13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком.
Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583), ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и стандартов организации и в том числе включает:
принятие решения о необходимости защиты информации в автоматизированной системе управления;
классификацию автоматизированной системы управления по требованиям защиты информации (далее - классификация автоматизированной системы управления);
определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты автоматизированной системы управления.
13.1. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются:
анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления;
определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления (определение критически важной информации), и оценка возможных последствий такого нарушения;
анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления;
принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления.
13.2. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления.
Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям.
Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии.
Результаты классификации автоматизированной системы управления оформляются актом классификации.
Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).
13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:
(Абзац в редакции, введенной в действие с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138. - См. предыдущую редакцию)
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
(Абзац в редакции, введенной в действие с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138. - См. предыдущую редакцию)
б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;
(Абзац в редакции, введенной в действие с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138. - См. предыдущую редакцию)
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
(Абзац в редакции, введенной в действие с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138. - См. предыдущую редакцию)
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.
(Абзац дополнительно включен с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138)
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198; 2018, N 20, ст.2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.