Sb96067
.pdf1 |
|
2 |
3 |
4 |
5 |
|
Контроль содержания информации, передаваемой из автома- |
|
|
|
|
|
тизированной системы управления (контейнерный, основан- |
|
|
|
|
ОЦЛ.5 |
ный на свойствах объекта доступа, и контентный, основан- |
|
|
|
|
|
ный на поиске запрещенной к передаче информации с ис- |
|
|
|
|
|
пользованием сигнатур, масок и иных методов), и исключе- |
|
|
|
|
|
ние неправомерной передачи информации |
|
|
|
|
ОЦЛ.6 |
Ограничение прав пользователей по вводу информации в ав- |
|
|
+ |
|
|
томатизированную систему управления |
|
|
|
|
ОЦЛ.7 |
Контроль точности, полноты и правильности данных, вводи- |
|
+ |
+ |
|
|
мых в автоматизированную систему управления |
|
|
|
|
ОЦЛ.8 |
Контроль ошибочных действий пользователей по вводу и |
|
|
|
|
(или) передаче информации и предупреждение пользователей |
|
+ |
+ |
||
|
об ошибочных действиях |
|
|
|
|
|
X. Обеспечение доступности (ОДТ) |
|
|
|
|
|
|
|
|
|
|
ОДТ.0 |
Разработка правил и процедур (политик) обеспечения до- |
+ |
+ |
+ |
|
ступности |
|
||||
ОДТ.1 |
Использование отказоустойчивых технических средств |
|
+ |
+ |
|
|
Резервирование технических средств, программного обеспе- |
|
|
|
|
ОДТ.2 |
чения, каналов передачи информации, средств обеспечения |
|
+ |
+ |
|
|
функционирования системы |
|
|
|
|
|
Контроль безотказного |
функционирования технических |
|
|
|
ОДТ.3 |
средств, обнаружение и локализация отказов функциониро- |
|
+ |
+ |
|
вания, принятие мер по восстановлению отказавших средств |
|
||||
|
и их тестирование |
|
|
|
|
ОДТ.4 |
Периодическое резервное копирование информации на ре- |
+ |
+ |
+ |
|
зервные машинные носители информации |
|||||
|
Обеспечение возможности восстановления информации с ре- |
|
|
|
|
ОДТ.5 |
зервных машинных носителей информации (резервных ко- |
+ |
+ |
+ |
|
|
пий) в течение установленного временного интервала |
|
|
|
|
ОДТ.6 |
Кластеризация автоматизированной системы управления и |
|
|
|
|
(или) ее сегментов |
|
|
|
|
|
|
Контроль состояния и качества предоставления поставщиком |
|
|
|
|
ОДТ.7 |
телекоммуникационных |
услуг вычислительных ресурсов |
|
+ |
+ |
|
(мощностей), в том числе по передаче информации |
|
|
|
|
|
XI. Защита среды виртуализации (ЗСВ) |
|
|
|
|
|
|
|
|
|
|
ЗСВ.0 |
Разработка правил и процедур (политик) защиты среды вир- |
+ |
+ |
+ |
|
туализации |
|
||||
|
Идентификация и аутентификация субъектов доступа и объ- |
|
|
|
|
ЗСВ.1 |
ектов доступа в виртуальной инфраструктуре, в том числе |
+ |
+ |
+ |
|
|
администраторов управления средствами виртуализации |
|
|
|
|
|
Управление доступом субъектов доступа к объектам доступа |
|
|
|
|
ЗСВ.2 |
в виртуальной инфраструктуре, в том числе внутри вирту- |
+ |
+ |
+ |
|
|
альных машин |
|
|
|
|
ЗСВ.3 |
Регистрация событий безопасности в виртуальной инфра- |
+ |
+ |
+ |
|
структуре |
|
||||
|
Управление (фильтрация, маршрутизация, контроль соедине- |
|
|
|
|
ЗСВ.4 |
ния, однонаправленная передача) потоками информации |
|
+ |
+ |
|
между компонентами виртуальной инфраструктуры, а также |
|
||||
|
по периметру виртуальной инфраструктуры |
|
|
|
41
1 |
2 |
3 |
4 |
5 |
ЗСВ.5 |
Доверенная загрузка серверов виртуализации, виртуальной |
|
|
|
|
машины (контейнера), серверов управления виртуализацией |
|
|
|
ЗСВ.6 |
Управление перемещением виртуальных машин (контейне- |
|
+ |
+ |
|
ров) и обрабатываемых на них данных |
|
|
|
ЗСВ.7 |
Контроль целостности виртуальной инфраструктуры и ее |
|
+ |
+ |
|
конфигураций |
|
|
|
|
Резервное копирование данных, резервирование технических |
|
|
|
ЗСВ.8 |
