Приказ ФСТЭК России от 14 марта 2014 г. N 31 — регламентирует работу по защите информации в АС, управляющими опасными производственными и технологическими процессами на важных и потенциально опасных объектах.
Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 Собрание законодательства Российской Федерации, 2004, N 34, ст. При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней сегментов автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования. По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование нейтрализацию отдельных угроз безопасности информации. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации. Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание модернизацию автоматизированной системы управления и или техническое задание частное техническое задание на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования", а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика. Разработка системы защиты автоматизированной системы управления 14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34. Автоматизированные системы.
Стадии создания" далее - ГОСТ 34. Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления. При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными информационными системами и информационно-телекоммуникационными сетями. При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления. Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации эскизном техническом проекте и или в рабочей документации на автоматизированную систему управления систему защиты автоматизированной системы управления , разрабатываемой с учетом ГОСТ 34. Виды, комплектность и обозначение документов при создании автоматизированных систем" далее - ГОСТ 34.
Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание модернизацию автоматизированной системы управления и или техническим заданием частным техническим заданием на создание системы защиты автоматизированной системы управления. Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34. Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; определение администратора безопасности информации; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации.
Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации.
Добавлен новый блок в п.
Незначительно расширен перечень объектов защиты - добавлены промышленные сервера и системы локальной автоматики, микропрограммное ПО. Убрана "информация о промышленном или технологическом процессе", но добавлена "иная критическая важная информация". Переформулировали 8-й пункт ранее 9-й , но суть осталась той же.
По тексту некоторые абзацы в пунктах переставили местами и переписали некоторые абзацы немного другими словами суть осталась неизменной. Убран фрагмент в п. Вообще видно, что даже после общественного обсуждения работа с документом велась очень активно и не бездумно - там где средств защиты нет и не появится в ближайшее время произошла замена на встроенные в АСУ ТП защитные механизмы там где они есть.
А вот пункт 22 из проекта про сегментирование убрали. В приложение 2 перечень защитных мер внесли следующие изменения в части базового набора мер: УПД. Сейчас предстоит осознать, что будет меняться в отрасли с выходом данного приказа.
Заказчикам придется закладывать реализацию его положений в свои планы-графики. Интеграторам придется изучать положения нового приказа для его внедрения у заказчиков.
Общие требования» можно обеспечить реализацию и проведение мер по разработке безопасного программного обеспечения непосредственно в процессах его жизненного цикла. Целесообразно проводить исследования по выявлению уязвимостей и НДВ: при выполнении проектирования и разработки ПО этап разработки ; при выполнении квалификационного тестирования ПО этап тестирования ; при выполнении инсталляции программы и поддержки приемки ПО этап реализации и эксплуатации. Одним из способов упростить и автоматизировать проведение таких исследований является применение СЗИ для анализа кода.
Необходимо отметить важность проверки программного кода, содержащегося в транспортных запросах, при переносе данных по ландшафту системы от этапа к этапу. В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки.
Сейчас они относятся к корректирующим или дополнительным мерам. С 31 приказом изменения намного более радикальнее и критичнее. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст. УК РФ.
Обзор приказа ФСТЭК №31
| Защита АСУ ТП в России: исследуем новые требования ФСТЭК / Хабр | В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». |
| Приказ ФСТЭК № 31 - Контроль соответствия | ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и. |
| Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31 | Николай тация: посвящён рассмотрению основных подходов к выполнению тр. |
НАЦ аттестовал информационную систему предприятия "Ростеха" по 31 Приказу ФСТЭК
Выход: определить характер чрезвычайной ситуации можно, либо исходя из паспортов аналогичных, уже введённых в эксплуатацию систем, либо методом экспертной оценки. Критерии, на основании которых определяется предварительный класс защищённости АСУ ТП, представлены в таблицах 2 и 3. Однако на практике в ТЗ заказчик указывает всё ту же пресловутую фразу про оценку соответствия СрЗИ без уточнения формы. Причины следующие: отсутствие чёткого толкования условий и результата проведения оценки соответствия в других формах; устоявшаяся практика применения сертифицированных СрЗИ; отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах следствие из предыдущего пункта. Давайте разбираться. При рассмотрении предприятия через призму ИБ—АСУ ТП—ИТ обособление данных направлений в отдельные подразделения, находящиеся на одном уровне организационной иерархии, на практике расценивается как самый эффективный вариант, обеспечивающий равенство интересов трёх направлений или их обоснованную приоритезацию с учётом стратегии развития. Ответственный за ИБ промышленных систем автоматизации должен относиться к подразделению ИБ и обладать компетенциями в сфере автоматизации. Стоит учитывать также зарубежный опыт в данном вопросе: самым подходящим решением является создание по примеру NIST SP 800-82 [12] межфункциональной команды кибербезопасности, обеспечивающей плотное взаимодействие этих направлений.
