Проект Постановления Правительства Российской Федерации "Об установлении Требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем" (подготовлен Минэнерго России 20.01.2017)

Досье на проект

Пояснительная записка

В соответствии с пунктом 1-2 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", с пунктом 2 статьи 21 и пунктом 1 статьи 28 Федерального закона от 26 марта 2003 года N 35-ФЗ "Об электроэнергетике", пунктом 1 статьи 7 Федерального закона от 21 июля 2011 года N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса" Правительство Российской Федерации

постановляет:

1. Утвердить прилагаемые:

Требования в отношении базовых (обязательных) функций и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования;

Методические указания по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования;

Правила обязательной сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их базовым (обязательным) функциям и информационной безопасности.

2. Установить, что для систем и сегментов систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования применяется требование по обязательной сертификации в части базовых (обязательных) функций и информационной безопасности. Данное требование не распространяется на системы мониторинга субъекта оперативно-диспетчерского управления.

3. Федеральным органам исполнительной власти в 12-ти месячный срок утвердить своими нормативными правовыми актами и технической документацией соответствующие положения о сертификации, перечень критически важного энергетического оборудования, методики оценки базовых (обязательных) функций и информационной безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования, провести актуализацию и утверждение действующих методических, руководящих документов по определению профилей защиты средств обеспечения информационной безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования.

Председатель Правительства Российской Федерации

Д. Медведев

Проект

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 201 г. N

ТРЕБОВАНИЯ
в отношении базовых (обязательных) функций и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования

1 Общие положения

1.1 Настоящие требования включают в себя требования к базовым (обязательным) функциям и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования с целью обеспечения реализации мер защиты от угроз безопасности информации.

1.2 Настоящие требования предназначены для практического применения:

- организациям, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики;

- производителями программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики;

- организациями, осуществляющими в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации,

- организациями-заявителями на осуществление сертификации продукции в системе сертификации ФСТЭК России.

1.3 Используемые в настоящих требованиях понятия означают следующее:

"автоматизированная система управления технологическим процессом" - комплекс аппаратных и программных средств, предназначенных для контроля и управления технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными таким технологическим и (или) производственным оборудованием технологическими и (или) производственными процессами;

"базовые функции системы удаленного мониторинга и диагностики технического состояния" - выполняемые системой операции в соотвествии с её назначением. Базовые функции системы удаленного мониторинга и диагностики включают в себя:

- технологический мониторинг состояния оборудования/объекта;

- прогнозный мониторинг;

- определение остаточного ресурса оборудования/объекта и его деталей.

"безопасность информации (данных)" - состояние защищенности информации (данных), при котором обеспечивается ее (их) конфиденциальность, доступность и целостность;

"вирус (компьютерный, программный)" - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

"вредоносное программое обеспечение" - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ресурсы и информацию, хранимую на рессурсах, с целью несанционированного использования или причинения вреда (нанесения ущерба) владельцу информации, рессурса, путем копирования, искажения, удаления или подмены информации;

"доверие" - основание для уверенности в том, что изделие отвечает целям безопасности;

"доступ к информации" - возможность санкционированного получения информации и ее использования;

"доступность информации" - состояние информации, при котором субъекты, наделенные правом доступа к информации, могут получать его беспрепятственно;

"защищаемая информация" - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

"информационная система" - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

"информационные технологии" - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

"критически важное энергетическое оборудование" - оборудование, нарушение (или прекращение) функционирования которого приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени;

"контролируемая зона" - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

"конфиденциальность информации" - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право;

"критичность информации" - качественная характеристика, определяющая ценность информации для пользователя (владельца, собственника информации), для обеспечения функционирования автоматизированной системы, а следовательно, недопустимость ее несанкционированного уничтожения, модификации, блокирования или распространения вне установленной сферы применения;

"несанкционированный доступ к информации" - доступ к информации, осуществляемый с нарушением установленных прав и (или) правил доступа к информации;

"профиль защиты" - независимая от реализации совокупность требований безопасности для некоторой категории изделий, отвечающая специфическим запросам потребителя;

"прикладное программное обеспечение" - программное обеспечение, предназначенное для выполнения прикладных задач, непосредственно направленных на достижение целей создания информационной системы;

"сегменты системы удаленного мониторинга и диагностики технического состояния" - основные составные части системы удаленного мониторинга и диагностики технического состояния, обеспечивающие её полноценное функционирование. Система удаленного мониторинга и диагностики состоит из следующих сегментов: сегмент сбора, хранения и передачи данных (программное и аппаратное обеспечение нижнего уровня, осуществляющее сбор данных с датчиков оборудования, межсетевые экраны, системы хранения данных); сегмент эксплуатации (программное и аппаратное обеспечение среднего уровня, осуществляющее первичную обработку и представление данных, автоматизированные рабочие места эксплуатирующего персонала); сегмент обслуживания (программное и аппаратное обеспечение верхнего уровня, обеспечивающее обработку и представление данных с функциями: прогнозирования, сценарного моделирования, графического представляения технического состояния оборудование, автоматизированны рабочие места эксплуатирующего персонала);

"система удаленного мониторинга и диагностики технического состояния" - программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием оборудования/объекта (действующее оборудование), его диагностирование и прогнозирование изменения технического состояния на основе собранных данных (исторические данные о состоянии оборудования) и операционных данных, получаемых от систем сбора данных, установленных на оборудовании;

"системное программное обеспечение" - комплекс программ, которые обеспечивают управление аппаратными компонентами технических средств и функционирование прикладного ПО;

"среда безопасности" - область среды, в пределах которой предусматривается обеспечение необходимых условий для поддержания требуемого режима безопасности изделия;

"угроза информационной безопасности" - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальность, доступности и (или) целостности информации;

"удаленный мониторинг и диагностика" - процесс наблюдения и контроля за состоянием оборудования/объекта путем сбора и хранения данных средствами специального оборудования с последующей их обработкой автоматизированными средствами с целью оценки текущего и прогнозного состояния оборудования/объекта;

"ущерб" - утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности;

"функция безопасности" - функциональные возможности части или частей изделия информационных технологий, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности;

"целостность информации" - состояние информации, при котором ее модификация осуществляется преднамеренно и только уполномоченными субъектами доступа.

1.4 В качестве средств защиты информации рассматриваются:

- механизмы защиты штатного программного обеспечения систем удаленного мониторинга и диагностики;

- внешние средства защиты информации.

1.5 Функционирование подсистемы защиты систем удаленного мониторинга и диагностики технического состояния не должно оказывать влияния на штатный режим функционирования систем удаленного мониторинга и диагностики, обеспечивающий поддержку соответствующих технологических процессов.

1.6 В общем случае к программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, а также к информационно-телекоммуникационной инфраструктуре функционирования систем удаленного мониторинга и диагностики технического состояния предъявляются следующие требования:

1.6.1. Общие требования к компонентам систем удаленного мониторинга и диагностики:

- реализуемая парольная политика должна обеспечивать соответствие требованиям: по сложности пароля (не менее 10 символов, наличие символов в разном регистре, наличие специальных символов), сроку действия паролей, истории паролей;

- организация доступа обслуживающего персонала предполагает обязательную персонификацию, при этом возможность доступа различных сотрудников под одной учетной записью должна быть запрещена;

- встроенные учетные записи на всех компонентах систем удаленного мониторинга и диагностики технического состояния должны быть отключены;

- функционал систем удаленного мониторинга и диагностики технического состояния, не связанный с поддержкой обеспечиваемых технологических процессов, должен быть отключен;

- применительно ко всем программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, должны быть включены и настроены функции регистрации событий безопасности;

- применительно ко всем программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, должны быть установлены процедуры обновлений безопасности, а также определен регламент (включая временной интервал) применения обновления безопасности;

- как непосредственно системы удаленного мониторинга и диагностики, так и применяемые в составе систем удаленного мониторинга и диагностики технического состояния программно-аппаратные средства должны иметь актуальную и доступную проектную и эксплуатационную документацию.

1.6.2. Требования к автоматизированным рабочим местам и серверам систем удаленного мониторинга и диагностики:

- на всех автоматизированных рабочих местах и серверах должны быть включены персональные межсетевые экраны с правилами минимально необходимыми для функционирования компонент систем удаленного мониторинга и диагностики, при этом остальной сетевой доступ должен быть заблокирован;

- состав программного обеспечения, устанавливаемого на компонентах систем удаленного мониторинга и диагностики технического состояния (автоматизированные рабочие места и сервера) должен быть согласован и формализован; при наличии возможности со стороны средств безопасности, установленных на автоматизированных рабочих местах и серверах, должна быть реализована политика белых списков в отношении, используемого программного обеспечения;

- должна быть исключена возможность использования внешних устройств беспроводной связи на серверах и автоматизированных рабочих местах систем удаленного мониторинга и диагностики технического состояния (блокировка соответствующих портов как физически, так и логически);

- подключение внешних устройств хранения данных по умолчанию должно быть запрещено;

- должны быть включены пароли на доступ к встроенному программному обеспечению (BIOS и т.п.) серверов и автоматизированных рабочих мест;

- на серверах и автоматизированных рабочих местах систем удаленного мониторинга и диагностики технического состояния в обязательном порядке должны быть установлены средства антивирусной защиты с актуальными обновлениями.

1.6.3. Требования к инфраструктуре функционирования систем удаленного мониторинга и диагностики:

- должен быть организован периметр информационно-телекоммуникационной инфраструктуры функционирования систем удаленного мониторинга и диагностики; организация сетевого периметра должна быть обеспечена посредством межсетевых экранов;

- физическое соединение сегмента информационно-телекоммуникационной инфраструктуры систем удаленного мониторинга и диагностики технического состояния с иными сегментами (в частности, сегментом доступа к ССОП, сегментом автоматизированных систем управления технологическими процессами и др.), должно обеспечиваться только через устройства, реализующее функции межсетевого экранирования;

- выделение сегментов должно обеспечиваться посредством комплексного (взаимодополняемого) применения следующих технологий и методов в порядке эффективности защиты (при наличии такой возможности):

физическое выделение посредством организации сегментов за счет выделенных коммутирующих устройств, подключаемых только к межсетевым экранам (наиболее защищенный вариант); с применением средств криптографической защиты доступа к сети и защиты трафика (VPN); VLAN (минимально необходимый);

- на объектах размещения компонент систем удаленного мониторинга и диагностики технического состояния должны быть выделены следующие сегменты управления: сегмент управления информационно-телекоммуникационной инфраструктурой систем удаленного мониторинга и диагностики технического состояния (имеет доступ персонал, осуществляющий функции управления информационно-телекоммуникационной инфраструктурой систем удаленного мониторинга и диагностики); сегмент управления комплексом технических средств защиты информации (имеет доступ персонал, осуществляющий функции управления информационной безопасностью); сегмент управления техническими средствами систем удаленного мониторинга и диагностики технического состояния (имеет доступ персонал, осуществляющий функции управления компонентами систем удаленного мониторинга и диагностики);

- при функционировании систем удаленного мониторинга и диагностики, взаимодействие сегментов должно ограничиваться следующими правилами: доступ к сегментам управления из других сегментов запрещен, взаимодействие между сегментами должно происходить исключительно через средства межсетевого экранирования;

- правила на специализированных средствах межсетевого экранирования должны быть максимально точными включая указание адресов назначения и источника, портов назначения и источника;

- для взаимодействия с внешними сетями (включая сети связи общего пользования) должны быть созданы "демилитаризованные" зоны - сегменты сети, из которых исключена возможность инициации соединений во внутренние сегменты информационно-телекоммуникационной инфраструктуры объектов размещения компонент систем удаленного мониторинга и диагностики;

- при наличии технической возможности должны быть отключены неиспользуемые и небезопасные (передающие информацию по сети в открытом, незашифрованном виде) протоколы и сервисы на сетевом оборудовании; при отсутствии такой возможности должны быть задействованы специализированные средства защиты (включая средства криптографической защиты информации);

- неиспользуемые порты на активном сетевом оборудовании (как входящем в состав систем удаленного мониторинга и диагностики, так и входящие в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики) должны быть отключены логически и физически;

- служебные сервисы оборудования, образующего информационно-телекоммуникационную инфраструктуру систем удаленного мониторинга и диагностики технического состояния (как входящего в состав систем удаленного мониторинга и диагностики, так и входящего в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики), должны быть доступны только из сегмента управления информационно-телекоммуникационной инфраструктуры;

- при необходимости взаимодействия систем удаленного мониторинга и диагностики технического состояния с другими автоматизированными системами объекта размещения систем удаленного мониторинга и диагностики технического состояния (автоматизированных систем управления технологическими процессами и иное), взаимодействие должно быть обеспечено методами, исключающими возможность его использования в деструктивных целях для каждой из взаимодействующих систем (реализация принципа "не ухудшения уровня защищенности");

- в случае необходимости применения на объектах размещения систем удаленного мониторинга и диагностики технического состояния устройств беспроводной связи, данные устройства должны находиться физически и логически за организованным периметром информационно-телекоммуникационной инфраструктуры систем удаленного мониторинга и диагностики;

- реализация функций контроля компонент систем удаленного мониторинга и диагностики технического состояния необходима на уровнях: системного программного обеспечения, прикладного программного обеспечения, баз данных;

- прямой доступ к базам данных систем удаленного мониторинга и диагностики технического состояния должен быть исключен;

- активное сетевое оборудование (как входящем в состав систем удаленного мониторинга и диагностики, так и входящие в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики) должно располагать активными функциями защиты от подмены сетевых адресов и от внедрения ложной маршрутной информации в протоколы маршрутизации.

2 Требования к встроеным средствам защиты информации и обеспечения безопасности среды функционирования систем удаленного мониторинга и диагностики технического состояния

2.7 Встроенные средства защиты информации систем удаленного мониторинга и диагностики технического состояния должны отвечать целям обеспечения информационной безопасности, представленным в таблице А.1.

Таблица А.1 - Цели обеспечения информационной безопасности

Идентификатор	Название	Описание
O.AUDITING	Аудит событий	Программное обеспечение должно обеспечивать генерацию, запись и хранение событий относящихся к функционированию механизмов информационной безопасности. Программное обеспечение должно обеспечивать защиту данных журналов и предоставлять доступ к ним только авторизованным для этих целей пользователям. Хранимая информация о событиях информационной безопасности должна содержать дату и время произошедшего, идентификационные данные пользователя, от имени которого совершалось действие или был запущен процесс повлекшие события безопасности. Хранимая информация должна содержать достаточно подробное описание предпринимаемых действий для последующего их анализа с целью выявления попыток несанкционированного доступа или несанкционированной модификации компонент программного обеспечения.
O.CRYPTO	Криптографическая защита	Программное обеспечение должно предоставлять авторизованным пользователям возможность доступа с применением криптографических механизмов обеспечения целостности и конфиденциальности, передаваемой в рамках установленной сессии конфигурационной информации. В рамках удаленного соединения взаимная аутентификация взаимодействующих сторон должна быть обеспечена с применением криптографических механизмов. Аналогичные механизмы защиты должны применяться, если программное обеспечение реализовано по двух- и более звенной архитектуре (сервер приложений, база данных и т.д.) и компоненты программного обеспечения физически разнесены по различным серверам (в том числе виртуальным), а также конечным устройствам.
O.DACCESS	Дискретный доступ	Программное обеспечение должно осуществлять контроль доступа субъектов на основе идентификаторов к поименованным объектам. Доступ к объектам авторизованных пользователей должен осуществляться на основании ролевой модели разграничения доступа в соответствии с правилами доступа, прописанными для каждого объекта.
O.NFLOW	Контроль сетевого взаимодействия	Программное обеспечение должно осуществлять контроль взаимодействия и передачи информации между сетевыми интерфейсами (в том числе виртуальными), между субъектами, между внутренними функциями на основании настраиваемой политики безопасности.
O.SUBJECT	Передача атрибутов безопасности	При взаимодействии различных субъектов программного обеспечения должна быть обеспечена передача атрибутов безопасности в соответствии с настраиваемой политикой безопасности.
O.I&A	Идентификация и аутентификация	Программное обеспечение должно обеспечивать идентификацию и аутентификацию субъектов до любых действий на основе сертификата открытого ключа подписи и связанного с ним закрытого ключа подписи, размещенного на отчуждаемом носителе. Доступ к объектам программного обеспечения должен предоставляться только авторизованным субъектам. Должна быть обеспечена строгая многофакторная аутентификация.
O.MANAGE	Конфигурация безопасности	Программное обеспечение должно содержать необходимые механизмы для управления и настройки всех имеющихся функций безопасности. Доступ к этим механизмам должен быть обеспечен только авторизованным субъектам с выделенной ролью администратора информационной безопасности. Программное обеспечение должно иметь возможность указывать на ошибки персонала при конфигурации, а также должно запрещать возможность снижения уровня безопасности.
O.TRUSTCHAN	Установление доверенных соединений	Программное обеспечение должно быть спроектировано и разработано таким образом, чтобы позволять установление доверенного соединения с информационными системами того же класса доверия, гарантируя при этом целостность, доступность и
		конфиденциальность передаваемых в рамках соединения данных, взаимную авторизацию и возможность обмена атрибутами безопасности.
O.AVAIL	Доступность	Должна быть обеспечена доступность функционала программного обеспечения. Программное обеспечение должно продолжать функционировать после выхода из строя каналов связи. Должны быть предусмотрены механизмы обеспечения продолжения функционирования при переполнении баз данных. Должен осуществляться контроль целостности компонентов в процессе их загрузки. Должно быть исключено неконтролируемое, несанкционированное вмешательство в процессы перезагрузки или восстановления после сбоев компонентов программного обеспечения. В процессе функционирования программного обеспечения должны быть предусмотрены на периодической основе проверки на наличие уязвимостей компонентов программного обеспечения. Должны быть предусмотрены возможности восстановления данных и/или параметров конфигураций компонентов программного обеспечения из резервных копий в случае их компрометации или уничтожения. Должны быть предусмотрены возможности создания резервных копий в случае внесения изменений в конфигурации, с заданной периодичностью или комбинации этих вариантов

2.8 В случае невозможности реализации заявленных целей встроенными средствами защиты информации систем удаленного мониторинга и диагностики, соответствующий функционал должен обеспечиваться соответствующими внешними средствами защиты информации.

2.9 В организации, на объектах которой развернуты программно-аппаратные средства систем удаленного мониторинга и диагностики, должен быть реализован комплекс мероприятий, обеспечивающий безопасность среды функционирования систем удаленного мониторинга и диагностики технического состояния (Таблица А.2).

Таблица А.2 - Комплекс мероприятий, обеспечивающий безопасность среды функционирования систем удаленного мониторинга и диагностики

Идентификатор	Название	Описание
OE.SECURE	Контроль физического доступа	Необходимо осуществление контроля физического доступа к местам размещения компонентов программного обеспечения систем удаленного мониторинга и диагностики.
OE.INSTALL	Безопасная установка	Необходимо обеспечить установку, инсталляцию и администрирование компонентов программного обеспечения таким образом, чтобы обеспечить выполнение утвержденных требований информационной безопасности.
OE.TRAIN	Повышение осведомленности	Необходимо, чтобы уполномоченные администраторы были обучены способам администрирования компонентов программного обеспечения, знали и могли реализовывать утвержденные требования информационной безопасности.
OE.LIMEXT	Администратор безопасности	В рамках организационной структуры подразделения, эксплуатирующего программное обеспечение, должна быть предусмотрена выделенная роль администратора информационной безопасности.

3 Требования безопасности

3.10 Функциональные требования безопасности основаны на функциональных компонентах (в соответствии с ГОСТ Р ИСО/МЭК 15408-2), представленных в Таблице А.3.

Таблица А.3 - Функциональные компоненты

Идентификатор	Название компоненты
FAU_ARP.1	Сигналы нарушения безопасности
FAU_GEN.1	Генерация данных аудита
FAU_GEN.2	Ассоциация идентификатора пользователя
FAU_SAA.1	Анализ потенциального нарушения
FAU_SAR.1	Просмотр журналов аудита
FAU_SAR.2	Ограниченный просмотр журналов аудита
FAU_SEL.1	Избирательный аудит
FAU_STG.1	Защищенное хранение журнала аудита
FAU_STG.3	Действия в случае возможной потери данных аудита
FAU_STG.4	Предотвращение потери данных аудита
FCS_COP.1	Криптографические операции
FDP_ACC.1	Ограниченное управления доступом
FDP_ACF.1	Управление доступом, основанное на атрибутах безопасности
FDP_IFC.2	Полное управление информационными потоками
FDP_IFF.1	Простые атрибуты безопасности
FDP_ITC.2	Импорт данных пользователя с атрибутами безопасности
FDP_ITT.1	Базовая защита внутренней передачи
FDP_ROL.2	Расширенный откат к исходному состоянию
FDP_SDI.2	Мониторинг целостности хранимых данных и предпринимаемые действия
FIA_AFL.1	Обработка отказов аутентификации
FIA_ATD.1	Определение атрибутов пользователя
FIA_SOS.1	Верификация секретов
FIA_UAU.2	Аутентификация до любых действий пользователя
FIA_UID.2	Идентификация до любых действий пользователя
FIA_USB.1	Связывание "пользователь-субъект"
FMT_MSA.1	Управление атрибутами безопасности
FMT_MSA.3	Инициализация статических атрибутов
FMT_MTD.1	Управление данными функций безопасности объекта
FMT_REV.1	Отмена атрибутов безопасности
FMT_SMF.1	Спецификация функций управления
FMT_SMR.1	Роли безопасности
FPT_STM.1	Надежные метки времени
FPT_TDC.1	Базовая согласованность данных функций безопасности объекта между функциями безопасности
FTA_SSL.1	Блокирование сеанса, инициированное функциями безопасности
FTA_SSL.2	Блокирование, инициированное пользователем
FTP_ITC.1	Конфиденциальность экспортируемых дынных при передаче

3.10.4. Класс FAU: Аудит безопасности

3.10.5.

Таблица А.4

Идентификатор	Описание	Замечания по применению	Зависимости
FAU_ARP.1	Сигналы нарушения безопасности
FAU_ARP.1.1	Функции безопасности программного обеспечения должны информировать администратора при обнаружении возможного нарушения безопасности.	Разработчик Задания по безопасности для конкретного реализации программного обеспечения систем удаленного мониторинга и диагностики технического состояния или оборудования, входящего в ее состав, помимо непосредственно информирования администратора может перечислить и другие действия при обнаружении возможного нарушения безопасности.	FAU_SAA.1 Анализ потенциального нарушения
FAU_GEN.1	Генерация данных аудита
FAU_GEN.1.1	Функции безопасности программного обеспечения должны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:
	a) запуск и завершение выполнения функций аудита;
	b) все события, потенциально подвергаемые аудиту, на базовом уровне аудита;
	c) [другие специально определенные события, подвергаемые аудиту].
FAU_GEN.1.2	Функции безопасности программного обеспечения должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:	В пункте b) FAU_GEN.1.1 выбран уровень аудита базовый, с учетом этого разработчик задания по безопасности в рамках сертификации должен следовать инструкциям ГОСТ Р ИСО/МЭК 15408-2 по включению в FAU_GEN.1 событий согласно выбранному уровню аудита, используя пункты в рубрике "Аудит" для каждого	FPT_STM.1 Надежные метки времени.
		функционального компонента из ГОСТ Р ИСО/МЭК 15408-2, включенного в задание по безопасности и каждого компонента функциональных требований безопасности, определенных настоящими требованиями. Разработчик задания по безопасности может дополнительно указать в пункте c) FAU_GEN.1.1 другие события, которые программное обеспечение способно подвергать аудиту.
	a) дата и время события, тип события, идентификатор субъекта, результат события (успешный или неуспешный);
	b) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в задание по безопасности на конкретное программное обеспечение.
FAU_GEN.2	Ассоциация идентификатора пользователя
FAU_GEN.2.1	Функции безопасности программного обеспечения должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.		FAU_GEN.1 Генерация данных аудита; FIA_UID.1 Выбор момента идентификации.
FAU_SAA.1	Анализ потенциального нарушения
FAU_SAA.1.1	Функции безопасности программного обеспечения должны быть способны применить набор правил мониторинга событий, подвергающихся аудиту и указать на возможное нарушение реализации функциональных требований безопасности, основываясь на этих правилах.		FAU_GEN.1 Генерация данных аудита; FIA_UID.1 Выбор момента идентификации.
FAU_SAA.1.2	Функции безопасности программного обеспечения должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту: c) накопление или объединение известных [подмножество определенных событий, подвергаемых аудиту], указывающих на возможное нарушение безопасности; d) [другие правила].
FAU_SAR.1	Просмотр журналов аудита
FAU_SAR.1.1	Функции безопасности программного обеспечения должны предоставлять [уполномоченные идентифицированные роли из состава ролей безопасности] возможность читать [список информации аудита] из записей аудита.
FAU_SAR.1.2	Функции безопасности программного обеспечения должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию.		FAU_GEN.1 Генерация данных аудита.
FAU_SAR.2	Ограниченный просмотр журналов аудита
FAU_SAR.2.1	Функции безопасности программного обеспечения должны предотвращать доступ к чтению записей аудита всем пользователям, за исключением тех, кому явно предоставлен доступ на чтение.		FAU_SAR.1 Просмотр журналов аудита.
FAU_SEL.1	Избирательный аудит
FAU_SEL.1.1	Функции безопасности программного обеспечения должны обеспечить выбор совокупности событий подвергающихся аудиту из совокупности событий потенциально подверженных аудиту базируясь на следующих атрибутах:		FAU_GEN.1 Генерация данных аудита; FMT_MTD.1 Управление данными функций безопасности.
	e) тип события; f) идентификатор субъекта или пользователя; g) результат (успех или отказ) операции, подверженной аудиту; h)[список дополнительных атрибутов, определяемых в задании по безопасности на конкретное программное обеспечение].
FAU_STG.1	Защищенное хранение журнала аудита
FAU_STG.1.1	Функции безопасности программного обеспечения должны защищать хранимые в журнале аудита записи от несанкционированного удаления.	Программное обеспечение может обеспечивать хранение журналов аудита как локально, так и обеспечивать передачу журналов на удаленные серверы централизованной системы журналирования для дальнейшей обработки. В последнем случае в системе реализуется локальный стек для записей аудита, переде их отправкой на удаленные сервера, при этом к локальному стеку предъявляются все описанные выше требования.
FAU_STG.1.2	Функции безопасности программного обеспечения должны обнаруживать и предотвращать несанкционированную модификацию хранимых записей в журналах аудита.
FAU_STG.3	Действия в случае возможной потери данных аудита
FAU_STG.3.1	Функции безопасности программного обеспечения должны обеспечить резервное копирование на внешние ресурсы журналов аудита в случае, если журналы аудита превышают допустимое ограничение.		FAU_STG.1 Защищенное хранение журналов аудита.
FAU_STG.4	Предотвращение потери данных аудита
FAU_STG.4.1	Функции безопасности программного обеспечения должны обеспечить удаление самой старой (по временному параметру) записи аудита и записи поверх нее новой при переполнении журнала аудита.		FAU_STG.1 Защищенное хранение журналов аудита.

3.10.6. Класс FCS: Криптографическая защита

Таблица А.5

Идентификатор	Описание	Замечания по применению	Зависимости
FСS_COP.1	Криптографические операции
FCS_COP.1.1	Функции безопасности программного обеспечения должны поддерживать шифрование, расшифрование, контроль целостности и	Криптографические механизмы защиты реализуются в случае предоставления доступа к программному обеспечению или при обмене информацией по открытым каналам связи
	аутентификацию сторон в соответствии с одним из перечисленных криптографических алгоритмов:	(каналам операторов связи сети связи общего пользования), а также в целях взаимной аутентификации с иными информационными системами с отличным от текущей уровнем доверия.
	i) SSH с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве государственных стандартов Российской федерации), в качестве цифровой подписи;
	j) TLS с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве государственных стандартов Российской федерации), в качестве цифровой подписи;
	k) IPSEC с IKE позволяющем применять ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве
	государственных стандартов Российской федерации), в качестве цифровой подписи.
FCS_COP.1.2	Функции безопасности программного обеспечения должны поддерживать технологическую подпись данных и защиту целостности данных с применением криптографических алгоритмов: ГОСТ 34.10, в качестве цифровой подписи и ГОСТ 34.11 в качестве выработки хеш-функции (а также другими действующими на момент применения Требований, принятых в качестве государственных стандартов Российской федерации).

3.10.7. Класс FDP: Защита данных пользователя

Таблица А.6

Идентификатор	Описание	Замечания по применению	Зависимости
FDP_ACC.1	Ограниченное управление доступом
FDP_ACC.1.1	Функции безопасности программного обеспечения должны осуществлять ролевой контроль доступа для:
	- субъектов: пользователи системы, процессы;
	- объектов: данные обрабатываемые программным обеспечением;
	- операций: все реализованные программным обеспечением операции.
FDP_ACF.1	Управление доступом, основанное на атрибутах безопасности
FDP_ACF.1.1	Функции безопасности программного обеспечения должны осуществлять ролевой контроль доступа к объектам основываясь на:
	- атрибутах безопасности субъекта: идентификатор пользователя/процесса, роль пользователя/процесса;
	- атрибутах безопасности объекта: идентификатор объекта, разрешения для объекта.
FDP_ACF.1.2	Функции безопасности программного обеспечения должны реализовать следующие правила определения того, разрешена ли операция управляемого субъекта на управляемом объекте: - субъект должен быть связан с правами доступа к объекту в соответствии с назначенной ролью.
FDP_ACF.1.3	Функции безопасности программного обеспечения должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах:
	- дополнительных правил нет.
FDP_ACF.1.4	Функции безопасности программного обеспечения должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: - если доступ явно не разрешён.		FDP_ACС.1 Ограниченное управление доступом. FMT_MSA.3 Инициализация статических атрибутов.
FDP_IFC.2	Полное управление информационными потоками
FDP_IFC.2.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков для: l) Субъектов: - Неавторизованные внешние по отношению к программному обеспечению сущности (иные информационные системы), которые получают или передают информацию для обработки рассматриваемым программным обеспечением. m) Информации: - [перечень обрабатываемой программным обеспечением информации]. и всеми операциями перемещения управляемой информации к управляемым субъектам, обрабатываемым программным обеспечением, и от них.
FDP_IFC.2.2	Функции безопасности программного обеспечения должны обеспечить, чтобы в программном обеспечении на все операции перемещения информации субъектам и от них распространялась какая-либо функция контроля контроль информационных потоков.		FDP_IFF.1 Простые атрибуты безопасности
FDP_IFF.1	Простые атрибуты безопасности
FDP_IFF.1.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков, основанный на следующих атрибутах безопасности субъектов и информации:
	n) идентификатор пользователя или процесса;
	o) логический или физический сетевой интерфейс, по которому данные загружаются в систему;
	p) атрибуты безопасности стека протоколов TCP/IP:
	- IP адрес источника и назначения
	- порт UDP источника и назначения
	- флаги в заголовках протокола TCP
	q) атрибуты безопасности протокола IEEE 802.1Q VLAN:
	- теги VLAN
FDP_IFF.1.2	Функции безопасности программного обеспечения должны разрешать информационный поток для управляемого субъекта и управляемой информации посредством		FDP_IFC.1 Ограниченное управление информационными потоками FDP_MSA.3 Инициализация статических
	управляемой операции, если заданы правила обмена в следующем формате: [перечень операций - список поддерживаемых отношений, основанный на атрибутах безопасности]		атрибутов
FDP_ITC.2	Импорт данных пользователя с атрибутами безопасности
FDP_ITC.2.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков и управление доступом при импорте данных
	пользователя из иного программного обеспечения.
FDP_ITC.2.2	Функции безопасности программного обеспечения должны использовать атрибуты безопасности, ассоциированные с импортируемыми данными пользователя.
FDP_ITC.2.3	Функции безопасности программного обеспечения должны обеспечить такой протокол интеграции, который предусматривает однозначную ассоциацию между атрибутами безопасности и полученными данными пользователя.
FDP_ITC.2.4	Функции безопасности программного обеспечения должны обеспечить интерпретацию атрибутов безопасности пользователя такой как предусмотрено источником данных пользователя.
FDP_ITT.1	Базовая защита внутренней передачи
FDP_ITT.1.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков и управление доступом, чтобы предотвратить модификацию и недоступность данных при их передаче между физически разделенными компонентами аппаратной платформы, на которой функционирует программное обеспечение.
FDP_ROL.2	Расширенный откат к исходному состоянию
FDP_ROL.2.1	Функции безопасности программного обеспечения должны осуществлять управление доступом для разрешения
	возврата (отката) всех операций к определенному начальному состоянию.
FDP_SDI.2	Мониторинг целостности хранимых данных и предпринимаемые действия
FDP_SDI.2.1	Функции безопасности программного обеспечения должны контролировать данные, хранимые в местах хранения,
	контролируемых программным обеспечением, на наличие ошибок контрольных сумм для всех объектов.
FDP_SDI.2.2	При обнаружении ошибки целостности данных функции безопасности программного обеспечения должны обеспечить загрузку данных по умолчанию (эталонных).

3.10.8. Класс FIA: Идентификация и аутентификация

Таблица А.7

Идентификатор	Описание	Замечания по применению	Зависимости
FIA_AFL.1	Обработка отказов аутентификации
FIA_AFL.1.1	Функции безопасности программного обеспечения должны обнаруживать, когда
	произойдет три неуспешных попыток аутентификации, относящихся к вводу пароля пользователя.
FIA_AFL.1.2	При достижении определенного числа неуспешных попыток		FIA_UAU.1 Выбор момента аутентификации
	аутентификации функции безопасности программного обеспечения должны выполнить блокировку доступа пользователям на 30 минут.
FIA_ATD.1	Определение атрибутов пользователя
FIA_ATD.1.1	Функции безопасности программного обеспечения должны поддерживать для каждого пользователя следующий список атрибутов безопасности:
	- роль пользователя;
	- сертификат пользователя выданный доверенной стороной;
	- иные атрибуты определенные в рамках Задания по безопасности на конкретное программное обеспечение.
FIA_SOS.1	Верификация секретов
FIA_SOS.1.1	Функции безопасности должны предоставить механизм для верификации того, что секреты отвечают следующей метрике:
	- вероятность того, что секрет может быть обнаружен нарушителем в течение существования секрета меньше чем 2^-20.
FIA_UAU.2	Аутентификация до любых действий пользователя
FIA_UAU.2.1	Функции безопасности должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве Функций безопасности от имени этого пользователя.		FIA_UID.1 Выбор момента идентификации.
FIA_UID.2	Идентификация до любых действий пользователя
FIA_UID.2.1	Функции безопасности программного обеспечения должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого действия, выполняемого при посредничестве функций безопасности от имени этого пользователя.
FIA_USB.1	Связывание "пользователь-субъект"
FIA_USB.1.1	Функции безопасности программного обеспечения должны ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя.

3.10.9. Класс FMT: Управление безопасностью

Таблица А.8

Идентификатор	Описание	Замечания по применению	Зависимости
FMT_MSA.1	Управление атрибутами безопасности
FMT_MSA.1.1	Функции безопасности программного обеспечения должны осуществлять управление доступом, основанное на ролях, чтобы ограничить возможность модификации, изменения значений по умолчанию атрибутов безопасности объектов программного обеспечения, только владельцам объектов.		FDP_ACC.1 Ограниченное управление доступом или FDP_IFC.1 Ограниченное управление информационными потоками. FMT_SMR.1 Роли безопасности.
FMT_MSA.3	Инициализация статических атрибутов
FMT_MSA.3.1	Функции безопасности должны осуществлять управление доступом, основанное на ролях, чтобы обеспечить ограничительные значения по умолчанию для атрибутов безопасности, которые используются для реализации требований безопасности.
FMT_MSA.3.2	Функции безопасности должны предоставлять возможность уполномоченному пользователю в соответствии с его ролью определять альтернативные начальные значения для отмены значений по умолчанию при создании объекта или информации.		FMT_MSA.1 Управление атрибутами безопасности. FMT_SMR.1 Роли безопасности.
FMT_MTD.1	Управление данными функций безопасности
FMT_MTD.1.1	Функции безопасности программного обеспечения должны ограничивать возможность модификации следующих данных:		FMT_SMR.1 Роли безопасности.
	текущее значение времени, показания счетчиков команд, записи журнала аудита информационной безопасности только администраторам информационной безопасности.
FMT_REV.1	Отмена атрибутов безопасности
FMT_REV.1.1	Функции безопасности программного обеспечения должны предоставлять возможность отмены атрибутов безопасности, ассоциированных с пользователями, субъектами и объектами программного обеспечения для администратора информационной безопасности.
FMT_SMF.1	Спецификация функций управления
FMT_SMF.1.1	Функции безопасности программного обеспечения должны быть способны к выполнению следующих функций управления: резервное копирование конфигурации, загрузка резервной копии конфигурации.
FMT_SMR.1	Роли безопасности
FMT_SMR.1.1	Функции безопасности программного обеспечения должны поддерживать следующие роли по умолчанию:		FIA_UID.1 Выбор момента идентификации.
	- администратор;
	- администратор ИБ;
	- оператор.

3.10.10. Класс FPT: Защита функций безопасности объекта

Таблица А.9

Идентификатор	Описание	Замечания по применению	Зависимости
FPT_STM.1	Надежные метки времени
FPT_STM.1.1	Функции безопасности программного обеспечения должны быть способны предоставлять надежные метки времени для собственного использования.
FPT_ITC.1	Конфиденциальность экспортируемых данных при передаче
FPT_ITC.1.1	Функции безопасности программного обеспечения должны обеспечить конфиденциальность всех данных передаваемых от функций безопасности программного обеспечения другому доверенному программному продукту.
FPT_TDC.1	Базовая согласованность данных функций безопасности объекта между функциями безопасности
FPT_TDC.1.1	Функции безопасности программного обеспечения должны обеспечить способность согласованно интерпретировать типы данных функций безопасности, совместно используемые с другим доверенным программным продуктом.

3.10.11. Класс FTA: Доступ к программному обеспечению

Таблица А.10

Идентификатор	Описание	Замечания по применению	Зависимости
FTA_SSL.1	Блокирование сеанса, инициированное функциями безопасности
FTA_SSL.1.1	Функции безопасности программного обеспечения должны блокировать интерактивный сеанс после 30 минут бездействия пользователя, для чего предпринимаются следующие действия:
	r) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;
	s) блокирование любых действий по доступу к данным
	пользователей/устройствам отображения, кроме необходимых для разблокировки сеанса.
FTA_SSL.2	Блокирование сеанса, инициированное пользователем
FTA_SSL.2.1	Функции безопасности программного обеспечения должны допускать инициированное пользователем блокирование своего интерактивного сеанса, для чего предпринимаются следующие действия:
	t) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;
	u) блокирование любых действий по доступу к данным пользователей/устройствам отображения, кроме необходимых для разблокировки сеанса.

3.11 Требования доверия к безопасности должны быть основаны на ГОСТ Р ИСО/МЭК 15408-3 и образуют оценочный уровень доверия (ОУД) 4 (усиленный) при этом усиление обеспечивается в рамках разработки заданий по безопасности и профилей защиты.

Таблица А.11

Классы доверия	Идентификаторы компонентов доверия	Названия компонентов доверия
Управление конфигурацией (УК)	ACM_AUT.1	Частичная автоматизация УК
	ACM_CAP.4	Поддержка генерации, процедуры приемки
	ACM_SCP.2	Охват УК отслеживания проблем
Поставка и эксплуатация	ADO_DEL.2	Обнаружение модификации
	ADO_IGS.1	Процедуры установки, генерации и запуска
Разработка	ADV_FSP.2	Полностью определенные внешние интерфейсы
	ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня
	ADV_IMP.1	Подмножество реализации ФБО
	ADV_LLD.1	Описательный проект нижнего уровня
	ADV_RCR.1	Неформальная демонстрация соответствия
	ADV_SPM.1	Неформальная модель политики безопасности программного обеспечения
Руководства	AGD_ADM.1	Руководство администратора
	AGD_USR.1	Руководство пользователя
Поддержка жизненного цикла	ALC_DVS.1	Идентификация мер безопасности
	ALC_LCD.1	Определение модели жизненного цикла разработчиком
	ALC_TAT.1	Полностью определенные инструментальные средства разработки
Тестирование	ATE_COV.2	Анализ покрытия
	ATE_DPT.1	Тестирование: проект верхнего уровня
	ATE_FUN.1	Функциональное тестирование
	ATE_IND.2	Выборочное независимое тестирование
Оценка уязвимостей	AVA_MSU.2	Подтверждение правильности анализа
	AVA_SOF.1	Оценка стойкости функции безопасности программного обеспечения
	AVA_VLA.2	Независимый анализ уязвимостей

3.11.12. Класс АСМ: Управление конфигурацией

Таблица А.12

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ACM_AUT.1	Частичная автоматизация УК	ACM_CAP.3	Средства контроля авторизации.	ACM_AUT.1.1D	Разработчик должен использовать систему УК.	ACM_AUT.1.1C	Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации программного обеспечения производятся только санкционированные изменения.	ACM_AUT.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ACM_AUT.1.2D	Разработчик должен представить план УК.	ACM_AUT.1.2C	Система УК должна предоставить автоматизированные средства для поддержки генерации программного обеспечения.
						ACM_AUT.1.3C	План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.
						ACM_AUT.1.4C	План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.
ACM_CAP.4	Поддержка генерации, процедуры приемки	ACM_SCP.1	Охват УК объекта оценки,	ACM_CAP.4.1D	Разработчик должен предоставить маркировку для программного обеспечения	ACM_CAP.4.1C	Маркировка программного обеспечения должна быть уникальна для каждой версии программного обеспечения.	ACM_CAP.4.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ALC_DVS.1	Идентификация мер безопасности.	ACM_CAP.4.2D	Разработчик должен использовать систему УК.	ACM_CAP.4.2C	Программное обеспечение должно быть помечено маркировкой.
				ACM_CAP.4.3D	Разработчик должен представить документацию УК.	ACM_CAP.4.3C	Документация УК должна включать в себя список конфигурации, план УК и план приемки.
						ACM_CAP.4.4C	Список конфигурации должен содержать описание элементов конфигурации, входящих в программное обеспечение.
						ACM_CAP.4.5C	Документация УК должна содержать описание метода, используемого для уникальной
							идентификации элементов конфигурации.
						ACM_CAP.4.6C	Система УК должна уникально идентифицировать все элементы конфигурации.
						ACM_CAP.4.7С	План УК должен содержать описание, как используется система УК.
						ACM_CAP.4.8С	Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
						ACM_CAP.4.9С	Документация УК должна содержать свидетельство, что система УК
							действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
						ACM_CAP.4.10С	Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
						ACM_CAP.4.11C	Система УК должна поддерживать генерацию программного обеспечения.
						ACM_CAP.4.12C	План приемки должен содержать описание процедур, используемых для приемки модифицированного или вновь созданного элемента конфигурации как части программного обеспечения.
ACM_SCP.2	Охват УК отслеживания проблем	ACM_CAP.3	Средства контроля авторизации.	ACM_SCP.3.1D	Разработчик должен представить документацию УК.	ACM_SCP.2.1C	Документация УК должна показать, что система УК, как минимум, отслеживает: представление реализации программного обеспечения, проектную документацию, тестовую документацию, документацию пользователя,	ACM_SCP.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
							документацию администратора, документацию УК и недостатки безопасности.

3.11.13. Класс ADO: Поставка и эксплуатация

Таблица А.13

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ADO_DEL.2	Обнаружение модификации	ACM_CAP.3	Средства контроля авторизации.	ADO_DEL.2.1D	Разработчик должен документировать процедуры поставки программного обеспечения или его частей пользователю.	ADO_DEL.2.1C	Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий к местам использования.	ADO_DEL.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ADO_DEL.2.2	Разработчик должен использовать процедуры поставки.	ADO_DEL.2.2C	Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают обнаружение модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.
						ADO_DEL.2.3C	Документация поставки должна содержать описание, как различные процедуры позволяют обнаружить попытку подмены от имени
							разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.
ADO_IGS.1	Процедуры установки, генерации и запуска	AGD_ADM.1	Руководство администратора.	ADO_IGS.1.1D	Разработчик должен задокументировать процедуры, необходимые для безопасной установки, генерации и запуска программного обеспечения.	ADO_IGS.1.1C	Документация должна содержать описание последовательности действий, необходимых для безопасной установки, генерации и запуска программного обеспечения.	ADO_IGS.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
								ADO_IGS.1.2E	Оценщик должен сделать независимое заключение, что процедуры установки, генерации и запуска приводят к безопасной конфигурации.