средств, программного обеспечения виртуальной инфра- |
|
|
+ |
|
структуры, а также каналов связи внутри виртуальной ин- |
|
|
|
|
фраструктуры |
|
|
|
ЗСВ.9 |
Реализация и управление антивирусной защитой в виртуаль- |
+ |
+ |
+ |
|
ной инфраструктуре |
|
|
|
|
Разбиение виртуальной инфраструктуры на сегменты (сег- |
|
|
|
ЗСВ.10 |
ментирование виртуальной инфраструктуры) для обработки |
|
+ |
+ |
|
информации отдельным пользователем и (или) группой поль- |
|
|
|
|
зователей |
|
|
|
|
XII. Защита технических средств (ЗТС) |
|
|
|
|
|
|
|
|
ЗТС.0 |
Разработка правил и процедур (политик) защиты техниче- |
+ |
+ |
+ |
ских средств |
||||
ЗТС.1 |
Защита информации, обрабатываемой техническими сред- |
|
|
|
ствами, от ее утечки по техническим каналам |
|
|
|
|
|
Организация контролируемой зоны, в пределах которой по- |
|
|
|
|
стоянно размещаются стационарные технические средства, |
|
|
|
ЗТС.2 |
обрабатывающие информацию, исполнительные устройства |
+ |
+ |
+ |
|
и средства защиты информации, а также средства обеспече- |
|
|
|
|
ния функционирования |
|
|
|
|
Контроль и управление физическим доступом к техническим |
|
|
|
|
средствам, средствам защиты информации, средствам обес- |
|
|
|
ЗТС.3 |
печения функционирования, а также в помещения и соору- |
+ |
+ |
+ |
|
жения, в которых они установлены, исключающие несанкци- |
|
|
|
|
онированный физический доступ |
|
|
|
ЗТС.4 |
Размещение устройств вывода (отображения) информации, |
|
|
|
исключающее ее несанкционированный просмотр |
|
|
|
|
|
Защита от внешних воздействий (воздействий окружающей |
|
|
|
ЗТС.5 |
среды, нестабильности электроснабжения, кондиционирова- |
+ |
+ |
+ |
|
ния и иных внешних факторов) |
|
|
|
XIII. Защита автоматизированной системы управления и ее компонентов (ЗИС) |
||||
|
|
|
|
|
ЗИС.0 |
Разработка правил и процедур (политик) защиты автоматизи- |
+ |
+ |
+ |
|
рованной системы управления и ее компонентов |
|
|
|
|
Разделение функций по управлению (администрированию) |
|
|
|
ЗИС.1 |
автоматизированной системой управления, управлению (ад- |
|
|
|
министрированию) системой защиты, функций по обработке |
+ |
+ |
+ |
|
|
информации и иных функций автоматизированной системы |
|
|
|
|
управления |
|
|
|
ЗИС.2 |
Предотвращение задержки или прерывания выполнения про- |
|
|
|
цессов с высоким приоритетом со стороны процессов с низ- |
|
|
|
|
|
ким приоритетом |
|
|
|
42
1 |
2 |
3 |
4 |
5 |
|
Обеспечение защиты информации от раскрытия, модифика- |
|
|
|
ЗИС.3 |
ции и навязывания (ввода ложной информации) при ее пере- |
|
|
|
даче (подготовке к передаче) по каналам связи, имеющим |
+ |
+ |
+ |
|
|
выход за пределы контролируемой зоны, в том числе беспро- |
|
|
|
|
водным каналам связи |
|
|
|
ЗИС.4 |
Обеспечение доверенных канала, маршрута между админи- |
|
|
|
стратором, пользователем и средствами защиты информации |
|
|
|
|
|
(функциями безопасности средств защиты информации) |
|
|
|
|
Запрет несанкционированной удаленной активации видеока- |
|
|
|
ЗИС.5 |
мер, микрофонов и иных периферийных устройств, которые |
|
|
|
|
могут активироваться удаленно, и оповещение пользователей |
|
|
|
|
об активации таких устройств |
|
|
|
|
Передача и контроль целостности атрибутов безопасности |
|
|
|
ЗИС.6 |
(меток безопасности), связанных с информацией, при обмене |
|
|
|
|
информацией с иными автоматизированными (информаци- |
|
|
|
|
онными) системами |
|
|
|
|
Контроль санкционированного и исключение несанкциониро- |
|
|
|
|
ванного использования технологий мобильного кода, в том чис- |
|
|
|
