Защита АСУ ТП по Приказу ФСТЭК №31
Что такое АСУ ТП и зачем нужна защита
АСУ ТП — автоматизированная система управления технологическим процессом: SCADA-системы, ПЛК, DCS, HMI-панели, промышленные сети. АСУ ТП управляют физическими процессами: энергосетями, водоснабжением, химическим производством, транспортом.
Атака на АСУ ТП — это не утечка данных, а потенциальная авария. Stuxnet (ядерная программа Ирана, 2010), атака на водоочистные сооружения Олдсмара (Флорида, 2021), Colonial Pipeline (2021, ransomware на IT-инфраструктуру трубопровода, который привёл к превентивной остановке АСУ ТП). Защита АСУ ТП регулируется Приказом ФСТЭК от 14.03.2014 № 31 (с изменениями от 2021 г.).
Приоритет защиты в АСУ ТП — доступность и целостность, а не конфиденциальность. Система должна работать непрерывно, а команды управления — доставляться без искажений. Это главное отличие от защиты ИСПДн (Приказ ФСТЭК №21) и ГИС (Приказ ФСТЭК №117).
Классы защищённости АСУ ТП (К1–К3)
Приказ ФСТЭК 31 устанавливает три класса защищённости. Класс определяется по уровню значимости информации и масштабу АСУ ТП. Результат классификации оформляется Актом классификации АСУ ТП.
| Класс | Последствия нарушения | Примеры объектов | Масштаб ЧС |
|---|---|---|---|
| К1 | Угроза жизни, масштабная авария, экологическая катастрофа | АЭС, ГЭС, химические производства, нефтепереработка | Федеральный, межрегиональный |
| К2 | Экологический ущерб, значительные экономические потери | Водоочистные станции, теплоснабжение, пищевое производство | Региональный, межмуниципальный |
| К3 | Остановка процесса без тяжких последствий | Автоматизация складов, конвейеры, системы кондиционирования | Муниципальный, объектовый |
14 групп мер защиты по Приказу ФСТЭК 31
Каждая группа содержит конкретные меры (ИАФ.1, УПД.2 и т.д.). Набор мер адаптируется под класс защищённости — оператор может исключить неактуальные и добавить компенсирующие.
| № | Код | Группа мер | Специфика для АСУ ТП |
|---|---|---|---|
| 1 | ИАФ | Идентификация и аутентификация | Аутентификация устройств, ПЛК и операторов |
| 2 | УПД | Управление доступом | Разграничение доступа операторов к SCADA |
| 3 | ОПС | Ограничение программной среды | Белые списки ПО для промышленных АРМ |
| 4 | ЗНИ | Защита машинных носителей | Контроль USB и съёмных носителей в контуре АСУ ТП |
| 5 | АУД | Аудит безопасности | Журналирование команд управления |
| 6 | АВЗ | Антивирусная защита | Совместимость с промышленным ПО |
| 7 | СОВ | Предотвращение вторжений | Мониторинг промышленных протоколов (Modbus, OPC UA) |
| 8 | ОЦЛ | Обеспечение целостности | Контроль целостности прошивок ПЛК |
| 9 | ОДТ | Обеспечение доступности | Резервирование, отказоустойчивость — приоритет |
| 10 | ЗТС | Защита технических средств | Физическая безопасность контроллеров, датчиков |
| 11 | ЗИС | Защита информационной системы | Сегментация промышленной и корпоративной сетей |
| 12 | ИНЦ | Реагирование на инциденты | Координация с НКЦКИ при инцидентах на КИИ |
| 13 | УКФ | Управление конфигурацией | Контроль изменений прошивок и настроек |
| 14 | ОБН | Управление обновлениями ПО | Тестирование патчей на стенде перед установкой |
Нужен комплект документов для АСУ ТП? 14 шаблонов по Приказу 31 в конструкторе, создание за 15 минут
Какие документы нужны для защиты АСУ ТП
Для выполнения требований Приказа ФСТЭК 31 нужен комплект организационно-распорядительной документации АСУ ТП (ОРД). Разработка документации не требует лицензии ФСТЭК — лицензия нужна только для проектирования технических средств защиты и аттестации.
Для объектов КИИ (если АСУ ТП в сфере по 187-ФЗ) дополнительно потребуются: акт категорирования по ПП РФ №127, сведения о результатах категорирования для ФСТЭК, план мероприятий по безопасности значимого объекта КИИ.
Шаблоны документов для АСУ ТП
Скачайте образцы бесплатно или создайте документ в конструкторе с данными вашей организации.
Модель угроз КИИ
Модель угроз для АСУ ТП как объекта КИИ — с учётом промышленных протоколов и физических угроз.