Внедрение системы защиты автоматизированной системы управления и ввод ее в действие 15.
Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и или оператором. Настройка задание параметров программирования программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации. Информация об изменениях: См. При внедрении организационных мер защиты информации осуществляются: введение ограничений на действия персонала пользователей операторского персонала , администраторов, обеспечивающего персонала , а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения; определение администратора безопасности информации; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования нейтрализации угроз безопасности информации, которые невозможно исключить настройкой заданием параметров программного обеспечения автоматизированной системы управления и или реализацией организационных мер защиты информации. Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации. При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34. Виды испытаний автоматизированных систем" далее - ГОСТ 34. По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34. По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и или ее системе защиты. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации. Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления. При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии.
На публичное обсуждение выложен проект приказа ФСТЭК России "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. Изменения в 239 приказ запланированы для исправления ошибок, допущенных при утверждении приказа. В тексте действующего приказа в 16 разделе Мер безопасности указано две меры ДНС. Предлагается не только восстановить нумерацию мер, но и сделать ДНС.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Краткое изложение Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами АСУ ТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ. Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами АСУ ТП.
Приказ ФСТЭК от 14 марта 2014 г. N 31
Требования к организации защиты информации в автоматизированной системе управления 7. Автоматизированная система управления, как правило, имеет многоуровневую структуру: уровень операторского диспетчерского управления верхний уровень ; уровень автоматического управления средний уровень ; уровень ввода вывода данных, исполнительных устройств нижний полевой уровень. Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты. В автоматизированной системе управления объектами защиты являются: информация данные о параметрах состоянии управляемого контролируемого объекта или процесса входная выходная информация, управляющая командная информация, контрольно-измерительная информация, иная критически важная технологическая информация ; программно-технический комплекс, включающий технические средства в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства , программное обеспечение в том числе микропрограммное, общесистемное, прикладное , а также средства защиты информации. Защита информации в автоматизированной системе управления является составной частью работ по созданию модернизации и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях этапах ее создания и в ходе эксплуатации. Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование нейтрализацию угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого контролируемого объекта и или процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации. Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации исключение неправомерного блокирования информации , ее целостность исключение неправомерного уничтожения, модифицирования информации , а также, при необходимости, конфиденциальность исключение неправомерного доступа, копирования, предоставления или распространения информации ; должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого контролируемого объекта и или процесса; не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания модернизации и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и или разработчиком самостоятельно и или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" Собрание законодательства Российской Федерации, 2011, N 19, ст. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо работник , ответственные за защиту информации. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
При этом меры защиты информации должны: обеспечивать, в первую очередь, доступность и целостность информации и при необходимости ее конфиденциальность; соотноситься с мерами по промышленной, физической, пожарной, и т. Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами. Для определения класса защищенности необходимо определить уровень значимости обрабатываемой информации в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации. В случае обработки в АСУ ТП двух и более видов информации измерительная информация, информация о состоянии процесса , уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них или может быть установлен отдельно для каждого из уровней автоматизированных систем управления производственными и технологическими процессами и иных сегментов при их наличии.
Определение угроз безопасности информации и построение модели угроз производится на основании методических документов ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», включая: оценку возможностей нарушителей; анализ возможных сценариев реализации угроз безопасности информации; анализ последствий от нарушения свойств безопасности; и др. Требования к системе защиты АСУ ТП определяются в зависимости от класса защищенности и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.
Ну что я могу сказать: ФСТЭК России, как всегда, оперативно реагирует на изменения обстановки, ликвидируя имеющиеся пробелы в нормативке, за что им большое спасибо! Внимательный читатель заметит, что соответствующие приказы утверждены еще летом. Я пишу про них только сейчас потому, что они были официально опубликованы после регистрации в Минюсте России, которая состоялась 06. Эти документы применяются до 31. Приказами предусмотрены плановые, внеплановые, документарные и выездные проверки сроком не более 20 рабочих дней не менее чем двумя должностными лицами.
