Исполнение приказа ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (далее – Приказ № 31) имеет декларативный характер. Это означает, что при принятии решения об исполнении Приказа № 31, субъект должен исполнить его в полном объёме, соответствующем профилю определенного класса защиты автоматизированной системы управления (далее – АСУ).
При этом абзацем 2 пункта 1 Приказа № 31 установлено, что для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) должны использоваться требования приказов ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239.
Таким образом, требования Приказа № 31 допускается использовать для обеспечения безопасности объектов КИИ при соблюдении следующих условий:
1. Объекты КИИ не имеют установленных категорий значимости.
2. Владельцем АСУ и (или) уполномоченным лицом принято решение об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования АСУ.
Однако определение класса защищенности АСУ осуществляется в контексте негативных последствий в социальной, политической, экономической, военной или иных областях деятельности субъекта для критически важных, потенциально опасных объектов, а также объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Сценарии таких последствий в большинстве случаев могут рассматриваться только для значимых объектов КИИ.
Исходя из вышеизложенного, можно сделать вывод о нежелательности применения Приказа № 31 в отношении объектов КИИ. В случае, если требования Приказа № 31 предъявляются контрагентом или субъектом, эксплуатирующим смежную с объектом КИИ инфраструктуру (АСУ, сети связи и пр.), рекомендуется запросить у предъявителя требований оценку степени возможного ущерба от нарушения или прекращения функционирования объекта КИИ и автоматизируемого им процесса и предоставить такую оценку на рассмотрение комиссии по категорированию.
Обязательно ли в значимых ОКИИ использовать сертифицированные ОС и СУБД?