Сводка
Реквизиты ООО «Системы Нормативной Безопасности»
| Наименование ЮЛ | Общество с ограниченной ответственностью «Системы Нормативной Безопасности» |
|---|---|
| УНП | 691774585 |
| Юридический адрес | Минская обл., Минский р-н, Новодворский с/с, д. Большой Тростенец, ул. Западная, д. 14, корп. Б, оф. 95 |
Текущее состояние ООО «Системы Нормативной Безопасности»
| Текущее состояние (ЕГР) | Действующий |
|---|---|
| Текущее состояние (ГРП) | Действующий |
Информационная выписка
Предприятие Общество с ограниченной ответственностью «Системы Нормативной Безопасности» (ООО «Системы Нормативной Безопасности»), УНП 691774585, зарегистрировано в Едином государственном регистре юридических лиц и индивидуальных предпринимателей (ЕГР) 06.10.2014. Предприятие поставлено на налоговый учет 07.10.2014, включено в Государственный реестр плательщиков (иных обязанных лиц) (ГРП). Адрес: Минская обл., Минский р-н, Новодворский с/с, д. Большой Тростенец, ул. Западная, д. 14, корп. Б, оф. 95. Текущее состояние субъекта хозяйствования, согласно ЕГР, — «Действующий». Текущее состояние субъекта хозяйствования, согласно ГРП, — «Действующий». Подробнее…
Основные сведения
Наименование субъекта хозяйствования
| Полное наименование ЮЛ | Общество с ограниченной ответственностью «Системы Нормативной Безопасности» |
|---|---|
| Сокращенное наименование ЮЛ | ООО «Системы Нормативной Безопасности» |
| Фирменное наименование ЮЛ | Системы Нормативной Безопасности |
| Полное наименование ЮЛ по-белорусски | Таварыства з абмежаванай адказнасцю «Сістэмы Нарматыўнай Бяспекі» |
| Сокращенное наименование ЮЛ по-белорусски | ТАА «Сістэмы Нарматыўнай Бяспекі» |
| Фирменное наименование ЮЛ по-белорусски | Сістэмы Нарматыўнай Бяспекі |
| Прежние наименования ЮЛ | Информация отсутствует |
Виды деятельности
| Код основного вида деятельности по ОКЭД | 43210 |
|---|---|
| Наименование основного вида деятельности по ОКЭД | Деятельность в области архитектуры |
| Прежние виды деятельности (всего 1) | c 06.10.2014 по 31.03.2017 74201 — Деятельность в области архитектуры, инженерные услуги |
Адрес субъекта хозяйствования
| Место государственной регистрации (ЕГР) | Республика Беларусь, 223060, Минская область, Минский район, д. Большой Тростенец, ул. Западная, д. 14, корпус Б, оф. 95 |
|---|---|
| Юридический адрес (ГРП) | Минская обл., Минский р-н, Новодворский с/с, д. Большой Тростенец, ул. Западная, д. 14, корп. Б, оф. 95 |
| Прежние адреса (ЕГР) | Информация отсутствует |
Контактные данные
| Адрес электронной почты | |
|---|---|
| Факс | |
| Сайт | |
| Телефон | |
| Контактные данные по прежним адресам |
Прочие регистрационные данные ООО «Системы Нормативной Безопасности»
Сведения из Единого государственного регистра ЮЛ и ИП (ЕГР)
по состоянию на 20.03.2023
| Регистрационный номер | 691774585 |
|---|---|
| Дата регистрации | 2014-10-06 |
| Текущее состояние (ЕГР) | Действующий |
| Текущий орган учета | Минский районный исполнительный комитет |
| Дата исключения из ЕГР (прекращения деятельности в связи с реорганизацией) | — |
| Наличие запрета на отчуждение доли участника в уставном фонде коммерческой организации | Информация отсутствует |
История событий ЕГР по субъекту
История событий по субъекту в Едином государственном регистре юридических лиц и индивидуальных предпринимателей
| 06.10.2014 | Государственная регистрация создаваемого юридического лица |
| 23.03.2017 | Уведомление о назначении (замене) руководителя |
| 31.03.2017 | Государственная регистрация изменений и дополнений для юридического лица |
| 08.01.2018 | Государственная регистрация изменений и дополнений для юридического лица |
| 20.10.2022 | Уведомление о назначении (замене) руководителя |
| 18.11.2022 | Государственная регистрация изменений и дополнений для юридического лица |
| 01.02.2023 | Уведомление о назначении (замене) руководителя |
Сведения из Государственного реестра плательщиков (иных обязанных лиц) (ГРП)
по состоянию на 19.03.2023
| Учетный номер плательщика (УНП) | 691774585 |
|---|---|
| Дата постановки на налоговый учет | 07.10.2014 |
| Текущее состояние (ГРП) | Действующий |
| Наименование инспекции МНС | Инспекция МНС РБ по Минскому району |
| Код инспекции МНС | 613 |
| Дата ликвидации | — |
| Причина ликвидации | — |
| Место нахождения (юридический адрес) | Минская обл., Минский р-н, Новодворский с/с, д. Большой Тростенец, ул. Западная, д. 14, корп. Б, оф. 95 |
ООО «Системы Нормативной Безопасности» на карте
Связи по адресу ООО «Системы Нормативной Безопасности»
Предприятия с таким же адресом
Обновление данных…
Обновление данных…
Предприятия в том же здании (в непосредственной близости)
Обновление данных…
Обновление данных…
Реестр «лжепредпринимателей»
Реестр коммерческих организаций и индивидуальных предпринимателей с повышенным риском совершения правонарушений в экономической сфере
| Дата включения в реестр | |
|---|---|
| Основания включения в реестр | |
| Дата составления заключения ДФР | |
| Период, в течение которого оформленные первичные учетные документы для целей налогообложения не имеют юридической силы |
Реестр недобросовестных поставщиков
Реестр (список) поставщиков (подрядчиков, исполнителей), временно не допускаемых (ранее не допускаемых) к закупкам, к участию в процедурах государственных закупок
| Вид закупок | |
|---|---|
| Место нахождения, электронный адрес, номер телефона, факса (при наличии) | |
| Регистрационный номер, дата и основание включения в реестр (список) | |
| Дата и основание исключения из реестра (списка) |
История задолженностей ООО «Системы Нормативной Безопасности»
Задолженность перед бюджетом
Субъекты хозяйствования, имевшие задолженность по налогам (сборам), пеням и пошлинам
| Инспекция МНС | |
|---|---|
| Отчетная дата | |
| Дополнительная информация (код ИМНС, дата погашения), при наличии |
Задолженность перед ФСЗН
Просроченная задолженность (свыше 100,00 рублей) по платежам в бюджет государственного внебюджетного ФСЗН
| Отчетная дата | |
|---|---|
| Область | |
| Район | |
| Сумма задолженности |
Задолженность перед таможенными органами
Перечень организаций и индивидуальных предпринимателей, имеющих неисполненную обязанность по уплате налогов, сборов (пошлин), процентов, пеней, взимаемых таможенными органами
Информация о наличии задолженности перед таможенными органами находится в разделе таможенного дела.
