Конференция ФСТЭК. Часть 2. Защита АСУ ТП

Конференция ФСТЭК. Часть 2. Защита АСУ ТП
Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен  на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу - ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта доказывать свою крутизну, развития российского рынка ИБ, поднятие его с колен, отстаивание интересов России на международной арене и воспитание молодежи (правда, с позиций "как ломать", а не "как защищать"), а реально поработать над документом? Но вернемся к конференции ФСТЭК:

Тезисы были озвучены следующие:
  • Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.


  • Документ разработан во исполнение поручения Президента РФ и он должен лечь "под" разрабатываемый ФСБ законопроект  по защите критических информационных инфраструктур.
  • Классификация АСУ ТП немного отличается от принятой в 17-м приказе - классов защищенности будет 3, а не 4. Это сделано специально - они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
  • ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так - не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм  оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
  • Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.

  • Среди других интересных моментов - согласованность мер по защите и технологической безопасности. Я про это как-то уже писал  и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
  • Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются - управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер - безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях. 



  • На вопрос, о том, что будет с документами по КСИИ, ответ был таков - отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
  • За этим документом последуют и другие - уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.
Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты. 
классификация законодательство ФСТЭК SCADA
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение