Приказ ФСТЭК от 14 марта 2014 г. № 31

Приказ ФСТЭК от 14 марта 2014 г. № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды"

Главные выдержки из Приказа ФСТЭК от 14 марта 2014 г. № 31:

1. Цель документа: утвердить требования к обеспечению защиты информации в АСУТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
2. В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации, т.е. защищается с помощью сертифицированного программного обеспечения.
3. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне, т.е. с использованием СКЗИ.
4. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
5. Устанавливаются три класса защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с уровнем значимости (критичности) информации.
6. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:
  • выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
  • анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;
  • определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
  • оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.
7. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней этой системы.
8. Настройка (задание параметров программирования) программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления, а также обеспечивать конфигурацию, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации, программного обеспечения и автоматизированной системы в целом.

Источник

Срок действия: не ограничен

Ответственность:
  • Административная ответственность по ст. 13.12.1 КоАП РФ
  • Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ

Ответственные лица
  • Руководители государственных органов (организаций)
  • Зам. руководителя по ИБ

Связанные документы:
  • Приказ ФСТЭК России от 23.03.2017 N 49
  • Приказ ФСТЭК России N 138, от 15.03.2021 N 46
  • № 187-ФЗ от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации»
  • Приказ ФСТЭК N 239 от 25 декабря 2017 г.
  • Приказ ФСТЭК N 235 от 21 декабря 2017 г.
  • ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"
  • ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования"
  • Указ Президента Российской Федерации от 16 августа 2004 г. N 1085

ИТ-решения, которые закрывают требования нормативных документов
  • Indeed PAM превью Программно-аппаратный комплекс, реализующий централизованную политику контроля и управления привилегированным доступом.
  • Indeed AM превью Программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации.
  • Indeed Certificate Manager превью Централизованная система управления инфраструктурой открытых ключей, поддерживающая аудит инфраструктуры PKI и интеграцию с различными сторонними системами
  • Kaspersky ICS превью Специализированная промышленная XDR-платформа для комплексной защиты предприятий различных индустрий.
  • Kaspersky Unified Monitoring and Analysis Platform (KUMA) превью  Решение повышает прозрачность защитной инфраструктуры, увеличивает эффективность мер защиты, позволяет обеспечить соответствие требованиям регулирующих органов и помогает выстроить долгосрочную стратегию обеспечения безопасности.
  • vGate превью Средство защиты компонентов виртуальной платформы.
  • Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
  • Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
  • Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
  • Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
  • Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
  • Secret Net Studio for Linux  превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
  • Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
  • Кибер Бэкап превью Надежное решение для резервного копирования с точной оценкой потенциальных уязвимостей и эффективной защитой от вредоносного ПО
  • R‑Vision SOAR превью Система агрегирует данные по инцидентам из множества источников, автоматизирует обогащение, реагирование и внедрение защитных мер, обеспечивает единое пространство для совместной работы ИБ-специалистов.
  • R‑Vision SGRC превью Обеспечивает своевременное выявление рисков, облегчает контроль за соблюдением внешних требований и помогает сформировать системы внутренней нормативной документации.
  • R‑Vision SIEM превью Технология для централизованного управления событиями в информационных системах, обеспечивающая безопасность и целостность бизнеса.
  • R‑Vision TDP превью Комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.
  • R‑Vision UEBA превью Осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.
  • R‑Vision TIP превью Обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.
  • ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью. При этом обеспечивает полноценную защиту, предусматривает проведение операций с шифрованием и проверкой подлинности пользователей.
  • ViPNet Client 4/4U превью Программа обеспечивает безопасность служебной сведений, в том числе, и в режиме дистанционной работы. Система фильтрации трафика легко интегрируется с ОС Windows, также работает на базе Linux и Mac OS X.
  • ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
  • ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
  • ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
  • ViPNet Connect превью Приложение для защищенного общения корпоративных пользователей. Обеспечивает голосовые коммуникации, отправку текстовых сообщений, в том числе с вложениями, со стационарных компьютеров, ноутбуков и мобильных устройств.
  • ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
  • ViPNet IDS NS превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
  • ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
  • ViPNet Policy Manager 4 превью Система для централизованного управления политиками безопасности.
  • ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных политик к подключенным устройствам и чувствительным данным.
  • ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
  • ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
  • ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
  • ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
  • ViPNet L2-10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2-10G – шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).