Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала на минувшей неделе приказ о внесении изменений в требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, а также внесла изменения в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Как было сказано в пояснении при обсуждении документа, он разработан по результатам мониторинга правоприменения приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в целях обеспечения единства мер обеспечения безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, и мер защиты информации в автоматизированных системах управления, не являющихся такими объектами.
В приказ ФСТЭК России от 14 марта 2014 г. № 31 вносятся изменения, направленные на его актуализацию, а также на унификацию мер защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, с мерами обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Так, согласно приказу, организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать:
идентификацию и аутентификацию (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защиту машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусную защиту (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защиту технических средств и систем (ЗТС);
защиту информационной (автоматизированной) системы и ее компонентов (ЗИС);
реагирование на компьютерные инциденты (ИНЦ);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
планирование мероприятий по обеспечению безопасности (ПЛН);
обеспечение действий в нештатных ситуациях (ДНС);
информирование и обучение персонала (ИПО).
