом по правилам безопасной работы
+
+
ИПО.4
Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
+
+
+

"+" - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления.

Меры защиты информации, не обозначенные знаком "+", применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системе управления соответствующего класса защищенности.".

2. В приложении к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, строку седьмую раздела XVI изложить в следующей редакции:

"

ДНС.6
Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения
+
+
+

".