3.11.14. Класс ADV: Разработка

Таблица А.14

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ADV_FSP.2	Полностью определенные внешние интерфейсы	ADV_RCR.1	Неформальная демонстрация соответствия.	ADV_FSP.2.1D	Разработчик должен представить функциональную спецификацию.	ADV_FSP.2.1C	Функциональная спецификация должна содержать неформальное описание функций	ADV_FSP.2.1E	Оценщик должен подтвердить, что представленная информация
							безопасности программного обеспечения (ФБО) и их внешних интерфейсов.		удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						ADV_FSP.2.2C	Функциональная спецификация должна быть внутренне непротиворечивой.	ADV_FSP.2.2E	Оценщик должен сделать независимое заключение, что функциональная спецификация - точное и полное отображение функциональных требований безопасности программного обеспечения.
						ADV_FSP.2.3C	Функциональная спецификация должна содержать описание назначения и методов использования всех внешних интерфейсов ФБО, обеспечивая полную детализацию всех результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_FSP.2.4C	Функциональная спецификация должна полностью представить ФБО.
						ADV_FSP.2.5C	Функциональная спецификация должна включать в себя
							логическое обоснование, что ФБО полностью представлены.
ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня	ADV_FSP.1	Неформальная функциональная спецификация,	ADV_HLD.3.1D	Разработчик должен представить проект верхнего уровня функций безопасности программного обеспечения.	ADV_HLD.2.1C	Представление проекта верхнего уровня должно быть неформальным.	ADV_HLD.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия.			ADV_HLD.2.2C	Проект верхнего уровня должен быть внутренне непротиворечивым.	ADV_HLD.2.2E	Оценщик должен сделать независимое заключение, что проект верхнего уровня - точное и
									полное отображение функциональных требований безопасности программного обеспечение.
						ADV_HLD.2.3C	Проект верхнего уровня должен содержать описание структуры Функций безопасности в терминах подсистем безопасности.
						ADV_HLD.2.4C	Проект верхнего уровня должен содержать описание функциональных возможностей
							безопасности, предоставленных каждой подсистемой программного обеспечения.
						ADV_HLD.2.5C	Проект верхнего уровня должен идентифицировать все базовые аппаратные, программно-аппаратные и/или программные средства, требуемые для реализации функций безопасности.
						ADV_HLD.2.6C	Проект верхнего уровня должен идентифицировать все
							интерфейсы для подсистем безопасности.
						ADV_HLD.2.7C	Проект верхнего уровня должен идентифицировать, какие из интерфейсов подсистем безопасности являются видимыми извне программного обеспечения.
						ADV_HLD.2.8C	Проект верхнего уровня должен содержать описание назначения и методов использования всех интерфейсов подсистем
							безопасности, обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_HLD.2.9C	Проект верхнего уровня должен содержать описание разделения программного обеспечения на подсистемы, осуществляющие политику безопасности, и прочие.
ADV_IMP.1	Подмножество реализации ФБО	ADV_LLD.1	Описательный проект нижнего уровня,	ADV_IMP.1.1D	Разработчик должен обеспечить представление реализации для выбранного подмножества функций безопасности.	ADV_IMP.1.1C	Представление реализации должно однозначно определить функции безопасности программного обеспечения на таком уровне детализации, что они могут быть созданы без дальнейших проектных решений.	ADV_IMP.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия,			ADV_IMP.1.2C	Представление реализации должно быть внутренне непротиворечивым.	ADV_IMP.1.2E	Оценщик должен сделать независимое заключение, что наименее абстрактное представление
									функций безопасности - точное и полное отображение функциональных требований безопасности к программному обеспечению.
		ALC_TAT.1	Полностью определенные инструментальные средства разработки.
ADV_LLD.1	Описательный проект нижнего уровня	ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего	ADV_LLD.1.1D	Разработчик должен представить проект нижнего уровня функций	ADV_LLD.1.1C	Представление проекта нижнего уровня должно быть неформальным.	ADV_LLD.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет.
			уровня		безопасности.				всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия.			ADV_LLD.1.2C	Проект нижнего уровня должен быть внутренне непротиворечивым.	ADV_LLD.1.2E	Оценщик должен сделать независимое заключение, что проект нижнего
									уровня - точное и полное отображение функциональных требований безопасности к программному обеспечению.
						ADV_LLD.1.3C	Проект нижнего уровня должен содержать описание функций безопасности в терминах модулей.
						ADV_LLD.1.4C	Проект нижнего уровня должен содержать описание назначения каждого модуля.
						ADV_LLD.1.5C	Проект нижнего уровня должен определить взаимосвязи между модулями в терминах предоставляемых функциональных возможностей
							безопасности и зависимостей от других модулей.
						ADV_LLD.1.6C	Проект нижнего уровня должен содержать описание, как предоставляется каждая из функций, осуществляющих политики безопасности.
						ADV_LLD.1.7C	Проект нижнего уровня должен идентифицировать все интерфейсы модулей безопасности.
						ADV_LLD.1.8C	Проект нижнего уровня должен идентифицировать, какие из интерфейсов модулей безопасности являются видимыми извне.
						ADV_LLD.1.9C	Проект нижнего уровня должен содержать описание назначения и методов использования всех интерфейсов модулей безопасности, предоставляя, при необходимости, детализацию
							результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_LLD.1.10C	Проект нижнего уровня должен содержать описание разделения программного обеспечения на модули, осуществляющие политики безопасности, и прочие.
ADV_RCR.1 (1)	Неформальная демонстрация соответствия			ADV_RCR.1.1D	Разработчик должен представить анализ соответствия между всеми смежными парами имеющихся представлений функций безопасности.	ADV_RCR.1.1C	Для каждой смежной пары, имеющихся представлений безопасности, анализ должен демонстрировать, что все функциональные возможности более абстрактного представления функций безопасности, правильно и полностью уточнены в менее абстрактном представлении функций безопасности.	ADV_RCR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ADV_RCR.1(2)	Неформальная демонстрация соответствия			ADV_RCR.1.1D	Разработчик должен представить анализ соответствия между исходными текстами программного обеспечения и его объектным (загрузочным) кодом.	ADV_RCR.1.1C	Для смежной пары представлений функций безопасности, указанных в ADV_RCR.1.1D, анализ должен демонстрировать, что все функциональные возможности более абстрактного представления функций безопасности, правильно и полностью уточнены в менее абстрактном представлении функций безопасности	ADV_SPM.1.1Е	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
								ADV_RCR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ADV_SPM.1	Неформальная модель политики безопасности ОО	ADV_FSP.1	Неформальная функциональная спецификация.	ADV_SPM.1.1D	Разработчик должен представить модель политики безопасности.	ADV_SPM.1.1C	Модель политики безопасности должна быть неформальной.
				ADV_SPM.1.2D	Разработчик должен продемонстрировать или доказать, где это требуется, соответствие между функциональной спецификацией и моделью политики безопасности.	ADV_SPM.1.2C	Модель политики безопасности должна содержать описание правил и характеристик всех политик, которые могут быть смоделированы.
						ADV_SPM.1.3C	Модель политики безопасности должна включать в себя логическое обоснование, которое демонстрирует, что она согласована и полна относительно
							всех политик безопасности, которые могут быть смоделированы.
						ADV_SPM.1.4C	Демонстрация соответствия между моделью политики безопасности и функциональной спецификацией должна показать, что все функции безопасности в функциональной спецификации являются непротиворечивыми и полными относительно модели политики безопасности.

3.11.15. Класс AGD: Руководства

Таблица А.15

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
AGD_ADM.1	Руководство администратора	ADV_FSP.1	Неформальная функциональная спецификация.	AGD_ADM.1.1D	Разработчик должен представить руководство администратора, предназначенное для персонала системного администрирования	AGD_ADM.1.1C	Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору программного обеспечения.	AGD_ADM.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						AGD_ADM.1.2C	Руководство администратора должно содержать описание того, как управлять программным обеспечением безопасным способом.
						AGD_ADM.1.3C	Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
						AGD_ADM.1.4C	Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией программного обеспечения.
						AGD_ADM.1.5C	Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором информационной безопасности, указывая, при необходимости, безопасные значения.
						AGD_ADM.1.6C	Руководство администратора должно содержать описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение
							характеристик безопасности сущностей, контролируемых функциями безопасности программного обеспечения.
						AGD_ADM.1.7C	Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.
						AGD_ADM.1.8C	Руководство администратора должно содержать описание всех требований безопасности к среде ИТ, которые относятся к администратору.
AGD_USR.1	Руководство пользователя	ADV_FSP.1	Неформальная функциональная спецификация.	AGD_USR.1.1D	Разработчик должен представить руководство пользователя.	AGD_USR.1.1C	Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям программного обеспечения, не связанным с администрированием.	AGD_USR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						AGD_USR.1.2C	Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых программным обеспечением.
						AGD_USR.1.3C	Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
						AGD_USR.1.4C	Руководство пользователя должно четко представить все обязанности пользователя, необходимые для безопасной эксплуатации программного обеспечения, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности программного обеспечения.
						AGD_USR.1.5C	Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.
						AGD_USR.1.6C	Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ, которые имеют отношение к пользователю.

3.11.16. Класс ALC: Поддержка жизненного цикла

Таблица А.16

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ALC_DVS.1	Идентификация мер безопасности			ALC_DVS.1.1D	Разработчик должен иметь документацию по безопасности разработки.	ALC_DVS.1.1C	Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта программного обеспечения и его реализации в среде разработки.	ALC_DVS.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						ALC_DVS.1.2C	Документация по безопасности разработки должна предоставить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и сопровождения программного обеспечения.	ALC_DVS.1.2E	Оценщик должен подтвердить применение мер безопасности.
ALC_LCD.1	Определение модели жизненного цикла разработчиком			ALC_LCD.1.1D	Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении программного обеспечения.	ALC_LCD.1.1C	Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении программного обеспечения.	ALC_LCD.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ALC_LCD.1.2D	Разработчик должен представить документацию по определению жизненного цикла.	ALC_LCD.1.2C	Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением программного обеспечения.
ALC_TAT.1	Полностью определенные инструментальные средства разработки	ADV_IMP.1	Подмножество реализации функций безопасности.	ALC_TAT.1.1D	Разработчик должен идентифицировать инструментальные средства разработки программного обеспечения.	ALC_TAT.1.1C	Все инструментальные средства разработки, используемые для реализации, должны быть полностью определены.	ALC_TAT.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ALC_TAT.1.2D	Разработчик должен задокументировать выбранные опции инструментальных средств разработки, зависящие от реализации.	ALC_TAT.1.2C	Документация инструментальных средств разработки должна однозначно определить значения всех конструкций языка, используемых в реализации.
						ALC_TAT.1.3C	Документация инструментальных средств разработки должна однозначно определить значения всех опций, зависящих от реализации.

3.11.17. Класс ATE: Тестирование

Таблица А.17

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ATE_COV.2	Анализ покрытия	ADV_FSP.1	Неформальная функциональная спецификация,	ATE_COV.2.1D	Разработчик должен представить анализ покрытия тестами.	ATE_COV.2.1C	Анализ покрытия тестами должен демонстрировать соответствие между тестами, идентифицированными в тестовой документации, и описанием функций безопасности в функциональной спецификации.	ATE_COV.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ATE_FUN.1	Функциональное тестирование.			ATE_COV.2.2C	Анализ покрытия тестами должен демонстрировать полное соответствие между описанием функций безопасности в функциональной спецификации и тестами, идентифицированными в тестовой документации.
ATE_DPT.1	Тестирование: проект верхнего уровня	ADV_HLD.1	Описательный проект верхнего уровня,	ATE_DPT.1.1D	Разработчик должен представить анализ глубины тестирования.	ATE_DPT.1.1C	Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации, что функции безопасности выполняются в соответствии с проектом верхнего уровня.	ATE_DPT.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ATE_FUN.1	Функциональное тестирование.
ATE_FUN.1	Функциональное тестирование			ATE_FUN.1.1D	Разработчик должен протестировать функции безопасности и задокументировать результаты.	ATE_FUN.1.1C	Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.	ATE_FUN.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ATE_FUN.1.2D	Разработчик должен представить тестовую документацию.	ATE_FUN.1.2C	Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей тестирования.
						ATE_FUN.1.3C	Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнения тестов на результаты других тестов.
						ATE_FUN.1.4C	Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.
						ATE_FUN.1.5C	Результаты выполнения тестов разработчиком должны демонстрировать, что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.
ATE_IND.2	Выборочное независимое тестирование	ADV_FSP.1	Неформальная функциональная спецификация,	ATE_IND.2.1D	Разработчик должен представить программное обеспечение для тестирования.	ATE_IND.2.1C	Программное обеспечение должно быть пригодно для тестирования.	ATE_IND.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		AGD_ADM.1	Руководство администратора,			ATE_IND.2.2C	Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании функций безопасности.	ATE_IND.2.2E	Оценщик должен протестировать подмножество функций безопасности, чтобы подтвердить, что программное обеспечение функционирует в соответствии со спецификациями.
		AGD_USR.1	Руководство пользователя,					ATE_IND.2.3E	Оценщик должен выполнить выборку тестов из тестовой документации, чтобы верифицировать результаты тестирования, полученные разработчиком.
		ATE_FUN.1	Функциональное тестирование.

3.11.18. Класс AVA: Оценка уязвимостей

Таблица А.18

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
AVA_MSU.2	Подтверждение правильности анализа	ADO_IGS.1	Процедуры установки, генерации и запуска,	AVA_MSU.2.1	Разработчик должен представить руководства по применению программного обеспечения.	AVA_MSU.2.1C	Руководства должны идентифицировать все возможные режимы эксплуатации программного обеспечения (включая действия после сбоя или ошибки в работе), их последствия и значение для обеспечения безопасной эксплуатации.	AVA_MSU.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_FSP.1	Неформальная функциональная спецификация,	AVA_MSU.2.2D	Разработчик должен задокументировать анализ полноты и непротиворечивости руководств.	AVA_MSU.2.2C	Руководства должны быть полны, понятны, непротиворечивы и обоснованы.	AVA_MSU.2.2E	Оценщик должен повторить все процедуры конфигурирования и установки и выборочно другие процедуры для подтверждения, что программное обеспечение можно безопасно конфигурировать и использовать, применяя только представленные руководства.
		AGD_ADM.1	Руководство администратора,			AVA_MSU.2.3C	Руководства должны содержать список всех предположений относительно среды эксплуатации.	AVA_MSU.2.3E	Оценщик должен сделать независимое заключение, что использование руководств позволяет выявить все опасные состояния.
		AGD_USR.1	Руководство пользователя.			AVA_MSU.2.4C	Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль за процедурами, физическими мерами и персоналом).	AVA_MSU.2.4E	Оценщик должен подтвердить, что документация анализа показывает обеспечение руководствами безопасного функционирования во всех режимах эксплуатации программного обеспечения.
						AVA_MSU.2.5C	Документация анализа должна демонстрировать, что руководства полны.
AVA_SOF.1	Оценка стойкости функции безопасности ОО	ADV_FSP.1	Неформальная функциональная спецификация,	AVA_SOF.1.1D	Разработчик должен выполнить анализ стойкости функции безопасности программного обеспечения для каждого механизма, идентифицированного в задании по безопасности как имеющего утверждение относительно стойкости функции безопасности программного обеспечения.	AVA_SOF.1.1C	Для каждого механизма, имеющего утверждение относительно стойкости функции безопасности программного обеспечения, анализ должен показать, что ее стойкость достигает или превышает минимальный уровень стойкости, определенный в настоящих требованиях.	AVA_SOF.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_HLD.1	Описательный проект верхнего уровня.			AVA_SOF.1.2C	Для каждого механизма, имеющего утверждение относительно конкретной стойкости функции безопасности программного обеспечения, анализ должен показать, что ее стойкость достигает или превышает конкретный показатель, определенный в настоящих требованиях.	AVA_SOF.1.2E	Оценщик должен подтвердить, что утверждения относительно стойкости корректны.
AVA_VLA.2	Независимый анализ уязвимостей	ADV_FSP.1	Неформальная функциональная спецификация,	AVA_VLA.2.1D	Разработчик должен выполнить и задокументировать анализ поставляемых материалов программного обеспечения по поиску путей, которыми пользователь может нарушить политики безопасности.	AVA_VLA.2.1C	Документация должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования программного обеспечения.	AVA_VLA.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня	AVA_VLA.2.2D	Разработчик должен задокументировать местоположение идентифицированных уязвимостей.	AVA_VLA.2.2C	Документация должна содержать строгое обоснование, что программное обеспечение с идентифицированными уязвимостями является стойким к явным нападениям проникновения.	AVA_VLA.2.2E	Оценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета идентифицированных уязвимостей.
		ADV_IMP.1	Подмножество реализации функций безопасности					AVA_VLA.2.3E	Оценщик должен выполнить независимый анализ уязвимостей, основываясь, в том числе, на результатах:
		ADV_LLD.1	Описательный проект нижнего уровня						- контроля связей функциональных объектов (модулей, процедур, функций) по управлению и по информации;
		AGD_ADM.1	Руководство администратора						- контроля информационных объектов различных типов,
		AGD_USR.1	Руководство пользователя.						- формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);
									- контроля выполнения функциональных объектов (процедур, функций);
									- сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных при формировании перечня маршрутов выполнения функциональных объектов.
								AVA_VLA.2.4E	Оценщик должен выполнить независимое тестирование проникновения, основанное на независимом анализе уязвимостей, и сделать независимое заключение о возможности использования дополнительно идентифицированных уязвимостей в предполагаемой среде.
								AVA_VLA.2.5E	Оценщик должен сделать независимое заключение, что программное обеспечение является стойким к нападениям проникновения, выполняемым нарушителем, обладающим средним и высоким потенциалом нападения.