Задолженность за аренду государственного имущества
Перечни недобросовестных арендаторов, имеющих задолженность по платежам за арендуемые государственные объекты недвижимости
| Область | |
|---|---|
| Дата включения в перечень | |
| Дополнительная информация (дата образования задолженности, ФИО руководителя), при наличии |
Безнадежный долг
Перечень ЮЛ и ИП, исключенных из ЕГР в связи с признанием задолженности безнадежным долгом и ее списанием
| Код, наименование инспекции МНС | |
|---|---|
| Дата исключения из ЕГР |
Публикация сведений ООО «Системы Нормативной Безопасности»
Объявления об уменьшении уставного фонда
| Дата принятия решения об уменьшении уставного фонда | |
|---|---|
| Контактное лицо | |
| Адрес | |
| Телефон | |
| Время обращения (график приема) | |
| Срок принятия претензий с момента опубликования, дней | |
| Дата опубликования сведений об уменьшении уставного фонда | |
| Новый размер уставного фонда |
Объявления о ликвидации
| Дата и номер решения о ликвидации (прекращении деятельности) | |
|---|---|
| ФИО ликвидатора (председателя ликвидационной комиссии, наименование юр. лица, назначенного ликвидатором) | |
| Адрес ликвидатора (председателя ликвидационной комиссии) | |
| Телефон ликвидатора (председателя ликвидационной комиссии) | |
| Время обращения (график приема) | |
| Срок принятия претензий с момента опубликования, мес. | |
| Дата опубликования сведений о ликвидации | |
| Текущее состояние |
Судебные производства
Судебные заседания в экономических судах
| Наименование экономического суда | |
|---|---|
| Вид производства | |
| Сущность спора | |
| Истцы, Взыскатели, Заявители, Кредиторы | |
| Ответчики, Должники | |
| Другие лица, участвующие в деле | |
| Судья | |
| Номер дела | |
| Место, время, дата судебного заседания |
Приказные производства
| Наименование экономического суда | |
|---|---|
| Взыскатель | |
| Должник | |
| Дата поступления | |
| Дата возбуждения приказного производства | |
| Номер дела | |
| Судья | |
| Сумма долга | |
| Последнее процессуальное решение |
Исполнительные производства
Сведения из Реестра задолженностей по исполнительным документам (начиная с 15.08.2017). Информация об исполнительных документах, производство по которым не окончено; взыскание по которым прекращено по основаниям, предусмотренным абз. 6, 10, 11 ст. 52 Закона «Об исполнительном производстве»; возвращенных взыскателю по основаниям, предусмотренным абз. 3, 5, 6 ст. 53 Закона
| Номер производства | Статус производства | Требования | Остаток задолженности | Орган принудительного исполнения | Основание окончания |
|---|---|---|---|---|---|
Ликвидация и банкротство
Ликвидация по собственному решению, по решению суда
Кроме информации по делам об экономической несостоятельности (банкротстве)
Информация об опубликованных объявлениях о ликвидации (прекращении деятельности) субъектов хозяйствования по собственному решению или по решению суда (кроме информации по делам об экономической несостоятельности (банкротстве)) находится в разделе публикации сведений.
Ликвидация по решению регистрирующего органа
Перечень юридических лиц (индивидуальных предпринимателей), ликвидируемых (деятельность которых прекращается) по решению регистрирующего органа
| Дата операции | |
|---|---|
| Орган учета | |
| Код органа |
Перечень организаций, находящихся (находившихся) в процедурах банкротства
| Наименование управляющего юридического лица или ФИО управляющего физического лица | |
|---|---|
| Суд, в котором осуществляется производство по делу, ФИО судьи | |
| Дата вынесения хозяйственным судом определения о возбуждении производства по делу об экономической несостоятельности (банкротстве) | |
| Решение суда о санации или об открытии ликвидационного производства | |
| Дата вынесения решения суда о санации или об открытии ликвидационного производства | |
| Дата вынесения судом определения о прекращении (завершении) производства по делу об экономической несостоятельности (банкротстве) | |
| Основания прекращения производства по делу | |
| Дата исключения должника из ЕГР |
Информация о государственных организациях, находящихся в процедурах банкротства
| Наименование управляющего юридического лица или ФИО управляющего физического лица | |
|---|---|
| Суд, в котором осуществляется производство по делу, ФИО судьи | |
| Адрес должника | |
| Процедура экономической несостоятельности (банкротства) | |
| Стоимость имущества должника в белорусских рублях |
Единый государственный реестр сведений о банкротстве (ЕГРСБ)
Сведения о должниках, содержащиеся в Едином государственный реестре сведений о банкротстве (ЕГРСБ)
| Статус дела, основание прекращения | |
|---|---|
| Процедура экономической несостоятельности (банкротства) | |
| Реализация имущества | |
| Доля государственной собственности | |
| Адрес, контакты должника | |
| Номер дела, суд, судья | |
| Тип, наименование заявителя | |
| Управляющий, контакты управляющего | |
| Даты начала производства по делу, конкурсного производства, подготовки дела к судебному разбирательству, защитного периода, ликвидационного производства, санации | |
| Дата завершения, установленная судом, прекращения производства по делу, исключения должника из ЕГР |
Объявления в ЕГРСБ
Объявления, публикуемые в отношении должников в Едином государственном реестре сведений о банкротстве (ЕГРСБ)
| Номер, тип, дата публикации сообщения | |
|---|---|
| Суд, судья, дата постановления суда | |
| Проведение торгов (дата, место, прием заявок, результаты) | |
| Проведение продаж, результаты | |
| Суть, содержание объявления |
Торговые объекты, объекты бытового обслуживания
ООО «Системы Нормативной Безопасности»
Торговые объекты
Сведения из Торгового реестра Республики Беларусь
| Наименование объекта/доменное имя интернет магазина | |
|---|---|
| Тип, класс, специализация торгового объекта, вид по формату, ассортименту, месту расположения | |
| Торговая площадь, количество мест | |
| Адрес, контакты | |
| Классы, группы, подгруппы товаров | |
| Регистрационный номер в Торговом реестре, дата включения в реестр |
Объекты бытового обслуживания
Сведения из Реестра бытовых услуг Республики Беларусь
| Наименование объекта бытового обслуживания | |
|---|---|
| Тип по формату, по строению | |
| Форма обслуживания | |
| Право владения | |
| Адрес, контакты | |
| Услуги | |
| Режим работы | |
| Дата регистрации в реестре |
Закупки и тендеры
Реестр сведений о договорах
Реестр сведений о договорах информационной системы «Тендеры» РУП «Национальный центр маркетинга и конъюнктуры цен»
| Номер закупки, вид процедуры закупки | |
|---|---|
| Наименование, УНП, место нахождения заказчика | |
| Ведомство | |
| Поставщик, УНП (или номер документа, удостоверяющего личность, для ФЛ), место нахождения, страна регистрации поставщика | |
| Наименование предмета договора | |
| Номер, дата заключения договора | |
| Цена договора | |
| Срок исполнения, фактическая дата исполнения договора | |
| Дата, основание прекращения обязательств по исполнению договора | |
| Источник финансирования | |
| Информация об изменениях и дополнениях договора | |
| Основание применения закупки из одного источника | |
| Дата размещения |
Результаты закупок
Результаты закупок информационной системы «Тендеры» РУП «Национальный центр маркетинга и конъюнктуры цен»
| Вид процедуры закупки, регистрационный номер приглашения | |
|---|---|
| Предмет закупки, описание предмета | |
| Организатор, место нахождения организации, УНП | |
| Заказчик, место нахождения организации, УНП | |
| № лота | |
| Участники, с которыми заключен договор, УНП, места нахождения, страны происхождения | |
| Результат процедуры закупки | |
| Цена, дата договора | |
| Страны происхождения товара | |
| Объем (количество) поставки | |
| Иные участники, УНП, цены их предложений |
Производители, сбытовые организации
Регистр производителей товаров (работ, услуг) и их сбытовых организаций (официальных торговых представителей) информационной системы «Тендеры»
| Номер производителя/ сбытовой организации в Регистре | |
|---|---|
| Полное наименование производителя/ сбытовой организации | |
| Юридический адрес | |
| Контактные тел/факс | |
| Включен c | |
| Включен до |
| Товары (работы, услуги): | |
|---|---|
| Наименование товара (работы, услуги) | |
| Подкатегория ОКРБ 007-2007 | |
| Подкатегория ОКРБ 007-2012 | |
| Отрасль / раздел отрасли | |
| Производитель | |
| Сбытовая организация/ официальный торговый представитель |
Проверки
Координационные планы проверок
Проведенные проверки в рамках координационных планов проверок (координационных планов контрольной (надзорной) деятельности) КГК Республики Беларусь
| Государственный орган, утвердивший сводный план проверок | |
|---|---|
| УНП контролирующего (надзорного) органа | |
| Наименование контролирующего (надзорного) органа | |
| Контактный телефон исполнителя | |
| Месяц начала проверки | |
| Основание для назначения проверки |
Планы выборочных проверок
Проведенные и проводимые проверки в рамках планов выборочных проверок КГК Республики Беларусь
| Государственный орган, утвердивший сводный план проверок | |
|---|---|
| УНП контролирующего (надзорного) органа | |
| Наименование контролирующего (надзорного) органа | |
| Контактный телефон исполнителя | |
| Месяц начала проверки |
Монополии и доминанты
Реестр естественных монополий
Сведения из Государственного реестра субъектов естественных монополий
| Полное наименование хозяйствующего субъекта | |
|---|---|
| Место нахождения | |
| Наименование оказываемой услуги в условиях естественной монополии | |
| Географические границы | |
| Дата включения в Реестр, номер приказа |
Реестр доминантов
Сведения из Государственного реестра хозяйствующих субъектов, занимающих доминирующее положение на товарных рынках
| Полное наименование хозяйствующего субъекта | |
|---|---|
| Место нахождения | |
| Наименование товарной позиции, по которой хозяйствующий субъект занимает доминирующее положение на рынке | |
| Географические границы | |
| Группа лиц, в составе которой субъект включен в Реестр | |
| Дата и номер приказа о включении хозяйствующего субъекта в Реестр (о внесении изменений) | |
| Дата и номер приказа об исключении хозяйствующего субъекта из Реестра |
Таможенное дело
Реестр участников ВЭД
Субъекты хозяйствования, зарегистрированные в ГРП и оформившие следующие декларации на товары: экспортная, импортная, декларация−обязательство, отчеты МБТ, свободная зона (1998−2007).