ЗИС.7 |
ле регистрация событий, связанных с использованием техноло- |
|
+ |
+ |
|
гий мобильного кода, их анализ и реагирование на нарушения, |
|
|
|
|
связанныесиспользованиемтехнологиймобильногокода |
|
|
|
|
Контроль санкционированного и исключение несанкциониро- |
|
|
|
|
ванного использования технологий передачи речи, в том числе |
|
|
|
ЗИС.8 |
регистрация событий, связанных с использованием техноло- |
|
|
|
|
гий передачи речи, их анализ и реагирование на нарушения, |
|
|
|
|
связанные с использованием технологий передачи речи |
|
|
|
|
Контроль санкционированной и исключение несанкциониро- |
|
|
|
|
ванной передачи видеоинформации, в том числе регистрация |
|
|
|
ЗИС.9 |
событий, связанных с передачей видеоинформации, их ана- |
|
|
|
|
лиз и реагирование на нарушения, связанные с передачей ви- |
|
|
|
|
деоинформации |
|
|
|
|
Подтверждение происхождения источника информации, по- |
|
|
|
ЗИС.10 |
лучаемой в процессе определения сетевых адресов по сетевым |
|
|
|
|
именам или определения сетевых имен по сетевым адресам |
|
|
|
|
Обеспечение подлинности сетевых соединений (сеансов вза- |
|
|
|
ЗИС.11 |
имодействия), в том числе для защиты от подмены сетевых |
|
+ |
+ |
|
устройств и сервисов |
|
|
|
ЗИС.12 |
Исключение возможности отрицания пользователем факта |
|
|
|
отправки информации другому пользователю |
|
|
|
|
ЗИС.13 |
Исключение возможности отрицания пользователем факта |
|
|
|
получения информации от другого пользователя |
|
|
|
|
ЗИС.14 |
Использование устройств терминального доступа для обра- |
|
|
|
ботки информации |
|
|
|
|
|
Защита архивных файлов, параметров настройки средств за- |
|
|
|
ЗИС.15 |
щиты информации и программного обеспечения и иных дан- |
|
+ |
+ |
|
ных, не подлежащих изменению в процессе обработки ин- |
|
|
|
|
формации |
|
|
|
43
1 |
|
2 |
|
3 |
4 |
5 |
ЗИС.16 |
Выявление, анализ и блокирование скрытых каналов переда- |
|
|
|
||
чи информации в обход реализованных мер защиты инфор- |
|
|
|
|||
|
мации или внутри разрешенных сетевых протоколов |
|
|
|
||
ЗИС.17 |
Разбиение автоматизированной системы управления на сег- |
|
|
|
||
менты (сегментирование) и обеспечение защиты периметров |
+ |
+ |
+ |
|||
|
сегментов |
|
|
|
|
|
|
Обеспечение загрузки и исполнения программного обеспече- |
|
|
|
||
ЗИС.18 |
ния с машинных носителей информации, доступных только |
|
|
|
||
|
для чтения, и контроль целостности данного программного |
|
|
|
||
|
обеспечения |
|
|
|
|
|
ЗИС.19 |
Изоляция процессов (выполнение программ) в выделенной |
|
|
|
||
|
области памяти |
|
|
|
|
|
ЗИС.20 |
Защита беспроводных соединений, применяемых в автомати- |
+ |
+ |
+ |
||
зированной системе управления |
|
|||||
|
Исключение доступа пользователя к информации, возникшей |
|
|
|
||
ЗИС.21 |
в результате действий предыдущего пользователя, через ре- |
|
|
|
||
естры, оперативную память, внешние запоминающие устрой- |
|
|
|
|||
|
ства и иные общие для пользователей ресурсы |
|
|
|
||
|
Защита автоматизированной системы управления от угроз |
|
|
|
||
ЗИС.22 |
безопасности информации, направленных на отказ в обслу- |
+ |
+ |
+ |
||
|
живании |
|
|
|
|
|
|
Защита периметра (физических и (или) логических границ) ав- |
|
|
|
||
ЗИС.23 |
томатизированной системы управления при ее взаимодействии |
+ |
+ |
+ |
||
с иными автоматизированными (информационными) система- |
||||||
|
мии информационно-телекоммуникационными сетями |
|
|
|
||
|
Прекращение сетевых соединений по их завершении или по |
|
|
|
||
ЗИС.24 |
истечении заданного оператором временного интервала не- |
