Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме


КСИИ,
приказ ФСТЭК №31

I Пролог

II Ключ на старт

III Калькулятор, как инструмент ИБ

IV 100 и больше - перспектива КИИ

V 100 и меньше - изучаем приказ №31

VI Назад, к арифметике

VII Финиш?

 

Организация защиты ключевых систем информационной инфраструктуры (КСИИ),
приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП

 

Лед тронулся, господа присяжные заседатели! - как говорил известный персонаж. Часть дела сделана, но во ФСТЭК тоже работают умные люди, которые, глядя на удручающую статистику по результатам внесения объектов и систем в Реестр КСИИ, тоже просчитали, как местные умельцы так ловко вышли из-под этих требований. Цели нормативных документов по КСИИ так и остались недостижимы, угрозы прежние, а риски с ростом квалификации хакеров и возможностями потенциальных противников лишь увеличились.

Естественное решение – закрыть брешь и обязать собственников объектов КВО обеспечить адекватную угрозам защиту при оценке объектов до 100 попугаев. Следствием работы стало появление Приказа ФСТЭК России от 14.03.2014 N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (зарегистрирован в Минюсте России 30.06.2014 N 32919, опубликован 26.08.2014г.).

Чтение этого тщательно проработанного документа доставляет удовольствие – появилась, наконец, возможность при отсутствии пророка в своем отечестве утверждать и внедрять «неудобные» ИБ-решения, опираясь на мнение уважаемого регулятора. Появился рычаг эффективного воздействия на разработчиков АСУ ТП - их этот приказ привел в ужас, но они стали намного сговорчивее при появлении ранее непонятных для них требований типа предъявления отчетов по проведению внешних аудитов их компаний для участия в конкурсных процедурах. ) Приказ публично обсуждался на предварительных этапах, учитывает множество замечаний, появился на хорошо подготовленной в среде ИБ почве и распространяется без ограничений – открываем и изучаем.

Следует заметить, что по некоторым вопросам, оставшимся без внимания в тексте приказа, было издано информационное сообщение ФСТЭК России от 25.07.2014 N 240/22/2748 "По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. № 31…, в котором прямо указано, что АСУ ТП «..на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, рассматриваются как один из классов ключевых систем информационной инфраструктуры..». И ТЭК попал.

Очевидно, что текст документа написан вменяемым [ИБ-]языком, читается и понимается без труда. Перечень требований и критерии их применения основаны на анализе ИТ/ИБ рисков, а порядок их применения отдан на откуп компаниям. Заметна разница (и рука автора) в степени проработки отдельных блоков требований (а их 21), к примеру, требования к ПО оставляют надежду на их скорую корректировку, но, по словам регулятора, за этим дело не станет.

Страница 1 2 3 4 5 6 7

© Центр Сетевой Безопасности Арнис, 2014

о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница