Конференция ФСТЭК. Часть 2. Защита АСУ ТП

Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу - ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта балаболить о своей крутизне, лидерстве в области развития российского рынка ИБ, поднятии его с колен, отстаивании интересов России на международной арене и воспитании молодежи (правда, с позиций "как ломать", а не "как защищать"), а реально поработать над документом? Но вернемся к конференции ФСТЭК:

Тезисы были озвучены следующие:

• Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.

• Документ разработан во исполнение поручения Президента РФ и он должен лечь "под" разрабатываемый ФСБ законопроект по защите критических информационных инфраструктур.
• Классификация АСУ ТП немного отличается от принятой в 17-м приказе - классов защищенности будет 3, а не 4. Это сделано специально - они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
• ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так - не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
• Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.

• Среди других интересных моментов - согласованность мер по защите и технологической безопасности. Я про это как-то уже писал и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
• Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются - управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер - безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях. 

• На вопрос, о том, что будет с документами по КСИИ, ответ был таков - отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
• За этим документом последуют и другие - уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.

Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты.