Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Приказ Федеральной службы по техническому и экспортному контролю от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Суть

Приказ определяет комплексный подход к обеспечению защиты информации, обрабатываемой в АСУ ТП, включающий организационные и технические меры по защите информации на всех стадиях жизненного цикла АСУ ТП.

Ссылки

Внесённые изменения

Приказ ФСТЭК России №46 от 15.03.2021 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31»
- ФСТЭК России установила, каким уровням доверия должны соответствовать средства защиты информации (СрЗИ) и средства вычислительной техники (СВТ), применяемые в автоматизированных системах управления производственными и технологическими процессами (АСУ П и ТП) на критически важных (КВО) и потенциально опасных объектах, а также на объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
- Изменённый текст: Приказ ФСТЭК России №31 от 14.03.2014 ред. 15.03.2021.pdf
Приказ ФСТЭК России №49 от 23.03.2017 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденные приказом ФСТЭК России №21, и в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России №31»
- Скорректированы состав и содержание организационных и технических мер по обеспечению безопасности ПДн и требований к обеспечению защиты информации в АСУ ТП (КВО).
- Изменённый текст: Приказ ФСТЭК России №31 от 14.03.2014 ред. 23.03.2017.pdf
Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности ЗО КИИ, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239»
- Для значимых объектов КИИ применяются приказы ФСТЭК России №235 и №239. Состав мер защиты информации и их базовые наборы в приказе ФСТЭК России №31 (таблица в Приложении к Приказу) приведены в полное соответствие с составом мер по обеспечению безопасности ЗО КИИ в приказе №239. С той разницей, что в приказе ФСТЭК №31 привязка идёт к классам защищённости АСУ, а в приказе ФСТЭК №239 — к категориям значимости. Порядок определения угроз безопасности информации в приказе №31 также приведён в соответствие с таковым в приказе ФСТЭК №239. В качестве ещё одной организационной меры защиты информации дополнительно указано «определение администратора безопасности информации». Исправлена неточность нумерации для меры ДНС.6 приказа №239.
- Изменённый текст: Приказ ФСТЭК России №31 от 14.03.2014 ред. 09.08.2018.pdf

Обзоры документа

Аналитический центр УЦСБ

Настоящий документ распространяется на вновь создаваемые (модернизируемые) АСУ ТП, вводимые в эксплуатацию после вступления в силу настоящего Приказа и не распространяется на АСУ ТП, обрабатывающие государственную тайну. Вместе с тем, ФСТЭК России рекомендует владельцам АСУ ТП спланировать (в случае технической возможности) поэтапное приведение своих систем управления в соответствие с настоящим документом.

Стоит отметить, что АСУ ТП рассматриваются как один из классов ключевых систем информационной инфраструктуры. Понятие же ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей (системы предупреждения и ликвидации чрезвычайных ситуаций, географические и навигационные системы, системы управления водоснабжением, энергоснабжением, транспортом и др. системы и сети).

Следующие методические документы ФСТЭК России могут применяться при защите АСУ ТП в качестве дополнительного методического материала, в части не противоречащей требованиям настоящего Приказа:

«Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»;
«Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»;
«Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»;
«Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры».

По концепции и структуре требований Приказ во многом является схожим с 21-ым и 17-ым приказом ФСТЭК России и включает в себя блок требований к организации защиты информации в АСУ ТП, а также требования к мерам защиты информации.

Гарант ПРАЙМ

Установлены требования к обеспечению защиты информации в автоматизированных системах управления (АСУ) производственными и технологическими процессами на критически важных и потенциально опасных объектах, а также на тех, которые представляют повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Информация должна быть защищена от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в т. ч. от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования АСУ.

Защита информации в АСУ является составной частью работ по созданию (модернизации) и эксплуатации этой системы.

Принимаемые организационные и технические меры защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования АСУ.

Работы по защите информации проводятся заказчиком, оператором и (или) разработчиком АСУ самостоятельно и (или) с привлечением организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.

Оператором АСУ назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

Текст документа

Быстрый просмотр сохранённой копии

🧩 Хаб Злонова

Недавние новости

Ключевые носители Esmart Token совместимы с приложением «Окуляр ГОСТ»

Сервис шифрования каналов связи от «Солара» аттестован по высшему классу защиты данных

«Гарда» в 3 раза сократила время обработки данных при проверке контрагентов и сотрудников

ПТК «КВАНТ-ЧЭАЗ» от АО «ЧЭАЗ» и программный комплекс «Аркан 2.0»

Ссылки

Внесённые изменения

Обзоры документа

Аналитический центр УЦСБ

Гарант ПРАЙМ

Текст документа

Граф связей

Обратные ссылки

Оглавление

Реклама (эксперимент)