Приказ № 31

Приказ ФСТЭК России N 31 от 14 марта 2014
«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Кого касается

Предприятия, использующие автоматизированные системы управления технологическими и производственными процессами (АСУ ТП) на:

критически важных объектах;
потенциально опасных объектах;
объектах, представляющих повышенную опасность для жизни и здоровья людей;
объектах, представляющих повышенную опасность для окружающей среды.

Когда применяется

При внедрении и эксплуатации АСУ ТП

Самое главное

На критически важных или опасных для человека или окружающей среды предприятиях должна быть внедрена система киберзащиты АСУ ТП, включающая технические и организационные меры безопасности, описанные в документе.
Требования по обеспеченю безопасности к конкретной АСУ ТП формируются на основе класса защищенности, установленного для данной АСУ ТП, а также угроз безопасности информации, включенных в модель угроз.

Сокращения и термины, используемые в НПА

Модель угроз – согласно Методическим рекомендациям, моделью угроз является перечень возможных угроз информационной безопасности компании. В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации».

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Краткое изложение

Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ.

Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами (АСУ ТП).

Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.

В АСУ объектами защиты являются:

Информация о параметрах управляемого объекта или процесса, в том числе:

входная-выходная информация;
управляющая информация;
контрольно-измерительная информация;
иная критически важная (технологическая) информация.

Программно-технический комплекс, включающий:

технические средства, в том числе
- автоматизированные рабочие места,
- промышленные серверы,
- телекоммуникационное оборудование,
- каналы связи, программируемые логические контроллеры,
- исполнительные устройства;
автоматизированные рабочие места;
промышленные серверы;
телекоммуникационное оборудование;
каналы связи, программируемые логические контроллеры;
исполнительные устройства;
программное обеспечение, в том числе микропрограммное, общесистемное, прикладное;
средства защиты информации.

Для обеспечения безопасности АСУ реализуется комплекс организационных и технических мер защиты информации, направленных на:

блокирование (нейтрализацию) угроз безопасности информации;
локализацию и минимизацию последствий от возможной реализации угроз;
восстановление штатного режима функционирования АСУ.

Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.

Устанавливаются три класса защищенности АСУ, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с Приложением N 1 Приказа ФСТЭК России N 31.

Полная версия документа

Оставьте заявку на бесплатную консультацию бесплатную консультацию

Я даю компании АО «Лаборатория Касперского» прямое согласие на сбор и обработку моих данных согласно политике конфиденциальности “Лаборатории Касперского”