| Полное наименование хозяйствующего субъекта | |
|---|---|
| Место нахождения | |
| Дата обновления реестра |
Обновление данных…
Обновление данных…
Задолженность перед таможенными органами
Перечень организаций и индивидуальных предпринимателей, имеющих неисполненную обязанность по уплате налогов, сборов (пошлин), процентов, пеней, взимаемых таможенными органами
| Дата наличия задолженности | |
|---|---|
| Дата погашения задолженности |
Экономические операторы ТС
Реестр уполномоченных экономических операторов (УЭО) Таможенного союза.
| Код таможенного органа нахождения УЭО | |
|---|---|
| Наименование УЭО | |
| УНП УЭО | |
| Адрес местонахождения УЭО | |
| Сведения об обособленных подразделениях (филиалах) УЭО | |
| Номер свидетельства УЭО | |
| Номер решения о выдаче свидетельства УЭО | |
| Дата принятия решения о выдаче свидетельства УЭО | |
| Сведения о внесении в Свидетельство УЭО изменений и (или) дополнений, отзыве, возобновлении его деятельности |
Экономические операторы ЕАЭС
Реестр уполномоченных экономических операторов (УЭО) Евразийского экономического союза (включенные в реестр с 01.01.2018).
| Страна, таможенным органом которой выдано свидетельство о включении в реестр | |
|---|---|
| Дата включения юридического лица в реестр | |
| Номер, тип, статус свидетельства | |
| Дата вступления в силу, приостановления действия свидетельства | |
| Головная организация | |
| Полное наименование | |
| УНП | |
| Место нахождения | |
| Филиалы, структурные подразделения | |
| Места хранения (наименование, адрес, площадь, код таможенного органа, номер зоны таможенного контроля) |
БелТПП, индустриальные парки, СЭЗ
Члены БелТПП
Члены Белорусской торгово-промышленной палаты
| Наименование | |
|---|---|
| Адрес | |
| Деятельность | |
| Руководитель | |
| Телефон | |
| Факс | |
| Адрес сайта |
| Производимая продукция: | |||
|---|---|---|---|
| Наименование | Код ТН ВЭД | Код ОКП | П И Э |
Резиденты ПВТ
Реестр компаний-резидентов Парка высоких технологий Республики Беларусь
| Номер в реестре резидентов ПВТ | |
|---|---|
| Организационная форма | |
| Наименование | |
| Дата регистрации в ПВТ | |
| Сведения об осуществлении деятельности оператора криптоплатформы, оператора обмена криптовалют |
Резиденты ИП «Великий Камень»
Резиденты Индустриального парка «Великий Камень»
| Наименование | |
|---|---|
| Полное наименование | |
| Регистрационный номер | |
| Сайт |
Резиденты СЭЗ
Реестры резидентов свободных экономических зон «Брест», «Витебск», «Гомель-Ратон», «Гродноинвест», «Минск», «Могилев»
| Полное наименование ЮЛ с указанием организационно-правовой формы / ФИО ИП | |
|---|---|
| Сокращенное наименование ЮЛ | |
| Сайт | |
| Юридический адрес / место жительства | |
| Наименование СЭЗ, на территории которой резидент (участник) осуществляет деятельность | |
| Наименование проекта, осуществляемого резидентом (участником) СЭЗ в соответствии с заключенным соглашением об осуществлении деятельности на территории СЭЗ | |
| Дата внесения записи в реестр резидентов СЭЗ о регистрации в качестве резидента СЭЗ или о лишении лица статуса резидента (участника) СЭЗ | |
| Наименование органа, осуществившего регистрацию лица в качестве резидента (участника) СЭЗ | |
| Серия и номер свидетельства, удостоверяющего регистрацию лица в качестве резидента СЭЗ, номер бланка (при наличии) |
Свидетельства, аттестаты
Свидетельства о государственной регистрации
Национальный сегмент единого реестра свидетельств о государственной регистрации Таможенного союза
| Номер свидетельства | |
|---|---|
| Наименование | |
| Заявитель | |
| Изготовитель | |
| Дата регистрации | |
| Числовой классификатор | |
| Номер |
Аттестаты соответствия
Реестр аттестатов соответствия РУП «Белстройцентр»
| Наименование субъекта | |
|---|---|
| Юридический адрес | |
| Номер аттестата | |
| Категория | |
| Дата выдачи | |
| Срок действия | |
| Зарегистрирован в Реестре аттестатов соответствия | |
| Виды работ | |
| Наименование обособленных подразделений, в том числе филиалов (при их наличии) | |
Ценные бумаги
Справочник выпусков эмиссионных ценных бумаг
Справочник выпусков эмиссионных ценных бумаг РУП «Республиканский центральный депозитарий ценных бумаг»
| Полное наименование эмитента | |
|---|---|
| Сокращенное наименование эмитента | |
| Код эмитента | |
| УНП | |
| Место нахождения | |
| Телефон | |
| Депозитарий эмитента | |
| Уставный фонд (рубли) | |
| Ликвидирован (да/нет) |
| Акции: | ||||||||
|---|---|---|---|---|---|---|---|---|
| Код выпуска | Порядковый номер выпуска | Дата гос. регистрации | Номер гос. регистрации | Номинал (бел.руб.) | Количество простых (обыкновенных) | Количество привилегированных | Общее количество в выпуске | Аннулирован (да/нет) |
| Облигации: | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Код выпуска | Порядковый номер выпуска | Дата гос. регистрации | Номер гос. регистрации | Номинал (в валюте номинала) | Валюта номинала | Количество | Дата начала обращения | Дата окончания обращения | Дата снятия с центр-нного хранения |
Банковский и финансовый сектор
Реестр банковских гарантий
| Номер банковской гарантии | |
|---|---|
| Дата выдачи банковской гарантии | |
| Наименование банка-гаранта | |
| Информация о принципале | |
| Информация об инструктирующей стороне | |
| Информация о бенефициаре | |
| Сумма и валюта банковской гарантии |
Реестр специальных разрешений (лицензий) на осуществление банковской деятельности
Сведения о банках и небанковских кредитно-финансовых организациях, действующих на территории Республики Беларусь, их филиалах
| Лицензия | |
|---|---|
| Регистрационный номер, дата регистрации | |
| Количество филиалов | |
| Ф.И.О. председателя | |
| Адрес | |
| Телефон, Факс, Телекс, S.W.I.F.T. | |
| Содержание лицензии |
Реестр лизинговых организаций
Сведения о лизинговых организациях, включенных в реестр лизинговых организаций.
