Итак, у нас уже есть Приказы ФСТЭК России №17 и №21, а также проект документа по защите АСУ ТП . Можно заметить, что таблицы мер (из приложения) у них практически идентичны, но отличия есть. Например, в мерах Приказа 17 нет управления инцидентами и конфигурациями (они "размазаны" по тексту приказа). А вот в документе по АСУ ТП появились положения по разработке правил и процедур ИБ (для каждой группы мер), а также новые группы :
- XIV. Обеспечение безопасной разработки прикладного (специального) программного обеспечения разработчиком (ОБР)
- XV. Управление обновлениями программного обеспечения (ОПО)
- XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)
- XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)
- XVIII. Информирование и обучение пользователей (ИПО)
- XIX. Анализ угроз безопасности информации и рисков от их реализации (УБИ)
На самом деле, они не новы. Эти меры можно было увидеть в текстовой части Приказа 17. Очень хорошо, что мои замечания были учтены .
Для удобства сделал общую таблицу мер, делюсь:
P.S. Еще можно посмотреть: