Планы ФСТЭК по развитию нормативной базы в области АСУ ТП

Продолжаю делиться воспоминаниями о конференции ФСТЭК. На этот раз речь пойдет о том, что планирует сделать ФСТЭК в области регулирования вопросов защиты информации в АСУ ТП? Виталий Сергеевич Лютиков озвучил планы по разработке 4-х новых документов, которые дополнят 31-й приказ:

• Меры защиты информации в АСУ ТП. Это будет аналог методического документа по мерам защиты в ГИС, но ориентированного на АСУ ТП (все-таки там есть и существенные отличия по ряду защитных мер).
• Порядок выявления и устранения уязвимостей в АСУ ТП. Чтобы понять отличия в подходах по поиску дыр в корпоративных и индустриальных сетях, достаточно взглянуть на эту картинку, описывающую классический ИБшный подход, плохо применимый к АСУ ТП.

• Методика определения угроз безопасности информации в АСУ ТП. Изначально предполагалось, что методика моделирования угроз будет единой и для ГИС, и для ИСПДн, и для АСУ ТП. Но, видимо, ФСТЭК решила, что для АСУ ТП моделирование угроз будет немного иным.
• Порядок реагирования на инциденты, связанные с нарушением безопасности информации. 

Все документы запланированы на 2016 год. Как мне кажется это связано не только с большими планами ФСТЭК на 2015-й год по разработке/доработке 17-го приказа и кучи РД по сертификации, но и с тем, что как раз к 2016-му году Правительство РФ должно все-таки определиться с тем, что за федеральный орган исполнительной власти будет отвечать за безопасность критических информационных инфраструктур. В зависимости от этого ФСТЭК либо продолжит работу по направлению АСУ ТП, либо закроет для себя это направление, отдав его в ФСБ.

ЗЫ. Планируется еще две, последние заметки по результатам конференции ФСТЭК - про базу уязвимостей и базу угроз ФСТЭК, которые были опубликованы позавчера.