| Номер и дата свидетельства о включении в реестр | |
|---|---|
| Место нахождения лизинговой организации | |
| Контакты | |
| Дата начала осуществления лизинговой деятельности с жилыми помещениями |
Реестр микрофинансовых организаций
Сведения о микрофинансовых организациях, включенных в реестр микрофинансовых организаций.
| Номер и дата свидетельства о включении в реестр | |
|---|---|
| Место нахождения микрофинансовой организации | |
| Контакты | |
| Веб-сайты | |
| Места предоставления микрозаймов |
Реестр форекс-компаний
Сведения о юридических лицах, включенных в реестр форекс-компаний.
| Номер и дата свидетельства о включении в реестр | |
|---|---|
| Место нахождения форекс-компании | |
| Контакты | |
| Веб-сайт |
Реестр лиц, осуществляющих учет векселей
Сведения о юридических лицах, включенных в реестр юридических лиц, осуществляющих учет векселей.
| Дата уведомления о включении в реестр | |
|---|---|
| Место нахождения | |
| Контакты | |
| Веб-сайт |
ООО «Системы Нормативной Безопасности»
Полная информация доступна по подписке Тариф «Эксперт» стоит 1.53 руб/день.
Реквизиты
ООО «Системы Нормативной Безопасности»
Общество с ограниченной ответственностью «Системы Нормативной Безопасности»
Системы Нормативной Безопасности
ТАА «Сістэмы Нарматыўнай Бяспекі»
Таварыства з абмежаванай адказнасцю «Сістэмы Нарматыўнай Бяспекі»
Сістэмы Нарматыўнай Бяспекі
Регистрация МНС
07.10.2014
( 8 лет со дня регистрации )
Инспекция МНС РБ по Минскому району
Регистрация ЕГР
06.10.2014
(8 лет со дня регистрации )
Минский районный исполнительный комитет
Реквизиты контрагента
Общество с ограниченной ответственностью «Системы Нормативной Безопасности»
УНП: 691774585
Минская обл.,Минский р-н,Новодворский с/с,д. Большой Тростенец,ул. Западная, д.14, корп.Б, оф. 95
ООО «Системы Нормативной Безопасности»
Ликвидация по решению органа
Изменение уставного фонда
Имущество на торгах по Банкротству
Задолженность перед бюджетом
Задолженность перед бюджетом
Задолженность перед таможенными органами
Задолженность по гос. аренде
Отчёт о финансовых результатах
Участие в тендерах и процедурах закупок
Участие в тендерах и процедурах закупок ГИАС
Реестр недобросовестных поставщиков и список поставщиков (подрядчиков, исполнителей), временно не допускаемых к участию в процедурах государственных закупок
Сертификаты и декларации РБ
Участник ВЭД
В представленном реестре участников ВЭД учтены все субъекты хозяйствования, зарегистрированные в Реестре налогоплательщиков и иных обязанных лиц МНС Республики Беларусь, при этом оформившие декларации на товары (ДТ) следующих типов (без учета товарной части): экспортная, импортная, декларация−обязательство, отчеты МБТ, свободная зона (1998−2007)
Недобросовестная конкуренция
Доминирующее положение на рынке
Уполномоченный экономический оператор
Наличие лицензий и разрешений
Информационная выписка
Компания ООО «Системы Нормативной Безопасности» УНП 691774585 зарегистрирована в едином государственном регистре юридических лиц и индивидуальных предпринимателей 2014-10-06. Компания находится по адресу Минская обл.,Минский р-н,Новодворский с/с,д. Большой Тростенец,ул. Западная, д.14, корп.Б, оф. 95 .
ООО Системы Нормативной Безопасности
Реквизиты
Краткое наименование
ООО Системы Нормативной Безопасности
ТАА Сістэмы Нарматыўнай Бяспекі
Деятельность
ОКЭД 71110
Деятельность в области архитектуры
Дата регистрации
06 октября 2014
Юридический адрес
Минская обл.,Минский р-н,Новодворский с/с,д. Большой Тростенец,ул. Западная, д.14, корп.Б, оф. 95
Постановка на учёт
07 октября 2014
Инспекция МНС
Инспекция МНС по Минскому району –
613
Управление ФСЗН
Учётный орган
Минский районный исполнительный комитет
Членство в организациях
БелТПП
СЭЗ и технопарки
Наличие в каталогах
Государственная система каталогизации продукции
Реестр участников ВЭД
Наличие в реестрах
Торговый реестр
Бытовой реестр
Контактная информация
Домены
Телефоны
Лжепредпринимательство
Спецреестр
Заключения ДФР КГК
Ликвидация и банкротство
Сведения о банкротстве
Запрет на отчуждение доли
Публикации о ликвидации
Судопроизводство
В качестве взыскателя приказного производства
Отделы принудительного исполнения
В качестве должника приказного производства
Задолженность перед бюджетом
Задолженность перед бюджетом
Задолженность по таможенным платежам
Задолженность по аренде гособъектов
Безнадёжный долг перед бюджетом
Тендеры и гоcзакупки
В качестве организатора
В качестве участника
В качестве заказчика
Зарегистрированные изменения
Связанные организации Новинка!
Мини-справка о субъекте хозяйствования
Юридическое лицо с наименованием ООО Системы Нормативной Безопасности было зарегистрировано в Едином государственном регистре юридических лиц и индивидуальных предпринимателей
06 октября 2014 года с присвоением УНП 691774585.
Учётными органами назначены Инспекция МНС по Минскому району и Минский районный исполнительный комитет.
По состоянию на 23.03.2023 юридическим адресом организации является Минская обл., Минский р-н, Новодворский с/с, д. Большой Тростенец, ул. Западная, д.14, корп.Б, оф. 95.
info@snb.by
пр. Пушкина 12А
ПН-ПТ: 8.30-17.30
- Главная
- Наши услуги
- Сертификаты
- Отзывы
- Вопрос-ответ
- О компании
- Контакты
г. Минск
пр.Пушкина, 12А — офис
ул.Ольшевского, 20 — станция перезарядки
+375 (29) 368-00-07
+375 (29) 629-84-28
+375 (17) 388-04-64
Контакты
г. Минск
пр.Пушкина, 12А — офис
ул.Ольшевского, 20 — станция перезарядки
+375 (29) 368-00-07
+375 (29) 629-84-28
+375 (17) 388-04-64
Заказать звонок
Наш менеджер ответит
на интересующие вас вопросы
в течение 10 минут
Заказать бесплатный аудит
Наш менеджер свяжется с вами
и подберет удобный для вас
день выезда специалиста
Спасибо за заявку
Политика конфиденциальности
- Главная
- Контакты
Контакты
Компания ООО «Системы Нормативной Безопасности»
Пункт самовывоза: г. Минск, ул. Ольшевского 20
Связаться с нами вы можете любым удобным для вас способом:
С пн-пт с 08:30 до 17:30
Телефоны: +375 (29) 121-42-27 +375 (29) 121-40-23
В любое удобное для вас время вы можете задать вопрос нашему специалисту по почте
E-mail: info@stendmarket.by
ООО «Системы Нормативной Безопасности»
УНП: 691774585
Товар успешно добавлен
в корзину
Спасибо за Ваш заказ!
Мы свяжемся с Вами в самое ближайшее время.
