29.7.14

Разъяснение ФСТЭК по 31-му приказу

Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Разъяснение небольшое - в нем всего несколько тезисов:

  1. АСУ ТП являются подмножеством КСИИ, но защищаться должны по новому 31-му приказу.
  2. Моделирование угроз для АСУ ТП может осуществляться по прежним двум документам ФСТЭК - "Базовой модели угроз КСИИ" и "Методике определения актуальных угроз КСИИ".
  3. Методические документы по КСИИ - "Рекомендации" и "Общие требования" - по-прежнему действуют и могут использоваться для изучения особенностей АСУ ТП. Правда, эти документы имеют гриф "ДСП".
  4. 31-й приказ вступает в силу с момента его официального опубликования (должно скоро произойти) и будет действовать для всех АСУ ТП, вводимых в действие после этого момента. АСУ ТП, введенные в действие до вступления в силу 31-го приказа, могут "жить" по старому. Однако ФСТЭК настойчиво рекомендует следовать и для "старых" систем новым требованиям.
  5. Сертификация средств защиты является неединственной формой оценки соответствия - возможны и другие, по решению заказчика АСУ ТП. Аналогичная ситуация и с аттестацией АСУ ТП.
Этим разъяснением ФСТЭК открывает новую ветку в выпуске методических документов по вопросам защиты информации в АСУ ТП. В разработке находятся методички по реагированию на инциденты, по анализу уязвимостей, по управлению конфигурацией, по аттестации. Кроме того, в следующем году ФСТЭК планирует внести изменения в приказ №17 и расширить состав мер по аналогии с приказом №31 (что логично, т.к. в 17-м не хватает вопросов планирования, реагирования на инциденты, управления конфигурацией и работы с людьми). Также планируется разработка методички "Меры защиты АСУ ТП" по аналогии с "Мерами защиты ГИС". 

6 коммент.:

Vair комментирует...

Тем не менее, ключевой вопрос остался без ответа - на сколько эти требования обязательны?

Александр Германович комментирует...
Этот комментарий был удален автором.
Александр Германович комментирует...

"осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами..."

Интересно, есть в России нечувствительные или не важные для государства процессы? Даже личные блоги я бы не рискнул назвать не важными для государства... Может, уже пора их защищать по 31-му?

Алексей Лукацкий комментирует...

Хороший вопрос :-)

Dorofeev комментирует...

Такой вопрос: если у меня задача понять какие требования есть к защите АСУ ТП и транслировать это специалистам. Какие, по вашему мнению, документы заказывать документы у ФСТЭК?

Алексей Лукацкий комментирует...

Скачать 31-й приказ с сайта ФСТЭК. Потом заказать 2 документа по КСИИ, упомянутые в разъяснение ФСТЭК. До кучи можно заказать ГОСТы ОР по КСИИ, но это уже лишнее.