Продолжаю делиться воспоминаниями о конференции ФСТЭК. На этот раз речь пойдет о том, что планирует сделать ФСТЭК в области регулирования вопросов защиты информации в АСУ ТП? Виталий Сергеевич Лютиков озвучил планы по разработке 4-х новых документов, которые дополнят 31-й приказ:
- Меры защиты информации в АСУ ТП. Это будет аналог методического документа по мерам защиты в ГИС, но ориентированного на АСУ ТП (все-таки там есть и существенные отличия по ряду защитных мер).
- Порядок выявления и устранения уязвимостей в АСУ ТП. Чтобы понять отличия в подходах по поиску дыр в корпоративных и индустриальных сетях, достаточно взглянуть на эту картинку, описывающую классический ИБшный подход, плохо применимый к АСУ ТП.
- Методика определения угроз безопасности информации в АСУ ТП. Изначально предполагалось, что методика моделирования угроз будет единой и для ГИС, и для ИСПДн, и для АСУ ТП. Но, видимо, ФСТЭК решила, что для АСУ ТП моделирование угроз будет немного иным.
- Порядок реагирования на инциденты, связанные с нарушением безопасности информации.
Все документы запланированы на 2016 год. Как мне кажется это связано не только с большими планами ФСТЭК на 2015-й год по разработке/доработке 17-го приказа и кучи РД по сертификации, но и с тем, что как раз к 2016-му году Правительство РФ должно все-таки определиться с тем, что за федеральный орган исполнительной власти будет отвечать за безопасность критических информационных инфраструктур. В зависимости от этого ФСТЭК либо продолжит работу по направлению АСУ ТП, либо закроет для себя это направление, отдав его в ФСБ.
ЗЫ. Планируется еще две, последние заметки по результатам конференции ФСТЭК — про базу уязвимостей и базу угроз ФСТЭК, которые были опубликованы позавчера.
А вот я бы еще добавил, что нельзя так просто приводить нашей публике примеры с запада. Западные объекты не так замордованы промышленной безопасностью, поэтому у них и может быть, что отказ контроллера привел к многомиллионным потерям.
У нас такое практически невозможно — соответственно, подобные примеры могут только скепсиса со стороны автоматизаторов добавить.