Как я и говорил во время семинара, ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Разъяснение небольшое - в нем всего несколько тезисов:
- АСУ ТП являются подмножеством КСИИ, но защищаться должны по новому 31-му приказу.
- Моделирование угроз для АСУ ТП может осуществляться по прежним двум документам ФСТЭК - "Базовой модели угроз КСИИ" и "Методике определения актуальных угроз КСИИ".
- Методические документы по КСИИ - "Рекомендации" и "Общие требования" - по-прежнему действуют и могут использоваться для изучения особенностей АСУ ТП. Правда, эти документы имеют гриф "ДСП".
- 31-й приказ вступает в силу с момента его официального опубликования (должно скоро произойти) и будет действовать для всех АСУ ТП, вводимых в действие после этого момента. АСУ ТП, введенные в действие до вступления в силу 31-го приказа, могут "жить" по старому. Однако ФСТЭК настойчиво рекомендует следовать и для "старых" систем новым требованиям.
- Сертификация средств защиты является неединственной формой оценки соответствия - возможны и другие, по решению заказчика АСУ ТП. Аналогичная ситуация и с аттестацией АСУ ТП.
Этим разъяснением ФСТЭК открывает новую ветку в выпуске методических документов по вопросам защиты информации в АСУ ТП. В разработке находятся методички по реагированию на инциденты, по анализу уязвимостей, по управлению конфигурацией, по аттестации. Кроме того, в следующем году ФСТЭК планирует внести изменения в приказ №17 и расширить состав мер по аналогии с приказом №31 (что логично, т.к. в 17-м не хватает вопросов планирования, реагирования на инциденты, управления конфигурацией и работы с людьми). Также планируется разработка методички "Меры защиты АСУ ТП" по аналогии с "Мерами защиты ГИС".
6 коммент.:
Тем не менее, ключевой вопрос остался без ответа - на сколько эти требования обязательны?
"осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами..."
Интересно, есть в России нечувствительные или не важные для государства процессы? Даже личные блоги я бы не рискнул назвать не важными для государства... Может, уже пора их защищать по 31-му?
Хороший вопрос :-)
Такой вопрос: если у меня задача понять какие требования есть к защите АСУ ТП и транслировать это специалистам. Какие, по вашему мнению, документы заказывать документы у ФСТЭК?
Скачать 31-й приказ с сайта ФСТЭК. Потом заказать 2 документа по КСИИ, упомянутые в разъяснение ФСТЭК. До кучи можно заказать ГОСТы ОР по КСИИ, но это уже лишнее.
Отправить комментарий