3.12 Соответствие функциональных требований безопасности целям безопасности

Таблица А.19

Функциональные требования безопасности	Цели безопасности
FAU_ARP.1	O.AUDITING
FAU_GEN.1	O.AUDITING
FAU_GEN.2	O.AUDITING
FAU_SAA.1	O.AUDITING
FAU_SAR.1	O.AUDITING
FAU_SAR.2	O.AUDITING
FAU_SEL.1	O.AUDITING
FAU_STG.1	O.AUDITING
FAU_STG.3	O.AUDITING
FAU_STG.4	O.AUDITING
FAU_COP.1	O.CRYPTO O.I&A
FDP_ACC.1	O.DACCESS
FDP_ACF.1	O.DACCESS
FDP_IFC.2	O.NFLOW
FDP_IFF.1	O.NFLOW
FDP_ITC.2	O.DACCESS O.SUBJECT O.NFLOW
FDP_ITT.1	O.NFLOW
FDP_RIP.2	O.AUDITING O.CRYPTO O.DACCESS O.SUBJECT O.NFLOW O.I&A
FDP_ROL.2	O.AVAIL
FDP_SDI.1	O.AVAIL
FIA_AFL.1	O.I&A
FIA_ATD.1	O.I&A O.NFLOW
FIA_SOS.1	O.I&A
FIA_UAU.2	O.I&A
FIA_UID.2	O.I&A O.NFLOW
FIA_USB.2	O.I&A
FMT_MSA.1	O.MANAGE
FMT_MSA.3	O.MANAGE
FMT_MTD.1	O.MANAGE
FMT_REV.1	O.MANAGE
FMT_SMF.1	O.MANAGE
FMT_SMR.1	O.MANAGE
FPT_STM.1	O.AUDITING
FPT_TDC.1	O.DACCESS
FPT_ITC.1	O.TRUSTCHAN
FTA_SSL.1	O.I&A
FTA_SSL.2	O.I&A

Контроль достаточности представленных функциональных требований осуществляется применительно для каждой конкретной систем удаленного мониторинга и диагностики технического состояния на жизненном цикле системы.

Проект

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 2016 г. N

Методические указания
по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования

1 Общие положения

1.1 Настоящие Методические указания определяют основные критерии, принципы и методологические подходы, в соответствии с которыми выполняется анализ угроз и определение моделей нарушителей в отношении систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования, эксплуатируемого на объектах электроэнергетики, входящих в топливно-энергетический комплекс.

1.2 Определенные с помощью методических указаний виды угроз и и модели нарушителей должны применяться в качестве исходных данных для проведения категорирования объекта, установленных Правительством Российской Федерации, а также в целях прохождения процедуры сертификации систем удаленного мониторинга и диагностики.

1.3 Применение Методических указаний распространяется на:

- технические средства: программное обеспечение, аппаратные средства, программно-аппаратные комплексы, автоматизированные рабочие места, телекоммуникационное оборудование;

- бизнес-процессы (технологические процессы): оказание услуг, техническое обслуживание и ремонт;

- автоматизированные информационные процессы: средства и технологии передачи информации (протоколы сетевого взаимодействия и информационного обмена, линии связи, программные средства информационного обмена и т. д.), средства сбора и обработки информации, планирования ресурсов предприятий, управления активами и др., базы данных;

- процессы и средства информационной безопасности: процессы и системы разграничения и управления доступом, процессы и системы межсетевого экранирования, процессы и системы обеспечения конфиденциальности, процессы и системы защиты от вредоносного ПО, процессы и системы обеспечения целостности, процессы и системы управления потоками информации, процессы и системы  реагирования  на  инциденты  информационной  безопасности, процессы и системы обеспечения целостности, процессы и системы обеспечения физической безопасности;

- персонал;

- физические свойства компонентов: линии связи, технические средства.

1.4 Методические указания предназначены для применения субъектами электроэнергетики Российской Федерации. Применение Методических указаний для субъектов электроэнергетики ограничено их деятельностью на объектах, расположенных в Российской Федерации, владельцами которых являются организации.

1.5 Используемые в настоящих методических указаниях понятия означают следующее:

«автоматизированная система управления технологическим процессом» - комплекс аппаратных и программных средств, предназначенных для контроля и управления технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными таким технологическим и (или) производственным оборудованием технологическими и (или) производственными процессами;

«автоматизированная система управления» - группа решений технических и программных средств, предназначенных для автоматизации управления оборудованием на промышленных предприятиях;

«базовые функции системы удаленного мониторинга и диагностики технического состояния»  - выполняемые системой операции в соотвествии с её назначением. Базовые функции системы удаленного мониторинга и диагностики включают в себя:

- технологический мониторинг состояния оборудования/объекта;

- прогнозный мониторинг;

- определение остаточного ресурса оборудования/объекта и его деталей.

«безопасность информации (данных)» - состояние защищенности информации (данных), при котором обеспечивается ее (их) конфиденциальность, доступность и целостность;

вирус (компьютерный, программный)» - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

«вредоносное программое обеспечение» - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ресурсы и информацию, хранимую на рессурсах, с целью несанционированного использования или причинения  вреда (нанесения ущерба) владельцу информации, рессурса, путем копирования, искажения, удаления или подмены информации;

«критически важное энергетическое оборудование» - оборудование,  нарушение (или прекращение) функционирования которого приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени;

«демилитаризованная зона» - фрагмент сети, не являющийся полностью доверенным; область в сети, системы в которой отделены от основной части;

«доверие» - основание для уверенности в том, что изделие отвечает целям безопасности;

«доступ к информации» - возможность санкционированного получения информации и ее использования;

«доступность информации» - состояние информации, при котором субъекты, наделенные правом доступа к информации, могут получать его беспрепятственно;

«защищаемая информация» - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

«информационная система» - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

«информационные технологии» - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

«контролируемая зона» - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

«конфиденциальность информации» - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право;

«критичность информации» - качественная характеристика, определяющая ценность информации для пользователя (владельца, собственника информации), для обеспечения функционирования автоматизированной системы, а следовательно, недопустимость ее несанкционированного уничтожения, модификации, блокирования или распространения вне установленной сферы применения;

«маршрутизатор» - специализированный сетевой компьютер, имеющий два или более сетевых интерфейсов и пересылающий пакеты данных между различными сегментами сети.

«несанкционированный доступ к информации» - доступ к информации, осуществляемый с нарушением установленных прав и (или) правил доступа к информации;

«патч» - программное средство, используемое для устранения проблем в программном обеспечении или изменения его функциональности;

«профиль защиты» - независимая от реализации совокупность требований безопасности для некоторой категории изделий, отвечающая специфическим запросам потребителя;

«прикладное программное обеспечение» - программное обеспечение, предназначенное для выполнения прикладных задач, непосредственно направленных на достижение целей создания информационной системы;

«системное программное обеспечение» - комплекс программ, которые обеспечивают управление аппаратными компонентами технических средств и функционирование прикладного ПО;

«система удаленного мониторинга и диагностики технического состояния» - программно-аппаратный комплекс обеспечивающий процесс удаленного наблюдения и контроля за состоянием объекта (действующее оборудование), его диагностирование и прогнозирование изменения технического состояния   на основе собранных данных (исторические данные о состоянии оборудования), и операционных данных, получаемых от систем сбора данных, установленных на оборудовании;

«сегменты системы удаленного мониторинга и диагностики технического состояния» - основные составные части системы, обеспечивающие её полноценное функционирование. Система удаленного мониторинга и диагностики состоит из следующих сегментов:  сбора, хранения и передачи данных (программное и аппаратное обеспечение нижнего уровня, осуществляющее сбор данных с датчиков оборудования, межсетевые экраны, системы хранения данных);  эксплуатации (программное и аппаратное обеспечение среднего уровня, осуществляющее первичную обработку и представление данных, автоматизированные рабочие места эксплуатирующего персонала);  обслуживания (программное и аппаратное обеспечение верхнего уровня, обеспечивающее обработку и представление данных с функциями: прогнозирования, сценарного моделирования, графического представляения технического состояния оборудование, автоматизированны рабочие места эксплуатирующего персонала);

«среда безопасности» - область среды, в пределах которой предусматривается обеспечение необходимых условий для поддержания требуемого режима безопасности изделия;

«тонкий клиент в компьютерных технологиях» - компьютер или программа-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер;

«толстый клиент в компьютерных технологиях» - приложение, обеспечивающее пользователям расширенную функциональность независимо от центрального сервера;

«угроза информационной безопасности» - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальность, доступности и (или) целостности информации;

«удаленный мониторинг и диагностика» - процесс наблюдения и контроля за состоянием объекта путем сбора и хранения данных, средствами специального оборудования с последующей их обработкой автоматизированными средствами,  с целью оценки текущего и прогнозного состояния объекта;

«ущерб» - утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности;

«функция безопасности» - функциональные возможности части или частей изделия информационных технологий, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности;

«целостность информации» - состояние информации, при котором ее модификация осуществляется преднамеренно и только уполномоченными субъектами доступа;

«Data Modification» - модифицирование данных;

«Disaster Recovery Planning» - спланированный, регламентированный и доведенный до сведения потенциальных исполнителей комплекс мер, направленных на восстановление бизнес-процессов при их нарушении вследствие нештатных ситуаций;

«FTP (протокол передачи файлов)» - стандартный протокол, предназначенный для передачи файлов по компьютерным сетям;

«IPSec» - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу;

«OPC технология» - семейство программных технологий, предоставляющих единый интерфейс управления объектами автоматизации и технологическими процессами;

«OPC tunneling» - процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов;

«OSI» - базовая сетевая модель стека сетевых протоколов;

«Poisoning (заражение)» - разновидность сетевой компьютерной атаки типа «человек посередине»;

«Replay» - повторение легальных сессий, атаки повторного воспроизведения;

«SC (System Classification)» - система классификации типов нарушителей;

«SCADA-система (Supervisory Control And Data Acquisition)» - программно-аппаратный комплекс сбора данных и диспетчерского контроля;

«Sniffing (анализатор трафика)» - программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого);

«Spoofing (подмена)» - ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества;

«TCP (протокол управления передачей)» - один из основных протоколов передачи данных интернета, предназначенный для управления передачей данных.

1.6 В качестве показателя актуальности угроз, реализующих идентифицированный риск, применяется качественный подход, основанный на выделении из общего перечня потенциальных угроз безопасности системы, актуальных угроз, с учетом:

- ценности (важности) рассматриваемой системы и ее компонентов;

- существующих уязвимостей системы и их компонентов;

- вероятности их реализации (использования);

- опасности рассматриваемой угрозы с точки зрения потенциальных последствий и деструктивных действий, выполняемых в результате реализации угроз.

1.7 Общая принципиальная схема проведения анализа угроз приведена на рисунке 1.

Рисунок 1 - Общая схема процедуры анализа угроз

1.8 Рассматриваемые угрозы информационной безопасности могут быть реализованы различными источниками угроз. Актуальность потенциальных источников угроз информационной безопасности определяется в рамках выполнения анализа угроз информационной безопасности. Перечень возможных:

- конкуренты;

- зарубежные спецслужбы;

- криминальные элементы (структуры);

- недобросовестные партнеры;

- работники (персонал) предприятий;

- хакеры (злонамеренные высококвалифицированные специалисты информационных технологий, киберпреступники);

- разработчики и производители технических средств и программного обеспечения.

1.9 В рамках Методических указаний не рассматриваются угрозы, связанные с утечкой информации по техническим каналам в силу крайне низкой вероятности возможности их реализации для рассматриваемых объектов защиты. Маловероятность реализации таких угроз обусловлена следующими причинами:

- угрозы утечки акустической (речевой) информации не применимы к рассматриваемым автоматизированным системам ввиду отсутствия голосового ввода информации;

- угрозы утечки видовой информации возможны только с экранов автоматизированных рабочих мест пользователей различных категорий. Так как все автоматизированные рабочие места располагаются в пределах контролируемой зоны, где бесконтрольное пребывание посторонних лиц исключено, то утечка видовой информации не представляется возможной. В связи с чем, угрозы утечки видовой информации не применимы и не рассматриваются;

- угрозы утечки информации по каналам побочных электромагнитных излучений и наводок возможны. Однако, с учетом отсутствия специальных требований по защите конфиденциальной информации перехват информации с использованием специализированных средств маловероятен и нецелесообразен;

- угрозы перехвата и регистрации побочных электромагнитных полей и электрических сигналов, возникающих при обработке и передаче информации техническими средствами, входящими в состав информационно-телекоммуникационной инфраструктуры, также маловероятны в связи с отсутствием специальных требований по защите конфиденциальной информации, для которой было бы целесообразно применять специализированные средства перехвата.

Применение специальных средств электромагнитного воздействия, превышающего устойчивость технических средств к электромагнитным помехам не целесообразно с учетом локальности воздействия (невозможно повлиять таким способом на технологический процесс в целом).

2 Рассматриваемые угрозы информационной безопасности

2.1 Рассматриваемые в рамках Методических указаний деструктивные действия следующие в соответствии с обозначениями в таблице 1:

1. Несанкционированное копирование информации;

2. Уничтожение информации (носителя информации);

3. Модификация информации (навязывание ложной информации);

4. Блокирование информации;

5. Перехват информации (при ее передаче по каналам связи);

6. Разглашение информации персоналом;

7. Хищение носителя информации;

8. Нанесение ущерба здоровью персонала и окружающим людям;

9. Нанесение ущерба окружающей среде;

10. Физическое повреждение объекта защиты;

11. Блокирование контроля над объектом защиты.

