Планы ФСТЭК по развитию нормативной базы в области АСУ ТП

Законодательство
Продолжаю делиться воспоминаниями о конференции ФСТЭК. На этот раз речь пойдет о том, что планирует сделать ФСТЭК в области регулирования вопросов защиты информации в АСУ ТП? Виталий Сергеевич Лютиков озвучил планы по разработке 4-х новых документов, которые дополнят 31-й приказ:

  • Меры защиты информации в АСУ ТП. Это будет аналог методического документа по мерам защиты в ГИС, но ориентированного на АСУ ТП (все-таки там есть и существенные отличия по ряду защитных мер).
  • Порядок выявления и устранения уязвимостей в АСУ ТП. Чтобы понять отличия в подходах по поиску дыр в корпоративных и индустриальных сетях, достаточно взглянуть на эту картинку, описывающую классический ИБшный подход, плохо применимый к АСУ ТП.
  • Методика определения угроз безопасности информации в АСУ ТП. Изначально предполагалось, что методика моделирования угроз будет единой и для ГИС, и для ИСПДн, и для АСУ ТП. Но, видимо, ФСТЭК решила, что для АСУ ТП моделирование угроз будет немного иным.
  • Порядок реагирования на инциденты, связанные с нарушением безопасности информации. 
Все документы запланированы на 2016 год. Как мне кажется это связано не только с большими планами ФСТЭК на 2015-й год по разработке/доработке 17-го приказа и кучи РД по сертификации, но и с тем, что как раз к 2016-му году Правительство РФ должно все-таки определиться с тем, что за федеральный орган исполнительной власти будет отвечать за безопасность критических информационных инфраструктур. В зависимости от этого ФСТЭК либо продолжит работу по направлению АСУ ТП, либо закроет для себя это направление, отдав его в ФСБ.

ЗЫ. Планируется еще две, последние заметки по результатам конференции ФСТЭК — про базу уязвимостей и базу угроз ФСТЭК, которые были опубликованы позавчера.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. doom

    А вот я бы еще добавил, что нельзя так просто приводить нашей публике примеры с запада. Западные объекты не так замордованы промышленной безопасностью, поэтому у них и может быть, что отказ контроллера привел к многомиллионным потерям.

    У нас такое практически невозможно — соответственно, подобные примеры могут только скепсиса со стороны автоматизаторов добавить.

    Ответить