|
|
|
||
|
активности сетевого соединения |
|
|
|
|
|
|
Использование в автоматизированной системе управления раз- |
|
|
|
||
ЗИС.25 |
личных типов |
общесистемного, прикладного и специального |
|
|
|
|
|
программногообеспечения(созданиегетерогеннойсреды) |
|
|
|
||
|
Использование прикладного (специального) программного |
|
|
|
||
ЗИС.26 |
обеспечения, |
имеющего возможность |
функционирования |
|
|
|
|
в средах различных операционных систем |
|
|
|
|
|
|
Создание (эмуляция) ложных компонентов автоматизирован- |
|
|
|
||
ЗИС.27 |
ной системы управления, предназначенных для обнаружения, |
|
|
|
||
регистрации и анализа действий нарушителей в процессе ре- |
|
|
|
|||
|
ализации угроз безопасности информации |
|
|
|
|
|
|
Воспроизведение ложных и (или) скрытие истинных отдель- |
|
|
|
||
|
ных технологий и (или) структурно-функциональных харак- |
|
|
|
||
ЗИС.28 |
теристик автоматизированной системы управления или ее |
|
|
|
||
|
сегментов, обеспечивающее навязывание нарушителю лож- |
|
|
|
||
|
ного представления об истинных технологиях и (или) струк- |
|
|
|
||
|
турно-функциональных характеристиках |
|
|
|
|
|
|
Перевод автоматизированной системы |
или ее устройств |
|
|
|
|
ЗИС.29 |
(компонентов) в заранее определенную конфигурацию, обес- |
|
|
|
||
|
печивающую защиту информации, в случае возникновения |
|
|
|
||
|
отказов (сбоев) |
|
|
|
|
|
ЗИС.30 |
Защита мобильных технических средств, применяемых в ав- |
+ |
+ |
+ |
||
|
томатизированной системе управления |
|
|
|
|
44
1 |
|
2 |
3 |
|
4 |
5 |
|
|
XIV. Обеспечение безопасной разработки |
|
|
|
|
|
|
программного обеспечения (ОБР) |
|
|
|
|
ОБР.0 |
|
Разработка правил и процедур (политик) обеспечения без- |
+ |
|
+ |
+ |
|
|
опасной разработки программного обеспечения |
|
|
|
|
ОБР.1 |
|
Анализ уязвимостей и угроз безопасности информации в хо- |
+ |
|
+ |
+ |
|
|
де разработки программного обеспечения |
|
|
|
|
ОБР.2 |
|
Статический анализ кода программного обеспечения в ходе |
|
|
+ |
+ |
|
|
разработки программного обеспечения |
|
|
|
|
ОБР.3 |
|
Ручной анализ кода программного обеспечения в ходе разра- |
|
|
|
|
|
|
ботки программного обеспечения |
|
|
|
|
ОБР.4 |
|
Тестирование на проникновение в ходе разработки про- |
|
|
+ |
+ |
|
|
граммного обеспечения |
|
|
|
|
ОБР.5 |
|
Динамический анализ кода программного обеспечения в ходе |
|
|
+ |
+ |
|
|
разработки программного обеспечения |
|
|
|
|
ОБР.6 |
|
Документирование процедур обеспечения безопасной разра- |
|
|
|
|
|
ботки программного обеспечения разработчиком и представ- |
+ |
|
+ |
+ |
|
|
|
ление их заказчику (оператору) |
|
|
|
|
|
XV. Управление обновлениями программного обеспечения (ОПО) |
|
|
|||
|
|
|
|
|
|
|
|
|
Разработка правил и процедур (политик) управления обнов- |
|
|
|
|
ОПО.0 |
|
лениями программного обеспечения (включая получение, |
+ |
|
+ |
+ |
|
|
проверку и установку обновлений) |
|
|
|
|
ОПО.1 |
|
Получение обновлений программного обеспечения от разра- |
+ |
|
+ |
+ |
|
ботчика или уполномоченного им лица |
|
||||
ОПО.2 |
|
Тестирование обновлений программного обеспечения до его |
+ |
|
+ |
+ |
|
установки на макете или в тестовой зоне |
|
||||
ОПО.3 |
|
Централизованная установка обновлений программного |
|
|
|
|
|
обеспечения |
|
|
|
|
|
|
|
XVI. Планирование мероприятий |
|
|
|
|
|
|
по обеспечению защиты информации (ПЛН) |
|
|
|
|
ПЛН.0 |
|
Разработка правил и процедур (политик) планирования ме- |
+ |
|
+ |
+ |
|
роприятий по обеспечению защиты информации |
|
||||
|
|
