Аттестация АСУ ТП

АТТЕСТАЦИЯ АСУ ТП ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое АСУ ТП?

Это автоматизированная система управления технологическим процессом, состоящая из  технических и программных средств, предназначенных для автоматизации управления технологическим процессом.

Какие предъявляются требования к АСУ ТП?

Требования к АСУ ТП установлены приказом ФСТЭК России № 31.
Этот приказ можно посмотреть на официальном сайте ФСТЭК России в разделе:
Главная \ Техническая защита информации \ Обеспечение безопасности критической информационной инфраструктуры \ Приказы
Или по ссылке: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31

Как проводится подготовка к аттестации?

Подготовка к аттестации АСУ ТП проводится в соответствии с приказом ФСТЭК №31 в следующем порядке:

  • установление требований к обеспечению безопасности АСУ ТП;
  • разработка организационных и технических мер по обеспечению безопасности АСУ ТП;
  • внедрение организационных и технических мер по обеспечению безопасности АСУ ТП и ввод его в действие.

На этапе установления требований к обеспечению безопасности АСУ ТП необходимо:

  • разработать техническое задание на создание системы обеспечения безопасности информации.

На этапе разработки организационных и технических мер по обеспечению безопасности информации АСУ ТП необходимо:

  • разработать модель угроз и нарушителя безопасности информации;
  • разработать технический проект на создание системы обеспечения безопасности информации;
  • разработать организационно-распорядительную и рабочую (эксплуатационную) документацию.

На этапе внедрения организационных и технических мер по обеспечению безопасности АСУ ТП и ввода его в действие необходимо:

  • закупить, установить и настроить сертифицированные средства защиты информации, средства криптографической защиты информации;
  • внедрить организационные меры по обеспечению безопасности;
  • провести предварительные испытания подсистемы безопасности;
  • провести опытную эксплуатацию подсистемы безопасности;
  • провести анализ уязвимостей и принять меры по их устранению;
  • провести приемочные испытания подсистемы безопасности.

Сколько стоит аттестация АСУ ТП?

Стоимость аттестации АСУ ТП зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • применяемые технологии и режимы обработки конфиденциальной информации;
  • территориальное (географическое) расположение АСУ ТП;
  • ранее проводилась ли подготовка и аттестация АСУ ТП.

Только проведя оценку по каждому критерию, можно определить стоимость аттестации АСУ ТП.

Кто может проводить аттестацию АСУ ТП?

Аттестацию АСУ ТП может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • — г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Кто может проводить подготовку к аттестации АСУ ТП?

Подготовку к аттестации АСУ ТП (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
    • д2 — помещений со средствами (системами) информатизации, подлежащими защите;
    • д3 — защищаемых помещений;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия АСУ ТП?

Оформляет, утверждает, выдает аттестат соответствия АСУ ТП собственнику АСУ ТП лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия АСУ ТП в ФСТЭК России для внесения сведений об аттестате соответствия АСУ ТП в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на АСУ ТП установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия АСУ ТП, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия АСУ ТП?

Собственник АСУ ТП должен поддерживать уровень защищённости конфиденциальной информации в АСУ ТП на всем протяжении времени эксплуатации АСУ ТП, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в АСУ ТП (периодический контроль АСУ ТП), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля АСУ ТП в ФСТЭК России для продления действия аттестата соответствия АСУ ТП. В случае, если протоколы периодического контроля АСУ ТП не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия АСУ ТП.
Делать периодический контроль АСУ ТП собственными силами могут не все собственники АСУ ТП, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных АСУ ТП, в котором отражается статус действия аттестата соответствия АСУ ТП.

Кто является регулятором в области аттестации АСУ ТП?

Регулятором в области аттестации АСУ ТП является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).
Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

  • Скачать коммерческое предложение на подготовку и аттестацию АСУ ТП
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию АСУ ТП
Скачать PDF

Заказать звонок