Код УНП: 691774585
Город: Минск
Данные актуальны на: 23.03.2023 г.
| Телефон | Нет данных |
| Факс | Нет данных |
| Сайт | Нет данных |
| Нет данных |
| Название | ООО Системы Нормативной Безопасности |
| Полное название | Общество с ограниченной ответственностью Системы Нормативной Безопасности |
| Уникальный номер плательщика (УНП) | 691774585 |
| Дата регистрации | 06.10.2014 года |
| Орган постановки на учет | Минский районный исполнительный комитет (Код: 633) |
| Адрес | Минск |
просмотров
1 039
отзывов
0
0
0
Отзывы про Белорусскую компанию ООО Системы Нормативной Безопасности город Минск. Всего 0 отзывов, отрицательных мнений оставили 0, положительных 0
ООО Системы Нормативной Безопасности в различных государственных органах присвоены следующие реквизиты УНП 691774585, HASH код организации 260f1ef3fe3101a7573e24d73a41c88a.
Общество с ограниченной ответственностью Системы Нормативной Безопасности зарегистрирована 06.10.2014 в городе Минск.
Оставить отзыв
Делитесь своими опытами работ с этой Организацией. Будем ждать ваших честных отзывов!
Написать отзыв ООО Системы Нормативной Безопасности, Минск, ИНН 691774585, Минск
Кто имел опыт работы с ООО Системы Нормативной Безопасности? Кто имел опыт работы с этой Организацией? Кто покупал их товары или услуги? В срок все поставляют или делают? Как качество их товаров или услуг? Обманывают или работают честно? Зп платят? Есть ли задержки? С ЗП не обманывают? Все ли выплачивают?
Отзывы на ООО Системы Нормативной Безопасности
Хотим обратить ваше внимание, на тот факт, что часто положительные отзывы пишут про себя сами компании, после получения негатива в свой адрес, от своих обманутых клиентов или работников, цель таких положительных отзывов, отвести ваш взгляд от проблемы которую описывают люди в своих негативных отзывах, верить или не верить написанному решать только вам, но мы из своего опыта, напоминаем, что из 100% положительных отзывов 99% компании пишут о себе сами, а из 100% отрицательных отзывов 99% является правдой. Но, а верить отзывам или нет, решать только лишь вам.
-
На 23.03.2023 ООО Системы Нормативной Безопасности не имеет отзывов и рекомендаций от клиентов, работников, репутация компании в сети не известна. Рейтинг доверия компании 1 из 5.
- Отзывы на ООО СТРОЙТРЕСТ № 92 Минск
- Отзывы на ПКГ жилых домов ул. Пограничная д.Чижовка Дубровенского района Дубровно
- Отзывы на ЧУП ГАМСЕРВИС Минск
- Отзывы на ЧП Ангелы красоты Ляховичи
- Отзывы на ЧП Дроблёнов И.А. Брест
- Отзывы на ЧП АиД Центр Могилёв
- Отзывы на ООО Экотехнолоджи Минск
- Отзывы на ЧП ЭлитИнтерСтрой Плюс Орша
- Отзывы на ООО Эсквайред Студио Минск
- Отзывы на ЧП АвтоЗаказТранс Минск
- Отзывы на ЧП ИКМ Минск
- Отзывы на СООО М.Е.Т.Р.О. Групп Гомель
- Отзывы на Вечерняя школа № 20 г. Минска Минск
- Отзывы на ЧП Литвинович О.Л. Минск
- Отзывы на ЧП Музыкальный центр Арс Нова Минск
- Отзывы на УП ВОСТОЧНЫЙ ПРОЕКТ Минск
- Отзывы на МОО ГПД Минск
- Отзывы на КФХ БелДрогЯгоды Дрогичин
- Отзывы на ЧП Сервис Механика Минск
- Отзывы на ООО Поликон групп Дрибин
- Отзывы на ООО Остро-Трейд Гомель
- Отзывы на ЖПК Сириус 2 Брест
- Отзывы на Ассоциация Полесские собственники Пинск
- Отзывы на ООО Классика Ритейл Дзержинск
- Отзывы на ООО Центр Полесские собственники Пинск
- Отзывы на КФХ имени Осиповского Борисов
- Отзывы на ООО СКРИНПЛЮС Брест
- Отзывы на ООО Акуба ди флора Минск
- Отзывы на ООО Клямка Молодечно
- Отзывы на ООО МПЗ-ПРОГРЕСС Могилёв
- Отзывы на ООО Битрио СпецСтрой Минск
- Отзывы на ООО Инстройкомплект-Плюс Минск
- Отзывы на ЧП ЖДАН Минск
- Отзывы на ООО БелЧиз Минск
- Отзывы на ООО Торговая компания Ромакс Минск
- Отзывы на ПК Инновационные Технологии Кооперации Минск
- Отзывы на ООО Карат ВС Гомель
- Отзывы на ОДО БЕЛГЛОБУС Жодино
- Отзывы на ОДО БЕЛГЛОБУС Жодино
- Отзывы на ООО Пальмета Трейд Чериков
- Отзывы на ООО Пальмета Трейд Чериков
- Отзывы на ОАО Рубежница Лиозно
- Отзывы на ЧП ЭтноСитиСтрой Борисов
- Отзывы на ЧП ТоргМасленицаПлюс Гомель
- Отзывы на ЧП Латания Круглое
Зарегистрировано в Минюсте России 30 июня 2014 г. N 32919
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 14 марта 2014 г. N 31
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ
(в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 09.08.2018 N 138, от 15.03.2021 N 46)
В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137), приказываю:
Утвердить прилагаемые Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Директор
Федеральной службы по техническому
и экспортному контролю
В. СЕЛИН
УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 14 марта 2014 г. N 31
ТРЕБОВАНИЯ
К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ
(в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 09.08.2018 N 138, от 15.03.2021 N 46)
I. Общие положения
1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее — автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.
Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118). (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.
В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.
2. Настоящие Требования направлены на обеспечение функционирования автоматизированной системы управления в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов (далее — управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.
3. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).
4. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления (далее — заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее — оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее — разработчик).
5. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.
6. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
II. Требования к организации защиты информации в автоматизированной системе управления
7. Автоматизированная система управления, как правило, имеет многоуровневую структуру:
уровень операторского (диспетчерского) управления (верхний уровень);
уровень автоматического управления (средний уровень);
уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).
Автоматизированная система управления может включать:
а) на уровне операторского (диспетчерского) управления:
операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
б) на уровне автоматического управления:
программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;
в) на уровне ввода (вывода) данных (исполнительных устройств):
датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.
Количество уровней автоматизированной системы управления и ее состав на каждом из уровней зависит от назначения автоматизированной системы управления и выполняемых ею целевых функций. На каждом уровне автоматизированной системы управления по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты.
В автоматизированной системе управления объектами защиты являются:
информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.
8. Защита информации в автоматизированной системе управления является составной частью работ по созданию (модернизации) и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации.
Защита информации в автоматизированной системе управления достигается путем принятия в рамках системы защиты автоматизированной системы управления совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования автоматизированной системы управления в случае реализации угроз безопасности информации.
Принимаемые организационные и технические меры защиты информации:
должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);
должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;
не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, N 19, ст. 2716; N 30, ст. 4590; N 43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322; 2013, N 9, ст. 874; N 27, ст. 3477).
10. Для обеспечения защиты информации в автоматизированной системе управления оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
12. Для обеспечения защиты информации в автоматизированной системе управления проводятся следующие мероприятия:
формирование требований к защите информации в автоматизированной системе управления;
разработка системы защиты автоматизированной системы управления;
внедрение системы защиты автоматизированной системы управления и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления;
обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления.
Формирование требований к защите информации в автоматизированной системе управления
13. Формирование требований к защите информации в автоматизированной системе управления осуществляется заказчиком.
Формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее — ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее — ГОСТ Р 51624) и стандартов организации и в том числе включает:
принятие решения о необходимости защиты информации в автоматизированной системе управления;
классификацию автоматизированной системы управления по требованиям защиты информации (далее — классификация автоматизированной системы управления);
определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты автоматизированной системы управления.