Таблица А.20 - Соответствие деструктивных действий угрозам ИБ

Код	Угроза информационной безопасности	Деструктивное действие
		1	2	3	4	5	6	7	8	9	10	11
УФД1	Физического проникновения на территорию без возможности проникновения в помещения с техническими средствами обработки, носителями информации, энергоустановок		+								+	+
УФД2	Хищения носителя информации, средств обработки информации (процессора, микросхемы, контроллеров, серверов и т.п.), средств коммуникации (маршрутизатора, коммутатора, сетевой карты, модема и т.п.), средств ввода вывода информации (клавиатура и т.п.)	+	+	+	+			+				+
УФД3	Уничтожения носителя информации, средств обработки информации (процессора, микросхемы, контроллеров, серверов и т.п.), средств коммуникации (маршрутизатора, коммутатора, сетевой карты, модема и т.п.), средств ввода вывода информации (клавиатура и т.п.)		+									+
УФД4	Потеря носителя информации	+	+		+							+
УФД5	Чтения информации с устройств отображения						+
УФД6	Повреждение оборудования и/или линий связи				+						+	+
УФД7	Навязывание ложной информации на уровне конечного оборудования или линий связи (при обмене данными между датчиками и контроллерами, между контроллерами и автоматизированной системы управления)			+	+							+
УФД8	Съем информации с конечного оборудования или линий связи (датчиков, контроллеров)	+				+
УФД9	Захват объекта защиты, установление над объектом защиты контроля силой или угрозой применения силы, или путем любой другой формы запугивания								+			+
УФД10	Разрушение объекта защиты или нанесение объекту защиты, здоровью персонала и другим лицам повреждений путем взрыва (обстрела)								+		+	+
УФД11	Размещение и(или) совершение действий в целях размещения каким бы то ни было способов на объекте защиты взрывных устройств (взрывчатых веществ)								+		+	+
УФД12	Загрязнение объекта защиты опасными веществами, угрожающих жизни и здоровью персонала и других лиц								+	+
УНДА1	Подбора пароля BIOS или системного программного обеспечения контроллера путем перебора вручную на основе предварительно собранных данных о пользователе	+		+
УНДА2	Обхода заданного пароля BIOS или системного программного обеспечения контроллера (воздействие на аппаратное обеспечение)	+		+
УНДАЗ	Загрузки альтернативной операционной системы с нештатного носителя	+		+	+
УНДБ1	Подбора пароля доступа (администратора) в операционную систему компьютера или к системному программному обеспечению контроллера с использованием заданных по умолчанию значений («заводских» паролей)	+		+	+
УНДБ 1.2	Подбора пароля доступа (администратора) в операционную систему компьютера или к системному программному обеспечению контроллера посредством перебора различных вариантов	+		+
УНДВ	Подбора пароля доступа (администратора) в операционную систему компьютера посредством специализированного программного обеспечения	+		+								+
УНДГ1	Выявления пароля BIOS при загруженной операционной системы, посредством использования программ выявления пароля	+		+
УНДГ2	Выявления пароля доступа других пользователей при загруженной операционной системы (декодирование, из оперативной памяти, копирование хранилищ)	+		+
УНДГЗ	Создания новой учетной записи с расширенными привилегиями	+		+								+
УНДГ4	Уничтожения системного реестра, обнуление памяти контроллера				+							+
УНДГ5	Редактирования системного реестра с целью нарушения работоспособности операционной системы и/или прикладного программного обеспечения	+		+	+							+
УНДГ6	Использование стороннего программного обеспечения с целью несанкционированного воздействия на объект защиты	+		+	+							+
УНДГ6.4	Заражение вредоносным программным обеспечением автоматизированных рабочих мест, серверов, контроллеров	+	+	+	+							+
УНДГ7	Перезагрузки операционной системы с целью загрузки альтернативной операционной системы с нештатного носителя для расширения привилегий	+		+	+							+
УНДГ8	Копирования информации на нештатные носители информации	+
УНДГ9	Модификации информации			+
УНДГ10	Уничтожения (стирания) информации		+		+							+
УНДГ11	Уничтожения информации путем форматирования носителей информации		+									+
УУДА1	Сканирования сегмента сети с целью сбора информации	+
УУДБ1	Удаленного подбора пароля (администратора) посредством ввода имени и пароля, заданных по умолчанию для используемой операционной системы	+		+
УУДБ1.2	Удаленного подбора имени и пароля (администратора) посредством перебора	+		+	+							+
УУДБ2	Удаленного подбора пароля (пользователя)	+
УУДБЗ	Получения доступа к программам удаленного администрирования	+		+	+							+
УУДБ4	Внедрения ложного доверенного объекта	+		+	+							+
УУДБ5	Угрозы удаленного перехвата внешнесегментного сетевого трафика	+				+
УУДБ5.3	Удаленный перехват аутентификационной информации, передаваемой в открытом виде	+
УУДВ2	Переполнения буфера с запуском исполняемого кода	+		+	+
УУДВ10	Перенаправления сетевого трафика	+		+		+
УУДГ	Атаки на узлы, подключенные к сети Интернет	+	+	+	+							+
УУДД	Угрозы отказа в обслуживании (DoS)				+							+
УУДЕ1	Обход межсетевого экрана посредством инкапсуляции данных в заголовки пакетов протокола обмена сообщениями	+		+	+							+
УМУ1	Хищение мобильного устройства	+
УМУ2	Потеря мобильного устройства	+
УМУ3	Несанкционированное считывание информации с дисплея мобильного устройства	+
УМУ4	Внедрение вредоносного программного обеспечения на мобильное устройство	+		+
УМУ5	Перехват паролей/хэшей паролей при доступе с мобильного устройства через незащищенные сети, а также использование мобильного устройства в незащищенных сетях	+			+
УМУ6	Выявление хранящихся на мобильном устройстве паролей/хэшей паролей	+			+
УО 1	Ошибки при проектировании программных средств	+	+	+	+							+
УО 2	Ошибки при проектировании технических средств	+	+	+	+							+
УО З	Ошибки при изготовлении программных средств	+	+	+	+
УО 4	Ошибки при изготовлении технических средств	+	+	+	+
УО 5	Ошибки при эксплуатации технических средств	+	+	+	+							+
УО 6	Ошибки при эксплуатации программных средств	+	+	+	+							+
УТХ 1	Сбои, отказы технических средств				+							+
УТХ 2	Сбои, отказы программных средств				+							+
УБИЛ 80	Отказа подсистемы обеспечения температурного режима		+								+	+
УБИЛ 82	Физическое устаревание аппаратных компонентов											+

3 Определение степени важности информации

3.1 В соответствии с «Методикой определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержденной ФСТЭК России, степень важности обрабатываемой информации определяется по таблице А.21.

Таблица А.21 -  Определение степени важности информации

Свойство безопасности	Степень важности	Определение
Целостность	1 степень	В системе обрабатывается информация, нарушение целостности которой недопустимо, так как исключает возможность выполнения оператором и (или) системой удаленного мониторинга и диагностики в целом своих функциональных и других задач или приводит к некорректной и недопустимой работе сегмента или системы в целом
	2 степень	В системе обрабатывается информация, нарушение целостности которой нежелательно, так как приводит к временной задержке выполнения оператором и (или) системой удаленного мониторинга и диагностики в целом своих функциональных и других задач или нежелательной некорректной работе компонентов системы
	3 степень	В системе обрабатывается информация, нарушение целостности которой не является существенным для оператора, системы удаленного мониторинга и диагностики в целом и(или) для корректного функционирования компонентов системы
Конфиденциальность	1 степень	В системе обрабатывается информация, нарушение конфиденциальности которой приводит к выходу из строя сегмента или системы в целом
	2 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к выходу из строя отдельных подсистем, обеспечивающих ее штатное функционирование
	3 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к выходу из строя отдельных подсистем, оказывающих влияние на характеристики ее функционирования
	4 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к отказу отдельных подсистем, обеспечивающих ее штатное функционирование
	5 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к отказу отдельных подсистем, оказывающих влияние на характеристики ее функционирования
Доступность	1 степень	В системе обрабатывается информация, нарушение доступности которой недопустимо, в независимости от времени восстановления, т.к. приводит к недопустимым нарушениям в работе пользователей (операторов), компонент сегмента и (или) системы удаленного мониторинга и диагностики в целом
	2 степень	В системе обрабатывается информация, нарушение доступности которой нежелательно, так как приводит к задержке выполнения пользователем (оператором) и(или) системой удаленного мониторинга и диагностики в целом своих задач
	3 степень	В системе обрабатывается информация, нарушение доступности которой не является существенным для пользователя (оператора) и (или) системы удаленного мониторинга и диагностики в целом

4 Идентификация уязвимостей компонентов

4.1 Идентификация уязвимостей компонентов систем удаленного мониторинга и диагностики технического состояния осуществляется с применением следующих основных подходов:

- оценка существования потенциальных уязвимостей в компонентах систем на основе заполнения общего опросного листа путем интервьюирования и/или анкетирования отвечающего за эксплуатацию системы удаленного мониторинга и диагностики персонала;

- анализ конфигурации компонентов системы удаленного мониторинга и диагностики (операционные системы, средства защиты информации, сетевое оборудование, системы управления базами данных) на предмет соответствия рекомендациям производителей;

- наблюдение экспертами, выполняющих работы по оценке рисков информационной безопасности, за деятельностью по реализации технологических процессов в системе удаленного мониторинга и диагностики и процессов обеспечения информационной безопасности.

4.2 Анализ уязвимостей взаимодействия между компонентами проводится с учетом специфики используемых протоколов.

4.3 Рассматриваются следующие атаки на каналы передачи информации:

- на прикладном уровне (Spoofing, Poisoning): подмена доверенного объекта и подмена сообщения;

- на канальном уровне (Sniffing, Data Modification, Replay): несанкционированное прослушивание (получение доступа к передаваемой информации), модификация передаваемой информации, атаки повторного воспроизведения.

При этом рассматриваются следующие потенциальные объекты атак (каналы передачи информации):

- серверами автоматизированной системы управления и серверами системы удаленного мониторинга и диагностики нижнего уровня;

- взаимодействие между серверами системы удаленного мониторинга и диагностики нижнего уровня и автоматизированным рабочим местом эксплуатационного персонала;

- взаимодействие между серверами системы удаленного мониторинга и диагностики верхнего и нижнего уровней;

- взаимодействие между сервером системы удаленного мониторинга и диагностики верхнего уровня и прикладным программным обеспечением (средства обработки архивных данных и разработки математических моделей);

- взаимодействие между сервером системы удаленного мониторинга и диагностики верхнего уровня, ЭВМ операторов и аналитиков.

4.4 При идентификации и анализе уязвимостей компонентов типовых систем удаленного мониторинга и диагностики технического состояния                       и моделировании угроз, существенное внимание должно быть уделено уязвимостям, выявленным на транспортном и сетевом уровнях классической модели OSI (протоколы IPSec, TCP и FTP), уязвимостям, характерным для семейства протоколов OPC, отвечающих за управление объектами автоматизации и технологическими процессами, а также уязвимостям операционных систем.

4.5 Классические атаки вследствие использования стека протокола IPSec:

- атаки типа «человек посередине»;

- атаки типа «отказ в обслуживании»;

- возможность получения прав администратора;

- возможность нарушения конфиденциальности, целостности, доступности защищаемой информации.

4.6 Классические атаки вследствие использования стека протоколов ТСР:

- атаки типа «отказ в обслуживании»;

- атаки типа «инъекция данных»;

- возможность сканирования портов.

4.7 Классические атаки вследствие использования стека протоколов OPC:

- атаки типа «отказ в обслуживании»;

- атаки через неизвестные или неклассифицированные вектора (unknown vectors, unspecified vector).

4.8 Классические атаки вследствие использования стека протоколов FTP:

- атаки, направленные на получение злоумышленниками прав администратора;

- атаки типа «отказ в обслуживании»;

- атаки, связанные с выполнением произвольного кода;

- возможность получения прав администратора.

4.9 Классические атаки вследствие использования серверами системы удаленного мониторинга и диагностики программного обеспечения                 MS Windows:

- атаки, связанные с выполнением злоумышленникам произвольного кода;

- атаки, связанные с повышением злоумышленниками своих привилегий;

- атаки типа «отказ в обслуживании»;

- атаки, связанные с возможностью обхода процедуры аутентификации;

- атаки, позволяющие нарушителю получить доступ к защищаемой информации;

- атаки, позволяющие нарушителю обойти механизмы доверенной загрузки.

4.10 Должен рассматриваться весь комплекс типовых уязвимости для различных компонентов систем:

Таблица А.22 -  Перечень рассматриваемых уязвимостей

№ п\п	Уязвимость
1	Среда и инфраструктура
1.1	Отсутствие физической защиты зданий, дверей и окон
1.2	Неправильное или халатное использование физических средств управления доступом в здания, помещения, к энергоустановкам
1.3	Нестабильная работа электросети собственных нужд
1.4	Отсутствие системы обеспечения аварийного электропитания оборудования
1.5	Отсутствие средств пожарной сигнализации
1.6	Отсутствие средств пожаротушения
1.7	Размещение в зонах возможного затопления компонентов систем или энергоустановок
2	Линии связи и сетевые подключения
2.1	Незащищенные линии связи
2.2	Неудовлетворительная стыковка кабелей, спайка оптоволоконных линий
2.3	Отсутствие идентификации и/или аутентификации отправителя и получателя в прикладном программном обеспечении
2.4	Подмена данных
2.5	Отказ в обслуживании
2.6	Несанкционированный доступ к каналам связи
2.7	Перехват информации
2.8	Получение несанкционированного доступа к учётной информации (учетные данные пользователей, конфигурационные файлы и прочее)
2.9	Получение несанкционированного доступа
2.10	Коммутируемые линии связи и/или использование сотовых сетей передачи информации
2.11	Незащищенные потоки конфиденциальной информации
2.12	Незащищенные подключения к сетям общего пользования
3	Сетевое оборудование
3.1	Неадекватное управление сетью (недостаточная гибкость маршрутизации)
3.2	Ошибки конфигурации сетевых устройств
3.3	Отсутствие обновлений и патчей на сетевом оборудовании
3.4	Неправильная сетевая топология (например, использование «плоских» локальных сетей)
3.5	Использование слабых паролей, «паролей по умолчанию» или ненадежных механизмов аутентификации на сетевом оборудовании
3.6	Отказ системы вследствие отказа одного из элементов телекоммуникационного оборудования или агрегирующего контроллера (возможна, например, угроза сбоев в функционировании услуг связи)
4	Аппаратное обеспечение
4.1	Отсутствие схем периодической замены оборудования системы удаленного мониторинга и диагностики
4.2	Подверженность колебаниям напряжения оборудования системы удаленного мониторинга и диагностики
4.3	Подверженность температурным колебаниям оборудования системы удаленного мониторинга и диагностики
4.4	Подверженность воздействию влаги, пыли, загрязнения оборудования  системы удаленного мониторинга и диагностики
4.5	Чувствительность к воздействию электромагнитного излучения оборудования системы удаленного мониторинга и диагностики
4.6	Недостаточное обслуживание / неправильная инсталляция запоминающих сред (в том числе систем хранения данных) системы удаленного мониторинга и диагностики
4.7	Отсутствие контроля за эффективным изменением конфигурации оборудования или телекоммуникационного оборудования сетей связи в системе удаленного мониторинга и диагностики
5	Программное обеспечение
5.1	Неясные или неполные технические требования к разработке программного (программно-аппаратного) обеспечения, применяемого в системе удаленного мониторинга и диагностики
5.2	Отсутствие тестирования или недостаточное тестирование программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями)
5.3	Сложный пользовательский интерфейс компонентов мониторинга и управления энергосетью (возможна, например, угроза ошибки операторов)
5.4	Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей
5.5	Отсутствие аудиторской проверки установленного программного обеспечения
5.6	Ошибки конфигурации программного обеспечения
5.7	Неустановленные патчи и обновления программного обеспечения (в том числе системного программного обеспечения)
5.8	Плохое управление паролями учетных записей операторов, плохое управление паролями оборудования, в т. ч. программируемых контроллеров (легко определяемые пароли, хранение в незашифрованном виде, недостаточно частая замена паролей)
5.9	Неправильное присвоение прав доступа (возможна, например, угроза использования программного обеспечения несанкционированным способом)
5.10	Неконтролируемая загрузка, установка и использование программного обеспечения (возможна, например, угроза столкновения с вредоносным программным обеспечением)
5.11	Отсутствие регистрации конца сеанса при выходе с рабочей станции (возможна, например, угроза использования программного обеспечения несанкционированными пользователями)
5.12	Отсутствие эффективного контроля внесения изменений (возможна, например, угроза программных сбоев)
5.13	Отсутствие документации (возможна, например, угроза ошибки операторов)
5.14	Отсутствие резервных копий информации, обрабатываемой в системе
5.15	Списание или повторное использование запоминающих сред без надлежащего стирания записей
5.16	Наличие недекларированныхе возможностей (программных и аппаратных закладок) в оборудовании иностранных производителей.
6	Документация
6.1	Хранение в незащищенных местах (возможна, например, угроза хищения)
6.2	Недостаточная внимательность при уничтожении (возможна, например, угроза хищения)
6.3	Бесконтрольное копирование (возможна, например, угроза хищения)
7	Персонал
7.1	Отсутствие персонала (возможна, например, угроза халатного отношения работников к своим обязанностям)
7.2	Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц (возможна, например, угроза хищения)
7.3	Недостаточная подготовка персонала по вопросам обеспечения безопасности (возможна, например, угроза ошибки операторов)
7.4	Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей)
7.5	Неправильное использование программно-аппаратного обеспечения (возможна, например, угроза ошибки операторов)
7.6	Отсутствие механизмов отслеживания и мониторинга (возможна, например, угроза использования программного обеспечения несанкционированным способом)
7.7	Отсутствие политики допустимого использования телекоммуникационных систем для обмена сообщениями (возможна, например, угроза использования сетевых средств несанкционированным способом)
7.8	Несоответствующие процедуры набора кадров (возможна, например, угроза намеренного повреждения или недостаточной квалификации дежурного и оперативного персонала)

5 Определение коэффициента опасности деструктивного действия

5.1 Обобщенный коэффициент опасности используется для детальной оценки опасности деструктивных действий для всех рассматриваемых угроз, отражает интегральную оценку критичности защищаемой информации внутри сегмента и рассчитывается по следующей схеме для каждого рассматриваемого деструктивного действия:

6 Определение вероятности реализации угроз

6.1 Оценка «Вероятности события», связанного с реализацией угрозы, проводится экспертами с применением следующей качественной шкалы для всех рассматриваемых угроз:

- очень низкая;

- низкая;

- средняя;

- высокая;

- очень высокая.

