Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу — ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта балаболить о своей крутизне, лидерстве в области развития российского рынка ИБ, поднятии его с колен, отстаивании интересов России на международной арене и воспитании молодежи (правда, с позиций «как ломать», а не «как защищать»), а реально поработать над документом? Но вернемся к конференции ФСТЭК:
Тезисы были озвучены следующие:
- Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.
- Документ разработан во исполнение поручения Президента РФ и он должен лечь «под» разрабатываемый ФСБ законопроект по защите критических информационных инфраструктур.
- Классификация АСУ ТП немного отличается от принятой в 17-м приказе — классов защищенности будет 3, а не 4. Это сделано специально — они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
- ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так — не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
- Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.
- Среди других интересных моментов — согласованность мер по защите и технологической безопасности. Я про это как-то уже писал и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
- Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются — управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер — безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях.
- На вопрос, о том, что будет с документами по КСИИ, ответ был таков — отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
- За этим документом последуют и другие — уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.
Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты.
А кто будет контролировать выполнение требований ФСТЭК (законопроект ведь ФСБ разрабатывает)?
Каков будет статус документа (обязательный/справочный)?
Скорее всего, законопроект и поделит эту поляну между регуляторами.
Документ обязательный для АСУ ТП. Разработан во исполнение поручения Президента. Контролировать будут пополам — для объектов средней и низкой опасности — ФСТЭК, а для объектов высокой опасности — ФСБ. Предварительно это планировалось так.