13.1. При принятии решения о необходимости защиты информации в автоматизированной системе управления осуществляются:
анализ целей создания автоматизированной системы управления и задач, решаемых этой автоматизированной системой управления;
определение информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизированной системы управления (определение критически важной информации), и оценка возможных последствий такого нарушения;
анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления;
принятие решения о необходимости создания системы защиты автоматизированной системы управления и определение целей и задач защиты информации в автоматизированной системе управления.
13.2. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления.
Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс — третий, самый высокий — первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям.
Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии.
Результаты классификации автоматизированной системы управления оформляются актом классификации.
Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее — ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).
13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать: (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198; 2018, N 20, ст. 2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления, включающие наличие уровней (сегментов) автоматизированной системы управления, состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи в автоматизированной системе управления, взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы функционирования автоматизированной системы управления, а также иные особенности ее построения и функционирования.
По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание автоматизированной системы управления и угроз безопасности информации для каждого из уровней автоматизированной системы управления, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов (сценариев) реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (доступности, целостности, конфиденциальности) и штатного режима функционирования автоматизированной системы управления <*>.
<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137).
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы ФСТЭК России <*>.
<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137).
13.4. Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты автоматизированной системы управления включаются в техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации, которые должны в том числе содержать:
цель и задачи обеспечения защиты информации в автоматизированной системе управления;
класс защищенности автоматизированной системы управления;
перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления;
объекты защиты автоматизированной системы управления на каждом из ее уровней;
требования к мерам и средствам защиты информации, применяемым в автоматизированной системе управления;
требования к защите информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;
требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
функции заказчика и оператора по обеспечению защиты информации в автоматизированной системе управления;
стадии (этапы работ) создания системы защиты автоматизированной системы управления.
При определении требований к системе защиты автоматизированной системы управления учитываются положения политик обеспечения информационной безопасности заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора в части, не противоречащей политикам заказчика.
Разработка системы защиты автоматизированной системы управления
14. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и (или) оператором.
Разработка системы защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание (модернизацию) автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее — ГОСТ 34.601), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации и в том числе включает:
проектирование системы защиты автоматизированной системы управления;
разработку эксплуатационной документации на систему защиты автоматизированной системы управления.
Система защиты автоматизированной системы управления не должна препятствовать штатному режиму функционирования автоматизированной системы управления при выполнении ее функций в соответствии с назначением автоматизированной системы управления.
При разработке системы защиты автоматизированной системы управления учитывается ее информационное взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями.
14.1. При проектировании системы защиты автоматизированной системы управления:
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;
выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;
осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;
осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.
Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее — ГОСТ 34.201) и стандартов организации.
14.2. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется по результатам проектирования в соответствии с техническим заданием на создание (модернизацию) автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.
Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201, ГОСТ Р 51624 и стандартов организации и должна в том числе содержать описание:
структуры системы защиты автоматизированной системы управления;
состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
правил эксплуатации системы защиты автоматизированной системы управления.
Внедрение системы защиты автоматизированной системы управления и ввод ее в действие
15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и (или) оператором.
Внедрение системы защиты автоматизированной системы управления осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации автоматизированной системы управления и в том числе включает:
настройку (задание параметров программирования) программного обеспечения автоматизированной системы управления;
разработку документов, определяющих правила и процедуры (политики), реализуемые оператором для обеспечения защиты информации в автоматизированной системе управления в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
установку и настройку средств защиты информации в автоматизированной системе управления;
предварительные испытания системы защиты автоматизированной системы управления;
опытную эксплуатацию системы защиты автоматизированной системы управления;
анализ уязвимостей автоматизированной системы управления и принятие мер по их устранению;
приемочные испытания системы защиты автоматизированной системы управления.
15.1. Настройка (задание параметров программирования) программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации.
15.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры (политики):
реализаций отдельных мер защиты информации в автоматизированной системе управления в рамках ее системы защиты;
планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления;
обеспечения действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;
информирования и обучения персонала автоматизированной системы управления;
анализа угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;
управления (администрирования) системой защиты информации автоматизированной системы управления;
выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования автоматизированной системы управления и (или) к возникновению угроз безопасности информации (далее — инциденты), и реагирования на них;
управления конфигурацией автоматизированной системы управления и ее системы защиты;
контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;
защиты информации при выводе из эксплуатации автоматизированной системы управления.
Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов оператора или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
15.3. При внедрении организационных мер защиты информации осуществляются:
введение ограничений на действия персонала (пользователей (операторского персонала), администраторов, обеспечивающего персонала), а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения;
определение администратора безопасности информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа;
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала автоматизированной системы управления и администратора безопасности информации, направленных на обеспечение защиты информации; (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию автоматизированной системы управления и защиту информации.
15.4. Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования (нейтрализации) угроз безопасности информации, которые невозможно исключить настройкой (заданием параметров) программного обеспечения автоматизированной системы управления и (или) реализацией организационных мер защиты информации.
Установка и настройка средств защиты информации в автоматизированной системе управления должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и документацией на средства защиты информации.
При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования автоматизированной системы управления и совместимость выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
15.5. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее — ГОСТ 34.603) и стандартов организации и включают проверку работоспособности системы защиты автоматизированной системы управления, а также принятие решения о возможности опытной эксплуатации системы защиты автоматизированной системы управления.
По результатам предварительных испытаний системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и (или) ее системе защиты.
15.6. Опытная эксплуатация системы защиты автоматизированной системы управления проводится с учетом ГОСТ 34.603 и стандартов организации и включает проверку функционирования системы защиты автоматизированной системы управления, в том числе реализованных мер защиты информации, а также готовность персонала автоматизированной системы управления к эксплуатации системы защиты автоматизированной системы управления.
По результатам опытной эксплуатации системы защиты автоматизированной системы управления могут разрабатываться предложения по корректировке проектных решений по автоматизированной системе управления и (или) ее системе защиты.
15.7. Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации.
Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.
При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии.
По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) автоматизированной системы управления.
В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.
Анализ уязвимостей автоматизированной системы управления проводится до ввода автоматизированной системы управления в промышленную эксплуатацию на этапах, определяемых заказчиком.
15.8. Приемочные испытания системы защиты автоматизированной системы управления проводятся, как правило, в рамках приемочных испытаний автоматизированной системы управления в целом с учетом ГОСТ 34.603 и стандартов организации.
В ходе приемочных испытаний должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям.
В качестве исходных данных при приемочных испытаниях используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организации.
Приемочные испытания системы защиты автоматизированной системы управления проводятся в соответствии с программой и методикой приемочных испытаний. Результаты приемочных испытаний системы защиты автоматизированной системы управления с выводом о ее соответствии установленным требованиям включаются в акт приемки автоматизированной системы управления в эксплуатацию.
По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России <*>.
<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Ввод в действие автоматизированной системы управления осуществляется с учетом ГОСТ 34.601, стандартов организации и при положительном заключении (выводе) в акте приемки о соответствии ее системы защиты установленным требованиям к защите информации (или при наличии аттестата соответствия).
Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления
16. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и включает следующие процедуры:
планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления;
обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;
информирование и обучение персонала автоматизированной системы управления;
периодический анализ угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;
управление (администрирование) системой защиты автоматизированной системы управления;
выявление инцидентов в ходе эксплуатации автоматизированной системы управления и реагирование на них;
управление конфигурацией автоматизированной системы управления и ее системы защиты;
контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления.
16.1. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются:
определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления;
разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления;
контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом.
16.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления осуществляются:
планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных (непредвиденных) ситуаций;
обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных (непредвиденных) ситуаций;
создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;
резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных (непредвиденных) ситуаций;
обеспечение возможности восстановления автоматизированной системы управления и (или) ее компонентов в случае возникновения нештатных (непредвиденных) ситуаций.