Определение лиц, ответственных за планирование, реализа- |
|
|
|
|
ПЛН.1 |
|
цию и контроль мероприятий по обеспечению защиты ин- |
+ |
|
+ |
+ |
|
|
формации в автоматизированной системе управления |
|
|
|
|
|
|
Разработка, утверждение и актуализация плана мероприятий |
|
|
|
|
ПЛН.2 |
|
по обеспечению защиты информации в автоматизированных |
+ |
|
+ |
+ |
|
|
системах управления |
|
|
|
|
|
|
Контроль выполнения мероприятий по обеспечению защиты |
|
|
|
|
ПЛН.3 |
|
информации в автоматизированных системах управления, |
+ |
|
+ |
+ |
|
|
предусмотренных утвержденным планом |
|
|
|
|
|
|
XVII. Обеспечение действий в нештатных |
|
|
|
|
|
|
(непредвиденных) ситуациях (ДНС) |
|
|
|
|
ДНС.0 |
|
Разработка правил и процедур (политик) обеспечения дей- |
+ |
|
+ |
+ |
|
|
ствий в нештатных (непредвиденных) ситуациях |
|
|
|
|
ДНС.1 |
|
Разработка плана действий на случай возникновения нештат- |
+ |
|
+ |
+ |
|
|
ных (непредвиденных) ситуаций |
|
|
|
|
45
1 |
2 |
|
3 |
4 |
5 |
ДНС.2 |
Обучение и отработка действий персонала в случае возник- |
|
+ |
+ |
+ |
|
новения нештатных (непредвиденных) ситуаций |
|
|
|
|
ДНС.3 |
Создание альтернативных мест хранения и обработки ин- |
|
|
|
|
формации на случай возникновения нештатных (непредви- |
|
|
+ |
+ |
|
|
денных) ситуаций |
|
|
|
|
|
Резервирование программного обеспечения, технических |
|
|
|
|
ДНС.4 |
средств, каналов передачи данных автоматизированных си- |
|
|
+ |
+ |
|
стем управления на случай возникновения нештатных |
|
|
|
|
|
(непредвиденных) ситуаций |
|
|
|
|
ДНС.5 |
Обеспечение возможности восстановления автоматизирован- |
|
|
|
|
ной системы управления и (или) ее компонент в случае воз- |
|
+ |
+ |
+ |
|
|
никновения нештатных (непредвиденных) ситуаций |
|
|
|
|
|
XVIII. Информирование и обучение персонала (ИПО) |
|
|
|
|
|
|
|
|
|
|
ИПО.0 |
Разработка правил и процедур (политик) информирования и |
|
+ |
+ |
+ |
обучения персонала |
|
||||
|
Информирование персонала об угрозах безопасности инфор- |
|
|
|
|
ИПО.1 |
мации, о правилах эксплуатации системы защиты автомати- |
|
+ |
+ |
+ |
зированной системы управления и отдельных средств защи- |
|
||||
|
ты информации |
|
|
|
|
|
Обучение персонала правилам эксплуатации системы защиты |
|
|
|
|
ИПО.2 |
автоматизированной системы управления и отдельных |
|
+ |
+ |
+ |
|
средств защиты информации |
|
|
|
|
|
Проведение практических занятий с персоналом по правилам |
|
|
|
|
ИПО.3 |
эксплуатации системы защиты автоматизированной системы |
|
|
+ |
+ |
|
управления и отдельных средств защиты информации |
|
|
|
|
|
XIX. Анализ угроз безопасности информации |
|
|
|
|
|
и рисков от их реализации (УБИ) |
|
|
|
|
УБИ.0 |
Разработка правил и процедур (политик) анализа угроз без- |
|
+ |
+ |
+ |
|
опасности информации и рисков от их реализации |
|
|
|
|
УБИ.1 |
Периодический анализ изменения угроз безопасности ин- |
|
|
|
|
формации, возникающих в ходе эксплуатации автоматизиро- |
|
+ |
+ |
+ |
|
|
ванной системы управления |
|
|
|
|
УБИ.2 |
Периодическая переоценка последствий от реализации угроз |
|
+ |
+ |
+ |
|
безопасности информации (анализ риска) |
|
|
|
|
|
XX. Выявление инцидентов и реагирование на них (ИНЦ) |
|
|
|
|
ИНЦ.0 |
Разработка правил и процедур (политик) выявления инци- |
|
+ |
+ |
+ |
дентов и реагирования на них |
|
||||
ИНЦ.1 |
Определение лиц, ответственных за выявление инцидентов и |
|
+ |
+ |
+ |
реагирование на них |
|
||||
ИНЦ.2 |
Обнаружение, идентификация и регистрация инцидентов |
|
+ |
+ |
+ |
|
Своевременное информирование лиц, ответственных за вы- |