6.2 Критериями выбора соответствующего значения «Вероятности события» являются:

- возможная частота возникновения предпосылок к реализации угрозы;

- вероятность реализации угрозы.

6.3 Вероятность реализации зависит от существующих в сегменте уязвимостей, описанных в п. 3, и от сложности реализации метода.

7 Определение показателя опасности угроз безопасности информации

7.1 Опасность деструктивного действия, связанного с реализацией конкретной угрозы  вычисляется по матричной схеме в зависимости от коэффициента опасности действия, вычисляемого в соответствии с п. 5, и вероятности реализации угрозы, определяемой в соответствии с п. 6.

7.2 Опасность каждой угрозы безопасности информации вычисляется в соответствии с таблицей А.23.

Таблица А.23 - Определение опасности угрозы безопасности информации

Уровень риска информационной безопасности		Вероятность реализации угрозы
		Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Обобщенная оценка	Очень низкая	1	2	3	4	5
критичности компонента система удаленного мониторинга и диагностики технического состояния	Низкая	2	4	6	8	10
	Средняя	3	6	9	12	15
	Высокая	4	8	12	16	20
	Очень высокая	5	10	15	20	25

8 Определение актуальности угроз безопасности информации

8.1 На основе вероятности реализации угрозы и показателей опасности угрозы составляется матричная таблица, содержащая:

- определенные экспертным путем оценки вероятности реализации угрозы;

- показатели опасности угрозы для каждого деструктивного действия;

- наличие уязвимостей (в соответствии с перечнем, описанном в п. 3);

- итоговый уровень опасности угрозы.

8.2 Итоговый уровень опасности угрозы определяется как максимальное значение показателей опасности деструктивных действий для этой угрозы, вычисляемых на основе п. 7.

8.3 На основе экспертного заключения, выработанного при моделировании угроз безопасности информации и в соответствии с распорядительными документами ФСТЭК России, в качестве актуальных угроз рассматриваются угрозы, итоговый уровень опасности которых выше 5.

9 Моделирование нарушителя безопасности информации

9.1 Модель потенциального нарушителя информационной безопасности распространяется на систему удаленного мониторинга и диагностики технического состояния.

9.2 При моделировании нарушителя информационной безопасности системы удаленного мониторинга и диагностики технического состояния необходимо учитывать, что в состав системы входят технические средства, программное обеспечение, персонал, технологические и бизнес-процессы, сети связи, телекоммуникационное оборудование и протоколы передачи данных, предназначенных для мониторинга и управления подконтрольными автоматизированными системами управления критически важного энергетического оборудованя.

9.3 Все нарушители информационной безопасности должны быть проклассифицированы по следующим основным направлениям:

- по отношению к системе удаленного мониторинга и диагностики технического состояния (SC1);

- по правам доступа к компонентам системы удаленного мониторинга и диагностики технического состояния (SC2);

- по мотивации нарушения (SC3);

- по возможностям физического доступа (SC4);

- по квалификации (SC5);

- по направлению реализации угроз информационной безопасности (SC6).

9.2.1 По отношению к системе удаленного мониторинга и диагностики технического состояния нарушители разделяются на следующие виды (SC1):

- внутренние нарушители, имеющие легальный доступ к компонентам системы удаленного мониторинга и диагностики технического состояния и легальный доступ на территорию (эксплуатация, постановка, сопровождение, обслуживание и ремонт программно-аппаратного обеспечения);

- внешние нарушители (посторонние лица, лица, разрабатывающие/распространяющие вирусы и другие вредоносные программы, лица, организующие атаки на отказ в обслуживании, а также лица, осуществляющие попытки несанкционированного доступа к системе удаленного мониторинга и диагностики технического состояния).

9.2.2 По правам доступа к компонентам системы удаленного мониторинга и диагностики технического состояния нарушители разделяются на следующие виды (SC2):

- авторизованные (зарегистрированные) пользователи, имеющие легальный доступ к компонентам системы удаленного мониторинга и диагностики технического состояния;

- системные администраторы, администраторы безопасности компонент системы удаленного мониторинга и диагностики технического состояния;

- лица, не имеющие прав доступа к компонентам системы удаленного мониторинга и диагностики технического состояния.

9.2.3 По мотивации нарушения безопасности нарушители разделяются на следующие виды (SC3):

- немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

- самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

- корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды).

9.2.4 По возможностям физического доступа к компонентам системы удаленного мониторинга и диагностики технического состояния нарушители разделяются на следующие виды (SC4):

- без доступа в контролируемую зону;

- с доступом в контролируемую зону, но без доступа в помещения, в которых расположены компоненты системы удаленного мониторинга и диагностики технического состояния;

- с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны);

- с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния.

9.2.5 По квалификации нарушители разделяются на следующие виды (SC5):

- отсутствие знаний об устройстве и особенностях функционирования системы удаленного мониторинга и диагностики технического состояния;

- знание функциональных особенностей системы удаленного мониторинга и диагностики технического состояния, протоколов передачи информации, основных закономерностей формирования в ней массивов данных и потоков запросов к ним, умение пользоваться штатными средствами операционных систем, систем управления базами данных и прикладным программным обеспечением системы удаленного мониторинга и диагностики технического состояния;

- высокий уровень знаний в области программирования и уязвимостей применяемых технологий обеспечения функционирования системы удаленного мониторинга и диагностики технического состояния и обладание возможностями активного воздействия на систему удаленного мониторинга и диагностики технического состояния (разработчики, профильные эксперты и т.д.)

9.2.6 По направлению реализации угроз безопасности системы удаленного мониторинга и диагностики технического состояния нарушители разделяются на следующие виды (SC6):

- физический вектор реализации угроз;

- атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния;

- использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния.

9.4 В таблице А.24 представлены все возможные типы нарушителей, в соответствии с классификацией их характеристик.

Таблица А.24 - Оценка типов и возможностей нарушителя

Моделирование потенциального нарушителя безопасности система удаленного мониторинга и диагностики технического состояния			SCR1R=1 Внутренние нарушители									SCR1R=2 Внешние нарушители
			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица
			SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3
SCR4R=1 Без доступа в контролируемую зону	SCR5R=1	SCR6R=1																	Н1	Н2
		SCR6R=2																Н3	Н1	Н2
		SCR6R=3
	SCR5R=2	SCR6R=1																	Н1	Н2
		SCR6R=2																Н3	Н1	Н2
		SCR6R=3
	SCR5R=3	SCR6R=1																	Н1	Н2
		SCR6R=2																Н3	Н1	Н2
		SCR6R=3
Продолжение таблицы А.24
Моделирование потенциального нарушителя безопасности системы удаленного мониторинга и диагностики технического состояния			SCR1R=1 Внутренние нарушители									SCR1R=2 Внешние нарушители
			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица
			SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3
SCR4R=2 С доступом в контролируемую зону, но без доступа в помещения	SCR5R=1	SCR6R=1							Н12	Н11	Н10
		SCR6R=2	Н7	Н8	Н8	Н15	Н16	Н16		Н13	Н10
		SCR6R=3
	SCR5R =2	SCR6R=1		Н8	Н8		Н16	Н16	Н12	Н11	Н10
		SCR6R=2	Н7	Н8	Н8	Н15	Н16	Н16		Н13	Н10
		SCR6R=3
	SCR5R=3	SCR6R=1		Н8	Н8		Н16	Н16	Н12	Н11	Н10
		SCR6R=2	Н7	Н8	Н8	Н15	Н16	Н16		Н13	Н10
		SCR6R=3
Продолжение таблицы А.24
Моделирование потенциального нарушителя безопасности системы удаленного мониторинга и диагностики технического состояния			SCR1R=1 Внутренние нарушители									SCR1R=2 Внешние нарушители
			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица
			SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3
SCR4R=3 С доступом к техническим средствам	SCR5R=1	SCR6R=1							Н12	Н11	Н10							Н6	Н4	Н5
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10							Н6	Н4	Н5
	SCR5R=2	SCR6R=1	Н9	Н8	Н8	Н17	Н16	Н16	Н12	Н11	Н10							Н6	Н4	Н5
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10							Н6	Н4	Н5
	SCR5R=3	SCR6R=1	Н9	Н8	Н8	Н17	Н16	Н16	Н12	Н11	Н10							Н6	Н4	Н5
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10							Н6	Н4	Н5
Продолжение таблицы А.24
Моделирование потенциального нарушителя безопасности системы удаленного мониторинга и диагностики технического состояния			SCR1R=1 Внутренние нарушители									SCR1R=2 Внешние нарушители
			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица			SCR2R=1 Авторизованные пользователи			SCR2R=2 Администраторы			SCR2R=3 Неавторизованные лица
			SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3	SCR3R=1	SCR3R=2	SCR3R=3
SCR4R=4 С доступом к рабочему месту администратора	SCR5R=1	SCR6R=1							Н12	Н11	Н10
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10
	SCR5R=2	SCR6R=1	Н9	Н8	Н8	Н17	Н16	Н16	Н12	Н11	Н10
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10
	SCR5R=3	SCR6R=1	Н9	Н8	Н8	Н17	Н16	Н16	Н12	Н11	Н10
		SCR6R=2
		SCR6R=3	Н7	Н8	Н8	Н15	Н16	Н16		Н14	Н10

9.5 В пустых ячейках таблицы А.24 отмечены типы нарушителей, которые не могут действовать в отношении системы удаленного мониторинга и диагностики  технического состояния ввиду отсутствия у них необходимых возможностей и знаний. Нарушителями системы удаленного мониторинга и диагностики технического состояния не могут быть следующие субъекты:

- при SC1 = 2 (внешний нарушитель) значение SC2 не может равняться 1 (Авторизованные пользователи) или 2 (Администраторы), так как внешние нарушители не могут быть авторизованными пользователями системы удаленного мониторинга и диагностики;

- при SC1 = 2 (внешний нарушитель) значение SC2 может быть только 3 (Неавторизованные лица). При этом может равняться только SC4=1 (Без доступа в контролируемую зону) и SC4=3 (С доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния, в том числе за пределами контролируемой зоны), так как любое другое значение означает, что нарушитель обладает легальным доступом к компонентам системы удаленного мониторинга и диагностики технического состояния и не может являться внешним;

- при SC1 = 2 (внешний нарушитель) и SC2 = 3 (Неавторизованные лица) и SC4=3 (с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния, в том числе за пределами контролируемой зоны) исключаем SC6= 2 (Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния) т.к. для этого вектора реализуется доступ к оборудованию вне контролируемой зоны (трансформаторные будки), которое не входит ни в корпоративную информационную вычислительную систему, ни в сеть Интернет;

- при SC1 = 2 (внешний нарушитель) и SC2 = 3 (Неавторизованные лица) и SC4=1 (Без доступа в контролируемую зону) вектор SC6= 3 (Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния) не возможен, т.к. исключен доступ к оборудованию;

- при SC1= 2 (внешний нарушитель) и SC2 = 3 (Неавторизованные лица) и SC4=1 (Без доступа в контролируемую зону) и SC6= 1 (Физический вектор реализации угроз) категория SC3= 1 (Немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов) не возможна, т.к. исключен произвольный доступ к оборудованию и контролируемой зоны и возможны только целенаправленные действия по проникновению в контролируемую зону или к оборудованию;

- при SC1= 1 (внутренний нарушитель) вектора атак SC6= 2 (Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния), SC4=3 (С доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния, в том числе за пределами контролируемой зоны) и SC4=4 (С доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния) исключены, т.к.  сеть Интернет является внешней к системе удаленного мониторинга и диагностики технического состояния, а нарушитель при этом векторе уже получил доступ к системе удаленного мониторинга и диагностики;

- при SC1= 1 (внутренний нарушитель) вектора атак SC6= 2 (Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния), SC4=1 (Без доступа в контролируемую зону) исключены, т.к. сеть Интернет является внешней к системе удаленного мониторинга и диагностики технического состояния, и нарушитель при этом векторе будет внешним;

- при SC1= 1 (внутренний нарушитель) вектора атак SC2=1 (Авторизованные пользователи) и SC2=2 (Администраторы), SC3=1 (Немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов) и SC6=1 (Физический вектор реализации угроз) исключены, т.к. данные категории обладают необходимой компетенцией для работы с офисным оборудованием;

- при SC1= 1 (внутренний нарушитель) вектора атак SC2=1 (Авторизованные пользователи) и SC2=2 (Администраторы) при SC5=1 (Отсутствие знаний об устройстве и особенностях функционирования системы удаленного мониторинга и диагностики технического состояния) исключены, т.к. и администраторы, и авторизованные пользователи обладают этими знаниями;

- при SC1= 1 (внутренний нарушитель) и SC4=1 (Без доступа в контролируемую зону) вектора атак SC6= 1 (Физический вектор реализации угроз) и SC6= 3 (Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния) не возможны, т.к. исключен доступ к оборудованию;

- при SC1= 1 (внутренний нарушитель) вектора атак значение SC2=3 (Неавторизованные лица), SC3=1 (Немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов) вектора атак SC6= 2 (Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния) и SC6= 3 (Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния) исключены, т.к. для совершения данных атак необходимы целенаправленные действия в сети или с оборудованием предприятия, что не может быть случайным.

9.6 Возможные типы нарушителей:

9.6.1. Нарушитель типа Н1 может обладать следующими признаками:

- внешний нарушитель;

- неавторизованное лицо;

- самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

- без доступа в контролируемую зону;

- произвольной квалификации;

- физический вектор реализации угроз и атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н1: движимый самоутверждением или в хулиганских целях нарушитель пытается получить доступ в контролируемую зону физически или из сети Интернет и получить доступ к инфраструктуре.

9.5.2 Нарушитель типа Н2 может обладать следующими признаками:

– внешний нарушитель;

– неавторизованное лицо;

– корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– без доступа в контролируемую зону;

– произвольной квалификации;

– физический вектор реализации угроз и атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н2: нарушитель пытается получить доступ в контролируемую зону физически или из сети Интернет и получить доступ к инфраструктуре для реализации террористической атаки или вымогательства.

9.5.3 Нарушитель типа Н3 может обладать следующими признаками:

- внешний нарушитель;

- неавторизованное лицо;

- немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

- без доступа в контролируемую зону;

- произвольной квалификации;

- атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н3: случайный пользователь в ходе использования сети Интернет находит сайт для доступа к интерфейсу управления системы удаленного мониторинга и диагностики технического состояния из сети Интернет и производит ввод произвольных данных из любопытства.