16.3. В ходе информирования и обучения персонала автоматизированной системы управления осуществляются:
периодическое информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации;
периодическое обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.
16.4. В ходе анализа угроз безопасности информации в автоматизированной системе управления и возможных рисков от их реализации осуществляются:
периодический анализ уязвимостей автоматизированной системы управления, возникающих в ходе ее эксплуатации;
периодический анализ изменения угроз безопасности информации в автоматизированной системе управления, возникающих в ходе ее эксплуатации;
периодическая оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления (анализ риска).
16.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:
определение лиц, ответственных за управление (администрирование) системой защиты автоматизированной системы управления;
управление учетными записями пользователей и поддержание правил разграничения доступа в автоматизированной системе управления в актуальном состоянии;
управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
управление обновлениями программного обеспечения, включая программное обеспечение средств защиты информации, с учетом особенностей функционирования автоматизированной системы управления;
централизованное управление системой защиты автоматизированной системы управления (при необходимости);
анализ зарегистрированных событий в автоматизированной системе управления, связанных с безопасностью информации (далее — события безопасности);
сопровождение функционирования системы защиты автоматизированной системы управления в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.
16.6. Для выявления инцидентов и реагирования на них осуществляются:
определение лиц, ответственных за выявление инцидентов и реагирование на них;
обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в автоматизированной системе управления персоналом;
анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
планирование и принятие мер по устранению инцидентов, в том числе по восстановлению автоматизированной системы управления в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
планирование и принятие мер по предотвращению повторного возникновения инцидентов.
16.7. В ходе управления конфигурацией автоматизированной системы управления и ее системы защиты осуществляются:
поддержание конфигурации автоматизированной системы управления и ее системы защиты (структуры системы защиты автоматизированной системы управления, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);
определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления;
управление изменениями базовой конфигурации автоматизированной системы управления и ее системы защиты, в том числе определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты, санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты, контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления;
определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления.
16.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:
контроль за событиями безопасности и действиями персонала в автоматизированной системе управления;
контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования;
анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;
документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;
принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке (модернизации) ее системы защиты.
Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления
17. Обеспечение защиты информации при выводе из эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и организационно-распорядительными документами по защите информации и в том числе включает:
архивирование информации, содержащейся в автоматизированной системе управления;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
17.1. Архивирование информации, содержащейся в автоматизированной системе управления, должно осуществляться при необходимости дальнейшего использования информации в деятельности оператора.
17.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системы управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе автоматизированной системы управления из эксплуатации производится уничтожение машинных носителей информации, содержащих энергонезависимую память.
III. Требования к мерам защиты информации в автоматизированной системе управления
18. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать: (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
идентификацию и аутентификацию (ИАФ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
управление доступом (УПД); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
ограничение программной среды (ОПС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
защиту машинных носителей информации (ЗНИ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
аудит безопасности (АУД); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
антивирусную защиту (АВЗ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
предотвращение вторжений (компьютерных атак) (СОВ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
обеспечение целостности (ОЦЛ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
обеспечение доступности (ОДТ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
защиту технических средств и систем (ЗТС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
защиту информационной (автоматизированной) системы и ее компонентов (ЗИС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
реагирование на компьютерные инциденты (ИНЦ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
управление конфигурацией (УКФ); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
управление обновлениями программного обеспечения (ОПО); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
планирование мероприятий по обеспечению безопасности (ПЛН); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
обеспечение действий в нештатных ситуациях (ДНС); (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
информирование и обучение персонала (ИПО). (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления приведены в приложении N 2 к настоящим Требованиям. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
18.1-18.21. подпункты утратили силу. (в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
19. Выбор мер защиты информации для их реализации в автоматизированной системе управления в рамках ее системы защиты включает:
определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении N 2 к настоящим Требованиям;
адаптацию базового набора мер защиты информации применительно к каждому уровню автоматизированной системы управления, иным структурно-функциональным характеристикам и особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с технологиями, не используемыми в автоматизированной системе управления или ее уровнях, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении N 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления;
дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организации в области защиты информации.
Для выбора мер защиты информации для соответствующего класса защищенности автоматизированной системы управления применяются методические документы ФСТЭК России <*>.
<*> Разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
20. В автоматизированной системе управления соответствующего класса защищенности в рамках ее системы защиты должны быть реализованы меры защиты информации, выбранные в соответствии с пунктами 18 и 19 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления.
Выбранные меры защиты информации рассматриваются для каждого уровня автоматизированной системы управления отдельно и подлежат реализации с учетом особенностей функционирования каждого из уровней.
При этом в автоматизированной системе управления должен быть, как минимум, реализован адаптированный для каждого уровня базовый набор мер защиты информации, соответствующий установленному классу защищенности автоматизированной системы управления.
21. В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в автоматизированной системе управления меры по обеспечению промышленной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры защиты информации, выбранные в соответствии с пунктами 18 и 19 настоящих Требований, могут не применяться. При этом в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование достаточности применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.
22. При отсутствии возможности реализации отдельных мер защиты информации на каком-либо из уровней автоматизированной системы управления и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на штатный режим функционирования автоматизированной системы управления, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности автоматизированной системы управления.
В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению промышленной и (или) физической безопасности автоматизированной системы управления, поддерживающие необходимый уровень защищенности автоматизированной системы управления.
В этом случае в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование применения компенсирующих мер, а при приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
23. Выбранные и реализованные в автоматизированной системе управления в рамках ее системы защиты меры защиты информации, как минимум, должны обеспечивать:
в автоматизированных системах управления 1 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
в автоматизированных системах управления 2 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;
в автоматизированных системах управления 3 класса защищенности — нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.
Потенциал нарушителя определяется в ходе оценки его возможностей и мотивации, проводимой при анализе угроз безопасности информации в соответствии с пунктом 13.3 настоящих Требований.
Оператором может быть принято решение о применении в автоматизированной системе управления соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.
24. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии. (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)
В случае использования в автоматизированных системах управления сертифицированных по требованиям безопасности информации средств защиты информации применяются: (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)
в автоматизированных системах управления 1 класса защищенности применяются средства защиты информации не ниже 4 класса, соответствующие 4 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 4 или более высокому уровню доверия; (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)
в автоматизированных системах управления 2 класса защищенности применяются средства защиты информации не ниже 5 класса, соответствующие 5 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 5 или более высокому уровню доверия; (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)
в автоматизированных системах управления 3 класса защищенности применяются средства защиты информации не ниже 6 класса, соответствующие 6 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 6 или более высокому уровню доверия. (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)
Классы защиты определяются в соответствии с нормативными правовыми актами, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. Уровни доверия определяются в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772). (в ред. Приказов ФСТЭК РФ от 23.03.2017 N 49, от 15.03.2021 N 46)
В случае использования в автоматизированных системах управления средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности). (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)
Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований. (в ред. Приказа ФСТЭК РФ от 23.03.2017 N 49)
Абзацы девятый — десятый. — Утратил силу. (в ред. Приказа ФСТЭК РФ от 15.03.2021 N 46)
25. При использовании в автоматизированных системах управления новых технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 22 настоящих Требований.
Приложение N 1
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды
ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ
1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).
2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера <*> или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).
средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера <*> или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).
низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) <*> характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.
<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971).
В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].
Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба. Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации. Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации.