|
|
|
|
ИНЦ.3 |
явление инцидентов и реагирование на них, о возникновении |
|
+ |
+ |
+ |
|
инцидентов |
|
|
|
|
|
Анализ инцидентов, в том числе определение источников и |
|
|
|
|
ИНЦ.4 |
причин возникновения инцидентов, а также оценка их по- |
|
+ |
+ |
+ |
|
следствий |
|
|
|
|
ИНЦ.5 |
Принятие мер по устранению последствий инцидентов |
|
+ |
+ |
+ |
ИНЦ.6 |
Планирование и принятие мер по предотвращению повтор- |
|
+ |
+ |
+ |
|
ного возникновения инцидентов |
|
|
|
|
46
1 |
2 |
3 |
4 |
|
5 |
XXI. |
Управление конфигурацией автоматизированной системы |
управления |
|
||
|
и ее системы защиты (УКФ) |
|
|
|
|
УКФ.0 |
Разработка правил и процедур (политик) управления конфи- |
|
|
|
|
гурацией автоматизированной системы управления и ее си- |
+ |
+ |
|
+ |
|
|
стемы защиты |
|
|
|
|
УКФ.1 |
Определение лиц, которым разрешены действия по внесению |
|
|
|
|
изменений в конфигурацию автоматизированной системы |
+ |
+ |
|
+ |
|
|
управления и ее системы защиты |
|
|
|
|
УКФ.2 |
Управление изменениями конфигурации автоматизирован- |
+ |
+ |
|
+ |
|
ной системы управления и ее системы защиты |
|
|
|
|
|
Анализ потенциального воздействия планируемых измене- |
|
|
|
|
|
ний в конфигурации автоматизированной системы управле- |
|
|
|
|
УКФ.3 |
ния и системы защиты на обеспечение защиты информации и |
|
|
|
|
согласование изменений в конфигурации автоматизирован- |
+ |
+ |
|
+ |
|
|
ной системы управления с должностным лицом (работни- |
|
|
|
|
|
ком), ответственным за обеспечение безопасности автомати- |
|
|
|
|
|
зированной системы управления |
|
|
|
|
УКФ.4 |
Документирование информации (данных) об изменениях в |
|
|
|
|
конфигурации автоматизированной системы управления и ее |
+ |
+ |
|
+ |
|
|
системы защиты |
|
|
|
|
|
Регламентация и контроль технического обслуживания, в том |
|
|
|
|
УКФ.5 |
числе дистанционного (удаленного), технических средств и |
+ |
+ |
|
+ |
|
программного обеспечения автоматизированной системы |
|
|
|
|
|
управления |
|
|
|
|
Примечание. Мера защиты информации («+») включена в базовый набор мер для соответствующего класса защищенности АСУ.
Меры защиты информации, не обозначенные знаком «+», применяются при адаптации и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в АСУ соответствующего класса защищенности.
47
Список использованной литературы
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». ГОСТ Р 52863–2007 «Защита информации. Автоматизированные системы в защи-
щенном исполнении, испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования».
ГОСТ Р 53113.1–2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Ч. 1. Общие положения».
ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
ГОСТ Р 56546–2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».
ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Требования безопасности информации к операционным системам (утв. приказом ФСТЭК России от 19.08.2016 № 119.
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Евгений Германович Воробьев Александр Кимович Племянников Виктор Николаевич Сабынин
Защита информации в АСУ производственными и технологическими процессами в терминах, таблицах и рисунках
Учебное пособие
Редактор Е. О. Веревкина
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Подписано в печать 28.12.17. Формат 60×84 1/16. Бумага офсетная. Печать цифровая. Печ. л. 3,0.
Гарнитура «Times New Roman». Тираж 59 экз. Заказ 234.
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Издательство СПбГЭТУ «ЛЭТИ» 197376, С.-Петербург, ул. Проф. Попова, 5
48