Приказ № 31
«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
- О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31
- О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239
Последние изменения
с 15 марта 2021
Действующая редакция
с 15 марта 2021
Описание приказа №31
Кого касается
Предприятия, использующие автоматизированные системы управления технологическими и производственными процессами (АСУ ТП) на:
- критически важных объектах;
- потенциально опасных объектах;
- объектах, представляющих повышенную опасность для жизни и здоровья людей;
- объектах, представляющих повышенную опасность для окружающей среды.
Когда применяется
- При внедрении и эксплуатации АСУ ТП
Самое главное
- На критически важных или опасных для человека или окружающей среды предприятиях должна быть внедрена система киберзащиты АСУ ТП, включающая технические и организационные меры безопасности, описанные в документе.
- Требования по обеспеченю безопасности к конкретной АСУ ТП формируются на основе класса защищенности, установленного для данной АСУ ТП, а также угроз безопасности информации, включенных в модель угроз.
Сокращения и термины, используемые в НПА
Модель угроз – согласно Методическим рекомендациям, моделью угроз является перечень возможных угроз информационной безопасности компании. В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации».
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Краткое изложение
Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ.
Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами (АСУ ТП).
Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.
В АСУ объектами защиты являются:
Информация о параметрах управляемого объекта или процесса, в том числе:
- входная-выходная информация;
- управляющая информация;
- контрольно-измерительная информация;
- иная критически важная (технологическая) информация.
Программно-технический комплекс, включающий:
-
технические средства, в том числе
- автоматизированные рабочие места,
- промышленные серверы,
- телекоммуникационное оборудование,
- каналы связи, программируемые логические контроллеры,
- исполнительные устройства;
- автоматизированные рабочие места;
- промышленные серверы;
- телекоммуникационное оборудование;
- каналы связи, программируемые логические контроллеры;
- исполнительные устройства;
- программное обеспечение, в том числе микропрограммное, общесистемное, прикладное;
- средства защиты информации.
Для обеспечения безопасности АСУ реализуется комплекс организационных и технических мер защиты информации, направленных на:
- блокирование (нейтрализацию) угроз безопасности информации;
- локализацию и минимизацию последствий от возможной реализации угроз;
- восстановление штатного режима функционирования АСУ.
Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.
Устанавливаются три класса защищенности АСУ, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с Приложением N 1 Приказа ФСТЭК России N 31.
Меры защиты информации в автоматизированных системах управления
