Разъяснение ФСТЭК по 31-му приказу

Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Разъяснение небольшое — в нем всего несколько тезисов:
  1. АСУ ТП являются подмножеством КСИИ, но защищаться должны по новому 31-му приказу.
  2. Моделирование угроз для АСУ ТП может осуществляться по прежним двум документам ФСТЭК — «Базовой модели угроз КСИИ» и «Методике определения актуальных угроз КСИИ».
  3. Методические документы по КСИИ — «Рекомендации» и «Общие требования» — по-прежнему действуют и могут использоваться для изучения особенностей АСУ ТП. Правда, эти документы имеют гриф «ДСП».
  4. 31-й приказ вступает в силу с момента его официального опубликования (должно скоро произойти) и будет действовать для всех АСУ ТП, вводимых в действие после этого момента. АСУ ТП, введенные в действие до вступления в силу 31-го приказа, могут «жить» по старому. Однако ФСТЭК настойчиво рекомендует следовать и для «старых» систем новым требованиям.
  5. Сертификация средств защиты является неединственной формой оценки соответствия — возможны и другие, по решению заказчика АСУ ТП. Аналогичная ситуация и с аттестацией АСУ ТП.
Этим разъяснением ФСТЭК открывает новую ветку в выпуске методических документов по вопросам защиты информации в АСУ ТП. В разработке находятся методички по реагированию на инциденты, по анализу уязвимостей, по управлению конфигурацией, по аттестации. Кроме того, в следующем году ФСТЭК планирует внести изменения в приказ №17 и расширить состав мер по аналогии с приказом №31 (что логично, т.к. в 17-м не хватает вопросов планирования, реагирования на инциденты, управления конфигурацией и работы с людьми). Также планируется разработка методички «Меры защиты АСУ ТП» по аналогии с «Мерами защиты ГИС». 
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Vair

    Тем не менее, ключевой вопрос остался без ответа — на сколько эти требования обязательны?

    Ответить
  2. Александр Германович

    Этот комментарий был удален автором.

    Ответить
  3. Александр Германович

    "осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами…"

    Интересно, есть в России нечувствительные или не важные для государства процессы? Даже личные блоги я бы не рискнул назвать не важными для государства… Может, уже пора их защищать по 31-му?

    Ответить
  4. Алексей Лукацкий

    Хороший вопрос 🙂

    Ответить
  5. Dorofeev

    Такой вопрос: если у меня задача понять какие требования есть к защите АСУ ТП и транслировать это специалистам. Какие, по вашему мнению, документы заказывать документы у ФСТЭК?

    Ответить
  6. Алексей Лукацкий

    Скачать 31-й приказ с сайта ФСТЭК. Потом заказать 2 документа по КСИИ, упомянутые в разъяснение ФСТЭК. До кучи можно заказать ГОСТы ОР по КСИИ, но это уже лишнее.

    Ответить