Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Разъяснение небольшое — в нем всего несколько тезисов:
- АСУ ТП являются подмножеством КСИИ, но защищаться должны по новому 31-му приказу.
- Моделирование угроз для АСУ ТП может осуществляться по прежним двум документам ФСТЭК — «Базовой модели угроз КСИИ» и «Методике определения актуальных угроз КСИИ».
- Методические документы по КСИИ — «Рекомендации» и «Общие требования» — по-прежнему действуют и могут использоваться для изучения особенностей АСУ ТП. Правда, эти документы имеют гриф «ДСП».
- 31-й приказ вступает в силу с момента его официального опубликования (должно скоро произойти) и будет действовать для всех АСУ ТП, вводимых в действие после этого момента. АСУ ТП, введенные в действие до вступления в силу 31-го приказа, могут «жить» по старому. Однако ФСТЭК настойчиво рекомендует следовать и для «старых» систем новым требованиям.
- Сертификация средств защиты является неединственной формой оценки соответствия — возможны и другие, по решению заказчика АСУ ТП. Аналогичная ситуация и с аттестацией АСУ ТП.
Этим разъяснением ФСТЭК открывает новую ветку в выпуске методических документов по вопросам защиты информации в АСУ ТП. В разработке находятся методички по реагированию на инциденты, по анализу уязвимостей, по управлению конфигурацией, по аттестации. Кроме того, в следующем году ФСТЭК планирует внести изменения в приказ №17 и расширить состав мер по аналогии с приказом №31 (что логично, т.к. в 17-м не хватает вопросов планирования, реагирования на инциденты, управления конфигурацией и работы с людьми). Также планируется разработка методички «Меры защиты АСУ ТП» по аналогии с «Мерами защиты ГИС».
Тем не менее, ключевой вопрос остался без ответа — на сколько эти требования обязательны?
Этот комментарий был удален автором.
"осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами…"
Интересно, есть в России нечувствительные или не важные для государства процессы? Даже личные блоги я бы не рискнул назвать не важными для государства… Может, уже пора их защищать по 31-му?
Хороший вопрос 🙂
Такой вопрос: если у меня задача понять какие требования есть к защите АСУ ТП и транслировать это специалистам. Какие, по вашему мнению, документы заказывать документы у ФСТЭК?
Скачать 31-й приказ с сайта ФСТЭК. Потом заказать 2 документа по КСИИ, упомянутые в разъяснение ФСТЭК. До кучи можно заказать ГОСТы ОР по КСИИ, но это уже лишнее.