К важным изменениям относится то, что в Сроках и последовательностях нет зафиксированных в административных регламентах прав и обязанностей должностных лиц при осуществлении лицензионного контроля. Нет также порядков исполнения государственной функции, досудебного обжалования решений, принятых ФСТЭК России и его должностными лицами при осуществлении контроля. Административные регламенты заменили сроками и последовательностями из-за Федерального закона от 04. Смыслом этого закона, судя по пояснительной записке , подготовленной на этапе его проектирования, является извлечение из правового поля некоторых государственных услуг, для которых ранее действовали принципы открытости госорганов.
Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами.
Для определения класса защищенности необходимо определить уровень значимости обрабатываемой информации в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации. В случае обработки в АСУ ТП двух и более видов информации измерительная информация, информация о состоянии процесса , уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них или может быть установлен отдельно для каждого из уровней автоматизированных систем управления производственными и технологическими процессами и иных сегментов при их наличии. Определение угроз безопасности информации и построение модели угроз производится на основании методических документов ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», включая: оценку возможностей нарушителей; анализ возможных сценариев реализации угроз безопасности информации; анализ последствий от нарушения свойств безопасности; и др. Требования к системе защиты АСУ ТП определяются в зависимости от класса защищенности и актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.
На этапе разработки системы защиты в рамках проектирования системы защиты информации осуществляется выбор СрЗИ, прошедших оценку соответствия, и определяются необходимые меры защиты с учетом особенностей функционирования ПО и технических средств на каждом уровне АСУ ТП.
Разъяснение ФСТЭК по 31-му приказу
Приказ ФСТЭК России № 229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ». Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 14 марта 2014 года № 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и.
Приказ ФСТЭК России от 14 марта 2014 г. N 31
| Новости нормативки по ИБ. Сентябрь — октябрь 2023 года - вАЙТИ | Приказ ФСТЭК России от 14.03.2014 № 31 Об утверждении требований к обеспечению защиты информации в АСУ ТП на КВО. |
| Приказ ФСТЭК России от 14.03.2014 № 31 | Приказ ФСТЭК России № 229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ». |
| Приказ ФСТЭК от 14 марта 2014 г. N 31 | Приказ №31 продолжает курс ФСТЭК по унификации требований по защите информации и информационных систем (а теперь еще и АСУ ТП). |
| Подходы к выполнению требований Приказа №31 ФСТЭК России | 31 приказ будет применятся для защиты АСУ, которые незначимые объекты КИИ. |
Подходы к выполнению требований Приказа №31 ФСТЭК России
Приказ №31 продолжает курс ФСТЭК по унификации требований по защите информации и информационных систем (а теперь еще и АСУ ТП). используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. Первая особенность приказа № 31 – «уникальные» требования обеспечения безопасной разработки программного обеспечения (ОБР), которых нет в аналогичных приказах ФСТЭК. 31 приказ будет применятся для защиты АСУ, которые незначимые объекты КИИ. Обзор приказа ФСТЭК №31 | Будьте в курсе актуальных новостей в области информационных технологий и кибербезопасности. Сейчас приказ ФСТЭК № 31 — это достаточно высокоуровневый документ. приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при.
Приказ ФСТЭК от 14 марта 2014 г. N 31
УТВЕРЖДЕНЫ приказом ФСТЭК России от 14 марта 2014 г. N 31. Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". Приказ ФСТЭК России от 14 марта 2014 г. № 31 (автоматизированные системы управления производственными и технологическими процессами). Орган власти: ФСТЭК России, Вид документа: Приказ, Номер: 31, Дата принятия: 19.02.2018, Актуальный текст.
Изменения в НПА по информационной безопасности
| Защита АСУ ТП в России: исследуем новые требования ФСТЭК / Хабр | Приказом ФСТЭК России № 44 от 07.03.2023 утверждены "Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети". |
| Защита АСУ ТП в России: исследуем новые требования ФСТЭК / Хабр | В таблице № 1 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т». |
Новости нормативки по ИБ. Сентябрь — октябрь 2023 года
31 приказ ФСТЭК, используется для незначимых ОКИИ. Приказ ФСТЭК России от 14 марта 2014 г. N 31 — регламентирует работу по защите информации в АС, управляющими опасными производственными и технологическими процессами на важных и потенциально опасных объектах. С утверждением приказа ФСТЭК России № 31 мероприятия по защите информации в АСУ ТП стали носить обязательный характер, что говорит операторам о необходимости приведения процессов обработки информации в соответствие положениям данного. Николай тация: посвящён рассмотрению основных подходов к выполнению тр. 31 приказ будет применятся для защиты АСУ, которые незначимые объекты КИИ.