3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
| Уровень значимости (критичности) информации | Класс защищенности автоматизированной системы управления |
| УЗ 1 | К1 |
| УЗ 2 | К2 |
| УЗ 3 | К3 |
Приложение N 2
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ
(в ред. Приказа ФСТЭК РФ от 09.08.2018 N 138)
| Условное обозначение и номер меры | Меры защиты информации в автоматизированных системах управления | Классы защищенности автоматизированной системы управления | ||
| 3 | 2 | 1 | ||
| I. Идентификация и аутентификация (ИАФ) | ||||
| ИАФ.0 | Разработка политики идентификации и аутентификации | + | + | + |
| ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + |
| ИАФ.2 | Идентификация и аутентификация устройств | + | + | + |
| ИАФ.3 | Управление идентификаторами | + | + | + |
| ИАФ.4 | Управление средствами аутентификации | + | + | + |
| ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + |
| ИАФ.6 | Двусторонняя аутентификация | |||
| ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + |
| II. Управление доступом (УПД) | ||||
| УПД.0 | Разработка политики управления доступом | + | + | + |
| УПД.1 | Управление учетными записями пользователей | + | + | + |
| УПД.2 | Реализация политик управления доступа | + | + | + |
| УПД.3 | Доверенная загрузка | + | + | |
| УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + |
| УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + |
| УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | |||
| УПД.8 | Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе | + | ||
| УПД.9 | Ограничение числа параллельных сеансов доступа | + | ||
| УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + |
| УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + |
| УПД.12 | Управление атрибутами безопасности | |||
| УПД.13 | Реализация защищенного удаленного доступа | + | + | + |
| УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + |
| III. Ограничение программной среды (ОПС) | ||||
| ОПС.0 | Разработка политики ограничения программной среды | + | + | |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | ||
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | |
| ОПС.3 | Управление временными файлами | |||
| IV. Защита машинных носителей информации (ЗНИ) | ||||
| ЗНИ.0 | Разработка политики защиты машинных носителей информации | + | + | + |
| ЗНИ.1 | Учет машинных носителей информации | + | + | + |
| ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | |||
| ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | |||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | + |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | + | ||
| ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + |
| V. Аудит безопасности (АУД) | ||||
| АУД.0 | Разработка политики аудита безопасности | + | + | + |
| АУД.1 | Инвентаризация информационных ресурсов | + | + | + |
| АУД.2 | Анализ уязвимостей и их устранение | + | + | + |
| АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + |
| АУД.4 | Регистрация событий безопасности | + | + | + |
| АУД.5 | Контроль и анализ сетевого трафика | + | ||
| АУД.6 | Защита информации о событиях безопасности | + | + | + |
| АУД.7 | Мониторинг безопасности | + | + | + |
| АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + |
| АУД.9 | Анализ действий пользователей | + | ||
| АУД.10 | Проведение внутренних аудитов | + | + | + |
| АУД.11 | Проведение внешних аудитов | + | ||
| VI. Антивирусная защита (АВЗ) | ||||
| АВЗ.0 | Разработка политики антивирусной защиты | + | + | + |
| АВЗ.1 | Реализация антивирусной защиты | + | + | + |
| АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + |
| АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | ||
| АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + |
| АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | ||
| VII. Предотвращение вторжений (компьютерных атак) (СОВ) | ||||
| СОВ.0 | Разработка политики предотвращения вторжений (компьютерных атак) | + | + | |
| СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | |
| СОВ.2 | Обновление базы решающих правил | + | + | |
| VIII. Обеспечение целостности (ОЦЛ) | ||||
| ОЦЛ.0 | Разработка политики обеспечения целостности | + | + | + |
| ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + |
| ОЦЛ.2 | Контроль целостности информации | |||
| ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | ||
| ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | |
| ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | |
| ОЦЛ.6 | Обезличивание и (или) деидентификация информации | |||
| IX. Обеспечение доступности (ОДТ) | ||||
| ОДТ.0 | Разработка политики обеспечения доступности | + | + | + |
| ОДТ.1 | Использование отказоустойчивых технических средств | + | + | |
| ОДТ.2 | Резервирование средств и систем | + | + | |
| ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | |
| ОДТ.4 | Резервное копирование информации | + | + | + |
| ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + |
| ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + |
| ОДТ.7 | Кластеризация информационной (автоматизированной) системы | |||
| ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + |
| X. Защита технических средств и систем (ЗТС) | ||||
| ЗТС.0 | Разработка политики защиты технических средств и систем | + | + | + |
| ЗТС.1 | Защита информации от утечки по техническим каналам | |||
| ЗТС.2 | Организация контролируемой зоны | + | + | + |
| ЗТС.3 | Управление физическим доступом | + | + | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + |
| ЗТС.5 | Защита от внешних воздействий | + | + | + |
| ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | |||
| XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | ||||
| ЗИС.0 | Разработка политики защиты информационной (автоматизированной) системы и ее компонентов | + | + | + |
| ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + |
| ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + |
| ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + |
| ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | |
| ЗИС.5 | Организация демилитаризованной зоны | + | + | + |
| ЗИС.6 | Управление сетевыми потоками | |||
| ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения («песочница») | |||
| ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + |
| ЗИС.9 | Создание гетерогенной среды | |||
| ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | |||
| ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | |||
| ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | |||
| ЗИС.13 | Защита неизменяемых данных | + | + | |
| ЗИС.14 | Использование неперезаписываемых машинных носителей информации | |||
| ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | |||
| ЗИС.16 | Защита от спама | + | + | |
| ЗИС.17 | Защита информации от утечек | |||
| ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | |||
| ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + |
| ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + |
| ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + |
| ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | |||
| ЗИС.23 | Контроль использования мобильного кода | + | + | |
| ЗИС.24 | Контроль передачи речевой информации | + | + | |
| ЗИС.25 | Контроль передачи видеоинформации | + | + | |
| ЗИС.26 | Подтверждение происхождения источника информации | |||
| ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | |
| ЗИС.28 | Исключение возможности отрицания отправки информации | + | + | |
| ЗИС.29 | Исключение возможности отрицания получения информации | + | + | |
| ЗИС.30 | Использование устройств терминального доступа | |||
| ЗИС.31 | Защита от скрытых каналов передачи информации | + | ||
| ЗИС.32 | Защита беспроводных соединений | + | + | + |
| ЗИС.33 | Исключение доступа через общие ресурсы | + | ||
| ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + |
| ЗИС.35 | Управление сетевыми соединениями | + | + | |
| ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | |||
| ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | |||
| ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + |
| ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + |
| XII. Реагирование на компьютерные инциденты (ИНЦ) | ||||
| ИНЦ.0 | Разработка политики реагирования на компьютерные инциденты | + | + | + |
| ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + |
| ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + |
| ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + |
| ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + |
| ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + |
| ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | ||
| XIII. Управление конфигурацией (УКФ) | ||||
| УКФ.0 | Разработка политики управления конфигурацией информационной (автоматизированной) системы | + | + | + |
| УКФ.1 | Идентификация объектов управления конфигурацией | |||
| УКФ.2 | Управление изменениями | + | + | + |
| УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + |
| УКФ.4 | Контроль действий по внесению изменений | |||
| XIV. Управление обновлениями программного обеспечения (ОПО) | ||||
| ОПО.0 | Разработка политики управления обновлениями программного обеспечения | + | + | + |
| ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + |
| ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + |
| ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + |
| ОПО.4 | Установка обновлений программного обеспечения | + | + | + |
| XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | ||||
| ПЛН.0 | Разработка политики планирования мероприятий по обеспечению защиты информации | + | + | + |
| ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + |
| ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + |
| XVI. Обеспечение действий в нештатных ситуациях (ДНС) | ||||
| ДНС.0 | Разработка политики обеспечения действий в нештатных ситуациях | + | + | + |
| ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + |
| ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + |
| ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | |
| ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | |
| ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + |
| ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + |
| XVII. Информирование и обучение персонала (ИПО) | ||||
| ИПО.0 | Разработка политики информирования и обучения персонала | + | + | + |
| ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + |
| ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + |
| ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | |
| ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + |
«+» — мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления.
Меры защиты информации, не обозначенные знаком «+», применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системе управления соответствующего класса защищенности.