Скачать образецПолитика информационной безопасности
Цели, задачи и принципы защиты АСУ ТП в организации.
Скачать образецПлан реагирования на инциденты
Порядок действий при компьютерном инциденте на объекте КИИ.
Скачать образецПорядок реагирования на инциденты
Регламент обнаружения, классификации и устранения инцидентов ИБ.
Скачать образецТЗ на систему защиты информации
Техническое задание на создание системы защиты АСУ ТП.
Скачать образецСравнение Приказов ФСТЭК: №31 vs №21 vs №117
Три приказа регулируют защиту информации в разных типах систем. Если АСУ ТП обрабатывает персональные данные или входит в ГИС — применяются требования нескольких приказов одновременно.
| Параметр | Приказ 31 (АСУ ТП) | Приказ 21 (ИСПДн) | Приказ №117 (ГИС) |
|---|---|---|---|
| Объект защиты | АСУ ТП | ИСПДн | ГИС |
| Классификация | 3 класса (К1–К3) | 4 уровня (УЗ-1 — УЗ-4) | 3 класса (К1–К3) |
| Приоритет защиты | Доступность, целостность | Конфиденциальность | Конфиденциальность, целостность |
| Групп мер | 14 | 15 | 15 |
| Аттестация | По решению заказчика | Оценка эффективности | Обязательна |
| Связь с КИИ | Прямая (АСУ ТП = объект КИИ) | Косвенная | Косвенная |
Частые вопросы о защите АСУ ТП
Что регулирует Приказ ФСТЭК 31?▾
Приказ ФСТЭК от 14.03.2014 № 31 устанавливает требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных и потенциально опасных объектах. Актуален в редакции Приказа ФСТЭК №32 от 15.03.2021.
Какие классы защищённости АСУ ТП существуют?▾
Приказ 31 устанавливает 3 класса: К1 (максимальный) — АСУ ТП, нарушение работы которой может привести к чрезвычайной ситуации федерального масштаба и угрозе жизни; К2 — с экологическим ущербом регионального масштаба или значительными экономическими потерями; К3 (базовый) — с последствиями в пределах одного объекта без тяжких последствий.
Какие документы нужны для защиты АСУ ТП?▾
Для выполнения требований Приказа ФСТЭК 31 нужен комплект из 14 документов: акт классификации АСУ ТП, модель угроз, техническое задание на СЗИ, политика ИБ, приказ о назначении ответственного, регламенты управления доступом и обновлениями, инструкции оператора и администратора, план реагирования на инциденты, журналы учёта. Разработка документации не требует лицензии ФСТЭК — лицензия нужна только для проектирования технических средств защиты.
Чем Приказ 31 отличается от Приказа 21?▾
Приказ 21 регулирует защиту персональных данных в ИСПДн, Приказ 31 — защиту информации в АСУ ТП. Ключевое отличие: для АСУ ТП приоритет — доступность и целостность (а не конфиденциальность). Классификация: Приказ 31 — три класса (К1–К3), Приказ 21 — четыре уровня (УЗ-1 — УЗ-4). Аттестация: по Приказу 31 — по решению заказчика, по Приказу 21 — оценка эффективности.
Является ли АСУ ТП объектом КИИ?▾
Если АСУ ТП функционирует в одной из 13 сфер, указанных в ст. 2 187-ФЗ (энергетика, транспорт, связь, здравоохранение и др.), она является объектом КИИ и подлежит категорированию по ПП РФ №127. В этом случае одновременно применяются требования Приказа 31, 187-ФЗ и Приказа ФСТЭК 239 — выбираются максимально строгие меры из всех документов.
Нужна ли лицензия ФСТЭК для разработки документов по Приказу 31?▾
Для разработки организационно-распорядительных документов (модель угроз, политика ИБ, регламенты, инструкции) — лицензия ФСТЭК не требуется. Документы можно разработать самостоятельно или с помощью конструктора. Лицензия на ТЗКИ необходима для проектирования и внедрения технических средств защиты информации, а также для проведения аттестации системы защиты АСУ ТП.
Как подготовить документы для АСУ ТП самостоятельно?▾
Начните с классификации АСУ ТП (определите класс К1, К2 или К3), затем разработайте модель угроз с учётом промышленных протоколов (Modbus, OPC UA, PROFINET). На основе модели угроз адаптируйте базовый набор из 14 групп мер Приказа 31. Конструктор Кибероснова автоматизирует создание акта классификации, модели угроз, политики ИБ и других ОРД — заполните реестры организации, и документы сформируются по шаблонам.
Создайте документы для АСУ ТП
Модель угроз, акт категорирования КИИ, план реагирования — за 15 минут