Приказ № 31

Приказ № 31

«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Скачать PDF-документ

Последние изменения

с 15 марта 2021

Действующая редакция

с 15 марта 2021

Описание приказа №31

«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»



Кого касается


Предприятия, использующие автоматизированные системы управления технологическими и производственными процессами (АСУ ТП) на:


  • критически важных объектах;   

  • потенциально опасных объектах;

  • объектах, представляющих повышенную опасность для жизни и здоровья людей;

  • объектах, представляющих повышенную опасность для окружающей среды.



Когда применяется

  • При внедрении и эксплуатации АСУ ТП



Самое главное

  • На критически важных или опасных для человека или окружающей среды предприятиях должна быть внедрена система киберзащиты АСУ ТП, включающая технические и организационные меры безопасности, описанные в документе.

  • Требования по обеспеченю безопасности к конкретной АСУ ТП формируются на основе класса защищенности, установленного для данной АСУ ТП, а также угроз безопасности информации, включенных в модель угроз.



Сокращения и термины, используемые в НПА


Модель угроз – согласно Методическим рекомендациям, моделью угроз является перечень возможных угроз информационной безопасности компании.  В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации». 

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.


Краткое изложение


Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.


Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ. 


Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами (АСУ ТП).


Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.


В АСУ объектами защиты являются:


Информация о параметрах управляемого объекта или процесса, в том числе:

  • входная-выходная информация;

  • управляющая информация;

  • контрольно-измерительная информация;   

  • иная критически важная (технологическая) информация.

Программно-технический комплекс, включающий:

  •  технические средства, в том числе
    - автоматизированные рабочие места,
    - промышленные серверы,
    - телекоммуникационное оборудование,
    - каналы связи, программируемые логические контроллеры,
    - исполнительные устройства;

  • автоматизированные рабочие места;

  • промышленные серверы;   

  • телекоммуникационное оборудование;   

  • каналы связи, программируемые логические контроллеры;

  • исполнительные устройства;

  • программное обеспечение, в том числе микропрограммное, общесистемное, прикладное;

  • средства защиты информации.


Для обеспечения безопасности АСУ реализуется комплекс организационных и технических мер защиты информации, направленных на:

  • блокирование (нейтрализацию) угроз безопасности информации;   

  • локализацию и минимизацию последствий от возможной реализации угроз;

  • восстановление штатного режима функционирования АСУ.


Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.


Устанавливаются три класса защищенности АСУ, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с Приложением N 1 Приказа ФСТЭК России N 31. 

Меры защиты информации в автоматизированных системах управления

Процент закрытия требований решениями «Лаборатории Касперского»

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией

Оставьте заявку на  бесплатную консультацию