Конференция ФСТЭК. Часть 2. Защита АСУ ТП

Законодательство
Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу — ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта балаболить о своей крутизне, лидерстве в области развития российского рынка ИБ, поднятии его с колен, отстаивании интересов России на международной арене и воспитании молодежи (правда, с позиций «как ломать», а не «как защищать»), а реально поработать над документом? Но вернемся к конференции ФСТЭК:
Тезисы были озвучены следующие:
  • Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.

  • Документ разработан во исполнение поручения Президента РФ и он должен лечь «под» разрабатываемый ФСБ законопроект по защите критических информационных инфраструктур.
  • Классификация АСУ ТП немного отличается от принятой в 17-м приказе — классов защищенности будет 3, а не 4. Это сделано специально — они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
  • ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так — не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
  • Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.

  • Среди других интересных моментов — согласованность мер по защите и технологической безопасности. Я про это как-то уже писал и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
  • Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются — управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер — безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях. 
  • На вопрос, о том, что будет с документами по КСИИ, ответ был таков — отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
  • За этим документом последуют и другие — уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.
Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты. 
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Artem Ageev

    А кто будет контролировать выполнение требований ФСТЭК (законопроект ведь ФСБ разрабатывает)?

    Каков будет статус документа (обязательный/справочный)?

    Ответить
  2. Александр Германович

    Скорее всего, законопроект и поделит эту поляну между регуляторами.

    Ответить
  3. Алексей Лукацкий

    Документ обязательный для АСУ ТП. Разработан во исполнение поручения Президента. Контролировать будут пополам — для объектов средней и низкой опасности — ФСТЭК, а для объектов высокой опасности — ФСБ. Предварительно это планировалось так.

    Ответить