Как я и говорил во время семинара , ФСТЭК опубликовала разъяснение по поводу 31-го приказа и его соотнесения с ранее выпущенными документами по ключевым системам информационной инфраструктуры (КСИИ). Разъяснение небольшое - в нем всего несколько тезисов:
- АСУ ТП являются подмножеством КСИИ, но защищаться должны по новому 31-му приказу.
- Моделирование угроз для АСУ ТП может осуществляться по прежним двум документам ФСТЭК - "Базовой модели угроз КСИИ" и "Методике определения актуальных угроз КСИИ".
- Методические документы по КСИИ - "Рекомендации" и "Общие требования" - по-прежнему действуют и могут использоваться для изучения особенностей АСУ ТП. Правда, эти документы имеют гриф "ДСП".
- 31-й приказ вступает в силу с момента его официального опубликования (должно скоро произойти) и будет действовать для всех АСУ ТП, вводимых в действие после этого момента. АСУ ТП, введенные в действие до вступления в силу 31-го приказа, могут "жить" по старому. Однако ФСТЭК настойчиво рекомендует следовать и для "старых" систем новым требованиям.
- Сертификация средств защиты является неединственной формой оценки соответствия - возможны и другие, по решению заказчика АСУ ТП. Аналогичная ситуация и с аттестацией АСУ ТП.
Этим разъяснением ФСТЭК открывает новую ветку в выпуске методических документов по вопросам защиты информации в АСУ ТП. В разработке находятся методички по реагированию на инциденты, по анализу уязвимостей, по управлению конфигурацией, по аттестации. Кроме того, в следующем году ФСТЭК планирует внести изменения в приказ №17 и расширить состав мер по аналогии с приказом №31 (что логично, т.к. в 17-м не хватает вопросов планирования, реагирования на инциденты, управления конфигурацией и работы с людьми). Также планируется разработка методички "Меры защиты АСУ ТП" по аналогии с "Мерами защиты ГИС".