9.5.4 Нарушитель типа Н4 может обладать следующими признаками:

– внешний нарушитель;

– неавторизованное лицо;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны);

– произвольной квалификации;

– физический вектор реализации угроз и Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н4: движимый самоутверждением или в хулиганских целях нарушитель пытается получить доступ к техническим средствам вне контролируемой зоны физически или из сети Интернет и получить доступ к инфраструктуре.

9.5.5 Нарушитель типа Н5 может обладать следующими признаками:

– внешний нарушитель;

– неавторизованное лицо;

– корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны);

– произвольной квалификации;

– физический вектор реализации угроз и использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н5: нарушитель пытается получить доступ к техническим средствам вне контролируемой зоны физически или из сети Интернет и получить доступ к инфраструктуре для реализации террористической атаки или вымогательства.

9.5.6 Нарушитель типа Н6 может обладать следующими признаками:

– внешний нарушитель;

– неавторизованное лицо;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны);

– произвольной квалификации;

– физический вектор реализации угроз и использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н6: любопытный прохожий получил доступ к системы удаленного мониторинга и диагностики технического состояния вне контролируемой зоны и из любопытства попробовал подключиться к оборудованию управления.

9.5.7 Нарушитель типа Н7 может обладать следующими признаками:

– внутренний нарушитель;

– авторизованный пользователь;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния);

– произвольной квалификации;

– использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния

и

– внутренний нарушитель;

– авторизованный пользователь;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом в контролируемую зону;

– произвольной квалификации;

атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н7: в нарушение внутренних инструкций, «по глупости» вставил непроверенный USB-носитель в автоматизированное рабочее место, на котором случайным образом оказалась вредоносная программа.

9.5.8 Нарушитель типа Н8 может обладать следующими признаками:

– внутренний нарушитель;

– авторизованный пользователь;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности USB носитель, в целях самоутверждения) и корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– с доступом к техническим средствам USB носитель (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния);

– произвольной квалификации;

– физический вектор реализации угроз и Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния

и

– внутренний нарушитель;

– авторизованный пользователь;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения) и Корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– с доступом в контролируемую зону;

– произвольной квалификации;

– физический вектор реализации угроз и Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н8: обиженный сотрудник осуществляет «месть» за конфликтное увольнения или готовится к нему.

9.5.9 Нарушитель типа Н9 может обладать следующими признаками:

– внутренний нарушитель;

– авторизованный пользователь;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– физический вектор реализации угроз и Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н9: сотрудник компании в ходе проведения регламентных или каких-либо других работ случайно «уронил отвертку» в оборудование.

9.5.10 Нарушитель типа Н10 может обладать следующими признаками:

– внутренний нарушитель;

– неавторизованное лицо;

– корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды;

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– физический вектор реализации угроз и использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния

или

– внутренний нарушитель;

– неавторизованное лицо;

– корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– с доступом в контролируемую зону;

– произвольной квалификации;

– физический вектор реализации угроз и Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н10: целенаправленное проникновение как можно ближе к оборудованию системы удаленного мониторинга и диагностики технического состояния для внедрения вредоносного программного обеспечения или физического воздействия на инфраструктуру с целью прерывания деятельности технологической сети.

9.5.11 Нарушитель типа Н11 может обладать следующими признаками:

– внутренний нарушитель;

– неавторизованное лицо;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

- с доступом в контролируемую зону, но без доступа в помещения, в которых расположены компоненты системы удаленного мониторинга и диагностики технического состояния или с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

- произвольной квалификации;

- физический вектор реализации угроз.

Описание нарушителя типа Н11: движимый самоутверждением или в хулиганских целях нарушитель пытается получить доступ к техническим средствам в контролируемой зоне физически и получить доступ к инфраструктуре.

9.5.12 Нарушитель типа Н12 может обладать следующими признаками:

– внутренний нарушитель;

– неавторизованное лицо;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом в контролируемую зону, но без доступа в помещения, в которых расположены компоненты системы удаленного мониторинга и диагностики технического состояния или с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– физический вектор реализации угроз.

Описание нарушителя типа Н12: Обслуживающий персонал или случайно нарушивший работу системы удаленного мониторинга и диагностики технического состояния путем физического воздействия (уборщица случайно уронила ведро с водой).

9.5.13 Нарушитель типа Н13 может обладать следующими признаками:

– внутренний нарушитель;

– неавторизованное лицо;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

– с доступом в контролируемую зону, но без доступа в помещения, в которых расположены компоненты системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– атака из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н13: движимый самоутверждением или в хулиганских целях нарушитель пытается совершить целенаправленное проникновение через внутреннюю сеть на оборудование системы удаленного мониторинга и диагностики технического состояния для внедрения вредоносного программного обеспечения на инфраструктуру с целью получения контроля или прерывания деятельности технологической сети.

9.5.14 Нарушитель типа Н14 может обладать следующими признаками:

– внутренний нарушитель;

– неавторизованное лицо;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н14: Движимый самоутверждением или в хулиганских целях нарушитель пытается совершить целенаправленное проникновение к оборудованию системы удаленного мониторинга и диагностики технического состояния для внедрения вредоносного программного обеспечения с целью получения контроля или прерывания деятельности технологической сети.

9.5.15 Нарушитель типа Н15 может обладать следующими признаками:

– внутренний нарушитель;

– администратор;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния);

– произвольной квалификации;

– использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния

и

– внутренний нарушитель;

- администратор;

- немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств ИБ информационных активов);

- с доступом в контролируемую зону;

- произвольной квалификации;

- атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н15: в нарушение внутренних инструкций, «по глупости» вставил непроверенный USB-носитель в автоматизированное рабочее место, на котором случайным образом оказалось вредоносное программное обеспечение.

9.5.16 Нарушитель типа Н16 может обладать следующими признаками:

– внутренний нарушитель;

– администратор;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения) и корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды;

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния);

– произвольной квалификации;

– физический вектор реализации угроз и Использование вредоносного программного обеспечения и сетевых атак внутри системы удаленного мониторинга и диагностики технического состояния;

– внутренний нарушитель;

– администратор;

– самоутверждение (действия пользователей, приводящие к нарушению свойств безопасности системы удаленного мониторинга и диагностики технического состояния, в целях самоутверждения) и Корыстный интерес и терроризм (действия пользователей, приводящие к нарушению свойств безопасности информационных активов, направленные на получение выгоды);

– с доступом в контролируемую зону;

– произвольной квалификации;

– физический вектор реализации угроз и Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н16: Обиженный сотрудник осуществляет «месть» за конфликтное увольнения или готовится к нему.

9.5.17 Нарушитель типа Н17 может обладать следующими признаками:

– внутренний нарушитель;

– администратор;

– немотивированные действия (действие или бездействие пользователей без злого умысла, связанное со случайным нарушением свойств информационной безопасности информационных активов);

– с доступом к техническим средствам системы удаленного мониторинга и диагностики технического состояния (в том числе за пределами контролируемой зоны) или с доступом к рабочему месту администратора системы удаленного мониторинга и диагностики технического состояния;

– произвольной квалификации;

– физический вектор реализации угроз и Атаки из сегментов сети Интернет и корпоративной информационной вычислительной системы на сегменты системы удаленного мониторинга и диагностики технического состояния.

Описание нарушителя типа Н9: сотрудник компании в ходе проведения регламентных или каких-либо других работ случайно нарушает правила и порядок работ («уронил отвертку в оборудование»).

10 Моделирование угроз безопасности информации

10.1 Перечень актуальных угроз безопасности информации приведен в

Таблице А.25.

Таблица А.25 - Актуальные угрозы безопасности информации

Код	Угроза безопасности информации	Итоговый уровень опасности угрозы
УФД6	Повреждение оборудования и/или линий связи	9
УФД7	Навязывание ложной информации на уровне конечного оборудования или линий связи	15
УФД8	Съем информации с конечного оборудования или линий связи	8
УФД10	Разрушение объекта защиты или нанесение объекту защиты, здоровью персонала и другим лицам повреждений путем взрыва (обстрела)	6
УФД11	Размещение и(или) совершение действий в целях размещения каким бы то ни было способов на объекте защиты взрывных устройств (взрывчатых веществ)	6
УНДАЗ	Загрузка альтернативной ОС с нештатного носителя	20
УНДБ1	Подбор пароля доступа (администратора) в ОС компьютера с использованием заданных по умолчанию значений	10
УНДБ 1.2	Подбор пароля доступа (администратора) в ОС компьютера посредством перебора различных вариантов	10
УНДВ	Подбор пароля доступа (администратора) в ОС компьютера посредством специализированное программного обеспечения	20
УНДГ2	Выявление пароля доступа других пользователей при загруженной ОС (декодирование, из оперативной памяти, копирование хранилищ)	15
УНДГЗ	Создание новой учетной записи с расширенными привилегиями	20
УНДГ4	Уничтожение системного реестра	6
УНДГ5	Редактирование системного реестра с целью нарушения работоспособности операционной системы и/или прикладного ПО	15
УНДГ6	Использование стороннего программного обеспечения с целью несанкционированного воздействия на объект защиты	20
УНДГ6.4	Заражение вредоносным программным обеспечением	20
УНДГ7	Перезагрузка ОС с целью загрузки альтернативной ОС с нештатного носителя для расширения привилегий	15
УНДГ8	Копирование информации на нештатные носители информации	8
УНДГ9	Модификация информации	20
УНДГ10	Уничтожение (стирание) информации	20
УНДГ11	Уничтожения информации путем форматирования носителей информации	20
УУДА1	Сканирование сегмента сети с целью сбора информации	8
УУДБ1	Удаленный подбор пароля (администратора) путем ввода имени и пароля, заданных по умолчанию для используемой ОС	10
УУДБ1.2	Удаленный подбор имени и пароля (администратора) посредством перебора	10
УУДБ2	Удаленный подбор пароля (пользователя)	6
УУДБЗ	Получение доступа к программам удаленного администрирования	20
УУДБ4	Внедрение ложного доверенного объекта	20
УУДБ5	Удаленный перехват внешнесегментного сетевого трафика	8
УУДБ5.3	Удаленный перехват аутентификационной информации, передаваемой в открытом виде	8
УУДВ2	Переполнение буфера с запуском исполняемого кода	10
УУДВ10	Перенаправление сетевого трафика	10
УУДГ	Атака на пользователей Internet	10
УУДД	Угроза отказа в обслуживании (DoS)	8
УУДЕ1	Обход межсетевого экрана посредством инкапсуляции данных в заголовки пакетов протокола обмена управляющими сообщениями	20
УО1	Ошибки при проектировании программных средств	20
УО2	Ошибки при проектировании технических средств	20
УОЗ	Ошибки при изготовлении программных средств	20
УО4	Ошибки при изготовлении технических средств	20
УО5	Ошибки при эксплуатации технических средств	20
УО6	Ошибки при эксплуатации программных средств	20
УТХ1	Сбои, отказы технических средств	8
УТХ2	Сбои, отказы программных средств	8

Проект

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 201 г. N

Правила обязательной сертификации
систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их базовым (обязательным) функциям и информационной безопасности

1. Настоящие Правила устанавливают общий порядок организации сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования на соответствие, установленным в постановлении Правительства Российской Федерации требованиям к обязательным (базовым) функциям и информационной безопасности.

2. В соответствии с настоящими Правилами, сертификация систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их обязательным (базовым) функциям и информационной безопасности понимается процедура подтверждения реализации встроенных средств защиты, входящих в состав подсистемы защиты.

3. Сертификация систем удаленного мониторинга и диагностики критически важного энергетического оборудования по требованиям к их обязательным (базовым) функциям и информационной безопасноти осуществляется в системе сертификации федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

4. Сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их обязательным (базовым) функциям и информационной безопасности осуществляется в соответствии с положением, утвержденным постановлением Правительства Российской Федерации от 26.06.1995 N 608 "О сертификации средств защиты информации", действующих методических документов и указаний, руководящих документов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

5. Прохождение процедуры сертификации предполагает формирование задания по безопасности или профиля защиты для объекта оценки (систем удаленного мониторинга и диагностики). При этом определяются:

- угрозы информационной безопасности, которым необходимо противостоять встроенным средствам защиты, входящие в состав систем удаленного мониторинга и диагностики (согласно Методическим указаниям по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования);

- политики и предположения безопасности;

- цели безопасности и требования безопасности.

6. Обязательной является сертификация программно-аппаратного комплекса систем удаленного мониторинга и диагностики технического состояния в системе сертификации федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля на соответствие требованиям руководящего документа Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 4 уровню контроля.

7. Субъектами сертификации оборудования и программного обеспечения являются:

- Министерство энергетики Российской Федерации;

- федеральные органы исполнительной власти, осуществляющие сертификацию систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования в пределах своей компетенции;

- органы сертификации, включая:

орган анализа первичной входящей документации и выдачи сертификата соответствия требования информационной безопасности;

испытательные лаборатории по оценке соответствия требованиям информационной безопасности;

испытательные лаборатории по оценке систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования, аккредитованные в соответствии с установленными действующим законодательством правилами аккредитации органов сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии действующим законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну;

- российские и иностранные разработчики систем удаленного мониторинга и диагностики технического состояния критически важного оборудования;

- субъекты электроэнергетики;

- поставщики услуг удаленного мониторинга и диагностики критически важного энергетического оборудования.

8. Объектами испытаний для целей сертификации на соответствие требованиям к обязательным (базовым) функциям и информационной безопасности систем удаленного мониторинга и диагностики технического состояния являются компоненты системы нижнего, верхнего и среднего уровней, включая, но не ограничиваясь:

- программно-аппаратные комплексы сбора, анализа, хранения и передачи информации, размещаемые на территории субъекта электроэнергетики;

- программно-аппаратные комплексы сбора, анализа, хранения, передачи и обработки информации, которые располагаются на территории Российской Федерации на площадках поставщиков услуг удаленного мониторинга и диагностики критически важного энергетического оборудования.

9. Соответствие объектов испытаний системы удаленного мониторинга и диагностики требованиям к обязательным (базовым) функциям и информационной безопасности считается соответствием требованиям системы удаленного мониторинга и диагностики в целом.

10. Сертификация системы удаленного мониторинга и диагностики является обязательной процедурой для системы в целом. Сертификация отдельных компонент системы допускается в случае их обновления, изменения технологических и конструктивных особенностей и по другим основаниям, установленным в законодательстве.

11. Инициатором процедуры сертификации оборудования и программного обеспечения могут выступать:

- российские и иностранные производители критически важного энергетического оборудования;

- поставщики услуг удаленного мониторинга критически важного энергетического оборудования;

- федеральные органы исполнительной власти Российской Федерации в рамках установленных действующими нормативными правовыми актами Российской Федерации полномочиями.

12. При сертификации оборудования и программного обеспечения используются следующие схемы сертификации:

- схема N 1 - применяется при сертификации системы по заявке инициатора и предусматривает сертификационные испытания образцов, взятых у инициатора. Сертификат соответствия выдаётся только на систему;

- схема N 2 - применяется при сертификации отдельных компонент системы по заявке инициатора и предусматривает сертификационные испытания единичных образцов, взятых у инициатора. Сертификат соответствия выдаётся только на сертифицируемый единичный образец.

13. Работы по сертификации носят возмездный характер и осуществляются на основании договора, заключенного между инициатором и испытательной лабораторией.

14. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать претензию в федеральный орган по сертификации. Претензия рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается инициатор. В исключительных случаях срок рассмотрения претензии может быть продлён до двух месяцев.

15. Органы по сертификации и испытательные лаборатории несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности информации, охраняемой законодательством Российской Федерации, за сохранность материальных ценностей, предоставленных инициатором, а также за соблюдение авторских прав заявителя при испытаниях.