Приказ № 31
Приказ ФСТЭК России N 31 от 14 марта 2014
«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
«Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Кого касается
Предприятия, использующие автоматизированные системы управления технологическими и производственными процессами (АСУ ТП) на:
-
критически важных объектах;
-
потенциально опасных объектах;
-
объектах, представляющих повышенную опасность для жизни и здоровья людей;
-
объектах, представляющих повышенную опасность для окружающей среды.
Когда применяется
-
При внедрении и эксплуатации АСУ ТП
Самое главное
-
На критически важных или опасных для человека или окружающей среды предприятиях должна быть внедрена система киберзащиты АСУ ТП, включающая технические и организационные меры безопасности, описанные в документе.
-
Требования по обеспеченю безопасности к конкретной АСУ ТП формируются на основе класса защищенности, установленного для данной АСУ ТП, а также угроз безопасности информации, включенных в модель угроз.
Сокращения и термины, используемые в НПА
Модель угроз – согласно Методическим рекомендациям, моделью угроз является перечень возможных угроз информационной безопасности компании. В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации».
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Краткое изложение
Приказ N 31 ФСТЭК России определяет требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Целью Приказа ФСТЭК России N 31 является обеспечение штатного функционирования системы и снижение рисков незаконного вмешательства в управляемые объекты, безопасность которых регулируется различными законодательными актами РФ.
Действие требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и производственным оборудованием и реализованными на нем технологическими и производственными процессами (АСУ ТП).
Защита информации в АСУ обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в АСУ и требований к мерам защиты информации в АСУ.
В АСУ объектами защиты являются:
Информация о параметрах управляемого объекта или процесса, в том числе:
-
входная-выходная информация;
-
управляющая информация;
-
контрольно-измерительная информация;
-
иная критически важная (технологическая) информация.
-
технические средства, в том числе
- автоматизированные рабочие места,
- промышленные серверы,
- телекоммуникационное оборудование,
- каналы связи, программируемые логические контроллеры,
- исполнительные устройства;
-
автоматизированные рабочие места;
-
промышленные серверы;
-
телекоммуникационное оборудование;
-
каналы связи, программируемые логические контроллеры;
-
исполнительные устройства;
-
программное обеспечение, в том числе микропрограммное, общесистемное, прикладное;
-
средства защиты информации.
Для обеспечения безопасности АСУ реализуется комплекс организационных и технических мер защиты информации, направленных на:
-
блокирование (нейтрализацию) угроз безопасности информации;
-
локализацию и минимизацию последствий от возможной реализации угроз;
-
восстановление штатного режима функционирования АСУ.
Требования к системе защиты автоматизированной системы управления определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.
Устанавливаются три класса защищенности АСУ, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с Приложением N 1 Приказа ФСТЭК России N 31.