1 |
2 |
|
3 |
4 |
5 |
ДНС.2 |
Обучение и отработка действий персонала в случае возник- |
|
+ |
+ |
+ |
|
новения нештатных (непредвиденных) ситуаций |
|
|
|
|
ДНС.3 |
Создание альтернативных мест хранения и обработки ин- |
|
|
|
|
формации на случай возникновения нештатных (непредви- |
|
|
+ |
+ |
|
|
денных) ситуаций |
|
|
|
|
|
Резервирование программного обеспечения, технических |
|
|
|
|
ДНС.4 |
средств, каналов передачи данных автоматизированных си- |
|
|
+ |
+ |
|
стем управления на случай возникновения нештатных |
|
|
|
|
|
(непредвиденных) ситуаций |
|
|
|
|
ДНС.5 |
Обеспечение возможности восстановления автоматизирован- |
|
|
|
|
ной системы управления и (или) ее компонент в случае воз- |
|
+ |
+ |
+ |
|
|
никновения нештатных (непредвиденных) ситуаций |
|
|
|
|
|
XVIII. Информирование и обучение персонала (ИПО) |
|
|
|
|
|
|
|
|
|
|
ИПО.0 |
Разработка правил и процедур (политик) информирования и |
|
+ |
+ |
+ |
обучения персонала |
|
||||
|
Информирование персонала об угрозах безопасности инфор- |
|
|
|
|
ИПО.1 |
мации, о правилах эксплуатации системы защиты автомати- |
|
+ |
+ |
+ |
зированной системы управления и отдельных средств защи- |
|
||||
|
ты информации |
|
|
|
|
|
Обучение персонала правилам эксплуатации системы защиты |
|
|
|
|
ИПО.2 |
автоматизированной системы управления и отдельных |
|
+ |
+ |
+ |
|
средств защиты информации |
|
|
|
|
|
Проведение практических занятий с персоналом по правилам |
|
|
|
|
ИПО.3 |
эксплуатации системы защиты автоматизированной системы |
|
|
+ |
+ |
|
управления и отдельных средств защиты информации |
|
|
|
|
|
XIX. Анализ угроз безопасности информации |
|
|
|
|
|
и рисков от их реализации (УБИ) |
|
|
|
|
УБИ.0 |
Разработка правил и процедур (политик) анализа угроз без- |
|
+ |
+ |
+ |
|
опасности информации и рисков от их реализации |
|
|
|
|
УБИ.1 |
Периодический анализ изменения угроз безопасности ин- |
|
|
|
|
формации, возникающих в ходе эксплуатации автоматизиро- |
|
+ |
+ |
+ |
|
|
ванной системы управления |
|
|
|
|
УБИ.2 |
Периодическая переоценка последствий от реализации угроз |
|
+ |
+ |
+ |
|
безопасности информации (анализ риска) |
|
|
|
|
|
XX. Выявление инцидентов и реагирование на них (ИНЦ) |
|
|
|
|
ИНЦ.0 |
Разработка правил и процедур (политик) выявления инци- |
|
+ |
+ |
+ |
дентов и реагирования на них |
|
||||
ИНЦ.1 |
Определение лиц, ответственных за выявление инцидентов и |
|
+ |
+ |
+ |
реагирование на них |
|
||||
ИНЦ.2 |
Обнаружение, идентификация и регистрация инцидентов |
|
+ |
+ |
+ |
|
Своевременное информирование лиц, ответственных за вы- |
|
|
|
|
ИНЦ.3 |
явление инцидентов и реагирование на них, о возникновении |
|
+ |
+ |
+ |
|
инцидентов |
|
|
|
|
|
Анализ инцидентов, в том числе определение источников и |
|
|
|
|
ИНЦ.4 |
причин возникновения инцидентов, а также оценка их по- |
|
+ |
+ |
+ |
|
следствий |
|
|
|
|
ИНЦ.5 |
Принятие мер по устранению последствий инцидентов |
|
+ |
+ |
+ |
ИНЦ.6 |
Планирование и принятие мер по предотвращению повтор- |
|
+ |
+ |
+ |
|
ного возникновения инцидентов |
|
|
|
|
46
1 |
2 |
3 |
4 |
|
5 |
XXI. |
Управление конфигурацией автоматизированной системы |
управления |
|
||
|
и ее системы защиты (УКФ) |
|
|
|
|
УКФ.0 |
Разработка правил и процедур (политик) управления конфи- |
|
|
|
|
гурацией автоматизированной системы управления и ее си- |
+ |
+ |
|
+ |
|
|
стемы защиты |
|
|
|
|
УКФ.1 |
Определение лиц, которым разрешены действия по внесению |
|
|
|
|
изменений в конфигурацию автоматизированной системы |
+ |
+ |
|
+ |
|
|
управления и ее системы защиты |
|
|
|
|
УКФ.2 |
Управление изменениями конфигурации автоматизирован- |
+ |
+ |
|
+ |
|
ной системы управления и ее системы защиты |
|
|
|
|
|
Анализ потенциального воздействия планируемых измене- |
|
|
|
|
|
ний в конфигурации автоматизированной системы управле- |
|
|
|
|
УКФ.3 |
ния и системы защиты на обеспечение защиты информации и |
|
|
|
|
согласование изменений в конфигурации автоматизирован- |
+ |
+ |
|
+ |
|
|
ной системы управления с должностным лицом (работни- |
|
|
|
|
|
ком), ответственным за обеспечение безопасности автомати- |
|
|
|
|
|
зированной системы управления |
|
|
|
|
УКФ.4 |
Документирование информации (данных) об изменениях в |
|
|
|
|
конфигурации автоматизированной системы управления и ее |
+ |
+ |
|
+ |
|
|
системы защиты |
|
|
|
|
|
Регламентация и контроль технического обслуживания, в том |
|
|
|
|
УКФ.5 |
числе дистанционного (удаленного), технических средств и |
+ |
+ |
|
+ |
|
программного обеспечения автоматизированной системы |
|
|
|
|
|
управления |
|
|
|
|
Примечание. Мера защиты информации («+») включена в базовый набор мер для соответствующего класса защищенности АСУ.
Меры защиты информации, не обозначенные знаком «+», применяются при адаптации и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в АСУ соответствующего класса защищенности.
47
Список использованной литературы
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». ГОСТ Р 52863–2007 «Защита информации. Автоматизированные системы в защи-
щенном исполнении, испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования».
ГОСТ Р 53113.1–2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Ч. 1. Общие положения».
ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
ГОСТ Р 56546–2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».
ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Требования безопасности информации к операционным системам (утв. приказом ФСТЭК России от 19.08.2016 № 119.
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Евгений Германович Воробьев Александр Кимович Племянников Виктор Николаевич Сабынин
Защита информации в АСУ производственными и технологическими процессами в терминах, таблицах и рисунках
Учебное пособие
Редактор Е. О. Веревкина
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Подписано в печать 28.12.17. Формат 60×84 1/16. Бумага офсетная. Печать цифровая. Печ. л. 3,0.
Гарнитура «Times New Roman». Тираж 59 экз. Заказ 234.
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Издательство СПбГЭТУ «ЛЭТИ» 197376, С.-Петербург, ул. Проф. Попова, 5
48