Об информации, информатизации и защите информации» от 20
февраля 1995 года № 24-ФЗ(с изменениями и дополнениями от 10
января 2003 года № 15-ФЗ). Закон утратил силу в связи с принятием
Закона № 149-ФЗ.
О Федеральной службе безопасности» от 3 апреля 1995 года №
40-ФЗ(в ред. Федеральных законов от 30.12.1999 №226-ФЗ,от
07.11.2000 № 135-ФЗ,от 07.05.2002 №49-ФЗ,от 25.07.2002 № 116ФЗ, от 10.01.2003 №4-ФЗ,от 30.06.2003 №86-ФЗ,от 22.08.2004 №122-ФЗ,от 07.03.2005 №15-ФЗ,от 15.04.2006 №50-ФЗ,от
27.07.2006 № 153-ФЗ,с изм. внесенными Федеральным законом от
30.12.2001 № 194-ФЗ).
Обоперативно-розыскнойдеятельности»от 12 августа 1995 года № 144-ФЗ (в ред. Федеральных законов от 18.07.1997 № 101-ФЗ, от
21.07.1998 № 117-ФЗ,от 05.01.1999 №6-ФЗ,от 30.12.1999 № 225ФЗ, от 20.03.2001 №26-ФЗ,от 10.01.2003 №15-ФЗ,от 30.06.2003 №
196
86-ФЗ,от 29.06.2004 №58-ФЗ,от 22.08.2004 №122-ФЗ,от 02.12.2005 №150-ФЗ).
12.«О государственной охране» от 7 мая 1996 года №57-ФЗ(в ред.
Федеральных законов от 18.07.1997 № 101-ФЗ,от 07.11.2000 № 135ФЗ, от 07.05.2002 №49-ФЗ,от 30.06.2003 №86-ФЗ,от 22.08.2004 №122-ФЗ,от 29.12.2004 №191-ФЗ).
Об участии в международном информационном обмене» от 4
июня 1996 года № 85-ФЗ(с изменениями и дополнениями от 30 июня 2003 года №86-ФЗ;от 29 июня 2004 года №58-ФЗ).Закон утратил силу в связи с принятием Закона № 149-ФЗ.
Уголовный кодекс Российской Федерации»от 13 июня 1996 года № 63-ФЗ (с последними изменениями и дополнениями от 30 декабря
2006 года № 283-ФЗ,от 09.04.2007 №42-ФЗ,от 09.04.2007 №46-ФЗ).15.«О внешней разведке» от 10 января 1996 года №5-ФЗ(в ред.
Федеральных законов от 07.11.2000 № 135-ФЗ,от 30.06.2003 № 86ФЗ, от 22.08.2004 №122-ФЗ,от 14.02.2007 №20-ФЗ).
|
|
|
О лицензировании отдельных видов деятельности» от 8 августа
2001 года № 128-ФЗ(с изменениями и дополнениями от 13 марта 2002 года №28-ФЗ,от 21 марта 2002 года №31-ФЗ;от 9 декабря 2002 года №164-ФЗ;от 10 января 2003 года №17-ФЗ;от 27 февраля 2003 года №29-ФЗ;от 11 марта 2003 года №32-ФЗ;от 26 марта 2003 года№36-ФЗ;от 23 декабря 2003 года№185-ФЗ;от 2 ноября 2004
года № 127-ФЗ;от 21 марта 2005 года №20-ФЗ,от 02.07.2005 № 80ФЗ, от 31.12.2005 №200-ФЗ,от 27.07.2006 №156-ФЗ,от 04.12.2006 №201-ФЗ,от 29.12.2006 №244-ФЗ,от 29.12.2006 №252-ФЗ,от 05.02.2007 №13-ФЗ).
Кодекс Российской Федерации об административных правонарушениях»от 30 декабря 2001 года № 195-ФЗ (с
197
последними изменениями и дополнениями от 09.02.2007 № 19-ФЗ,от
29.03.2007 № 39-ФЗ,от 09.04.2007 №44-ФЗ,от 20.04.2007 №54-ФЗ).18.«Трудовой Кодекс Российской Федерации» от 30 декабря 2001
года № 197-ФЗ(в ред. Федеральных законов от 24.07.2002 №97-ФЗ,
от 25.07.2002 № 116-ФЗ,от 30.06.2003 №86-ФЗ,от 27.04.2004 № 32ФЗ, от 22.08.2004 №122-ФЗ,от 29.12.2004 №201-ФЗ,от 09.05.2005 №45-ФЗ,от 30.06.2006 №90-ФЗ,от 18.12.2006 №232-ФЗ,от 30.12.2006 №271-ФЗ).
Об электронной цифровой подписи»от 10.01.2002 № 1-ФЗ. 20.«О техническом регулировании»от 27 декабря 2002 года № 184-
Ф3 (с изменениями и дополнениями от 9 мая 2005 года № 45-ФЗ).21.«О государственной автоматизированной системе Российской
Федерации «Выборы» от 10 января 2003 года №20-ФЗ.22.«Таможенный кодекс Российской Федерации» от 28 мая 2003 года
|
|
|
№61-ФЗ(в ред. Федеральных законов от 29.06.2004 №58-ФЗ,от
20.08.2004 № 118-ФЗ,от 11.11.2004 №139-ФЗ,от 18.07.2005 № 90ФЗ, от 31.12.2005 №204-ФЗ,от 10.01.2006 №16-ФЗ,от 18.02.2006 №26-ФЗ,от 30.12.2006 №266-ФЗ,с изм., внесенными Федеральными законами от 23.12.2003 №186-ФЗ,от 19.12.2006 №238-ФЗ).
23.«О связи» от 7 июля 2003 года №126-ФЗ(с изменениями и дополнениями от 22.08.2004 №122-ФЗ,от 02.11.2004 №127-ФЗ,от 09.05.2005 №45-ФЗ,от 02.02.2006 №19-ФЗ,от 03.03.2006 №32-ФЗ,от 26.07.2006 №132-ФЗ,от 27.07.2006 №153-ФЗ,от 29.12.2006 №245-ФЗ,от 23.12.2003 №186-ФЗ,от 09.02.2007 №14-ФЗ).
24.«О коммерческой тайне» от 29 июля 2004 года №98-ФЗ(с
изменениями и дополнениями от 02.02.2006 № 19-ФЗ,от 18.12.2006
№231-ФЗ).
4. Международные и отечественные стандарты в области ИБ и их
задачи.
Обеспечить безопасность информационных систем внастоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала системамеждународных и национальных стандартов безопасности информации,которая насчитывает более сотни различных документов.
|
|
|
Это особенно актуально для так называемыхоткрытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимаютсовокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
|
|
|
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet:-сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, ISО 17799 (ВS 7799), ВSI; стандарты аудита информационных систем и нформаци-
онной безопасности СОВIТ, SАC, СОSО и некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.
ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.
ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:
- во-первых, определение целей обеспечения информационной безопасности компьютерных систем;
- во-вторых, создание эффективной системы управления информационной безопасностью;
- в третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
- в четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
- в пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем,позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Основное внимание уделяется международному стандарту ISO/ 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям «Internet-сообществ».
Проведение аудитаинформационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартахИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.
В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:
l Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
l Гармонизированные критерии европейских стран;
l Рекомендации Х.800;
l Германский стандарт BSI;
l Британский стандарт BS 7799;
l Стандарт «Общие критерии» ISO 15408;
l Стандарт ISO 17799;
l Стандарт COBIT
Эти стандарты можно разделить на два разных вида:
1. Оценочные стандарты ,направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
2. Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документовнет глухой стены, напротив,существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций.
Технические спецификацииопределяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.
5. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
· 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
· 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· 5) учетом машинных носителей персональных данных;
· 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
· 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Оператор обязан сообщить в порядке, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на основания для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, и если, персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Законом.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
· • обрабатываемых в соответствии с трудовым законодательством;
· • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
· • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
· • сделанных субъектом персональных данных общедоступными;
· • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
· • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
· • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
· • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
· • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Уведомление, предусмотренное законом, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом и должно содержать следующие сведения:
· 1) наименование (фамилия, имя, отчество), адрес оператора;
· 2) цель обработки персональных данных;
· 3) категории персональных данных;
· 4) категории субъектов, персональные данные которых обрабатываются;
· 5) правовое основание обработки персональных данных;
· 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
· 7) описание мер, предусмотренных Федеральным законом, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
· 8) фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
· 9) дату начала обработки персональных данных;
· 10) срок или условие прекращения обработки персональных данных;
· 11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
· 12) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативноправовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).
Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение и осуществляет иные полномочия, предусмотренные Федеральным законом «О персональных данных».
6. Общие сведения и классификация автоматизированных систем управления производственными и технологическими процессами на критически важных объектах.
В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.
Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.
В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.
2. Настоящие Требования направлены на обеспечение функционирования автоматизированной системы управления в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов (далее - управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.
3. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).
4. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления (далее - заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее - оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее - разработчик).
5. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.
6. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
7. Основные требования по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах.
Автоматизированная система управления, как правило, имеет многоуровневую структуру:
уровень операторского (диспетчерского) управления (верхний уровень);
уровень автоматического управления (средний уровень);
уровень "вода (вывода) данных, исполнительных устройств (нижний (полевой) уровень).
Автоматизированная система управления может включать:
а) на уровне операторского (диспетчерского) управления:
операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
б) на уровне автоматического управления:
программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;
в) на уровне ввода (вывода) данных (исполнительных устройств):
датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.
Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты.
В автоматизированной системе управления объектами защиты являются:
информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.
8. Защита информации в автоматизированной системе управления является составной частью работ по созданию (модернизации) и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации.
Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации.
Принимаемые организационные и технические меры защиты информации:
должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);
должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;
не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 30, ст. 4590; N43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477).
10. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
12. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия:
формирование требований к защите информации в автоматизированной системе управления;
разработка системы защиты автоматизированной системы управления;
внедрение системы защиты автоматизированной системы управления и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления;
обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления.
Дата добавления: 2019-07-15; просмотров: 379; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!