Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу - ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта доказывать свою крутизну, развития российского рынка ИБ, поднятие его с колен, отстаивание интересов России на международной арене и воспитание молодежи (правда, с позиций "как ломать", а не "как защищать"), а реально поработать над документом? Но вернемся к конференции ФСТЭК:
Тезисы были озвучены следующие:
- Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.
- Документ разработан во исполнение поручения Президента РФ и он должен лечь "под" разрабатываемый ФСБ законопроект по защите критических информационных инфраструктур.
- Классификация АСУ ТП немного отличается от принятой в 17-м приказе - классов защищенности будет 3, а не 4. Это сделано специально - они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
- ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так - не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
- Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.
- Среди других интересных моментов - согласованность мер по защите и технологической безопасности. Я про это как-то уже писал и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
- Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются - управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер - безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях.
- На вопрос, о том, что будет с документами по КСИИ, ответ был таков - отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
- За этим документом последуют и другие - уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.
Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты.