Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме


КСИИ,
приказ ФСТЭК №31

I Пролог

II Ключ на старт

III Калькулятор, как инструмент ИБ

IV 100 и больше - перспектива КИИ

V 100 и меньше - изучаем приказ №31

V Назад, к арифметике

VII Финиш?

 

Организация защиты ключевых систем информационной инфраструктуры (КСИИ),
приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП

Место для поздравлений, выраженных в виде заслуженных премий труженикам невидимого фронта.

Следующий шаг - выбор адекватных угрозам АС защитных мер в соответствии с определенным классом защищенности по таблице (Приложение 2 к приказу №31).
При внимательном анализе нормативных документов «всплывают» некоторые существенные детали, относящиеся к объектам оценки и порядку их дальнейшей эксплуатации. П.2 .информационного сообщения ФСТЭК гласит:

«По вопросам вступления в силу Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, а также необходимости модернизации систем защиты автоматизированных систем управления производственными и технологическими процессами, введенных в эксплуатацию до вступления в силу указанных Требований.

И, далее:
АСУ ТП, «.,введенные в эксплуатацию до вступления в силу Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, могут эксплуатироваться без доработки их системы защиты. В случае принятия решения владельцем автоматизированной системы управления производственными и технологическими процессами о ее плановой модернизации, такие мероприятия проводятся с учетом указанных Требований».

Этот айсберг таит несколько сюрпризов:

  1. АС должны соответствовать проектной документации.
  2. АС, введенные в эксплуатацию до момента публикации приказа №31, могут оставаться в неизменном состоянии.
  3. АС, модернизированные до момента публикации приказа №31, также могут оставаться в прежнем состоянии, если изменения внесены в проектную документацию.
  4. При модернизации АС после публикации приказа №31 ТЗ должно отвечать требованиям приказа №31.

П.3 сразу напрягает дирекцию по финансам. Избежать проблему можно единственным способом – откатить назад все невнесенные в проектную документацию изменения, вплоть до полной изоляции АС от корпоративной сети и любых, не предусмотренных проектом связей и улучшений, даже защитных, в т.ч. отключение от AD, удаление АВЗ и т.д.

П.4 – судьба. Следует подумать о терминологии и, с калькулятором в руках, о предпочтениях – обновление системы или модернизация? Замена контроллера, как и простого предохранителя, на аналогичный не изменяет функционирование АС и не является модернизацией(!) в отличие от замены пары-другой контроллеров каким-нибудь более продвинутым или промышленным компьютером. Не стоит увлекаться гонкой за прогрессом – в этой сфере здравый смысл и умеренный консерватизм может обеспечить заданный проектом уровень защищенности систем на всем их жизненном цикле.

И на десерт:
«Вместе с тем ФСТЭК России рекомендует владельцам автоматизированных систем управления производственными и технологическими процессами спланировать (в случае технической возможности) поэтапное приведение своих систем управления в соответствие с Требованиями, утвержденными приказом ФСТЭК России от 14 марта 2014 г. N 31.»
Нечего добавить.

Итак, формальная часть по проведению оценки защищенности выполнена – приступаем к выбору требований в соответствии с классом АС, разработке рекомендаций, технических заданий, планам их реализации и готовим документы для внесения в реестр КСИИ.

Не будет лишне напомнить, что значительная часть защитных мер уже могла быть ранее реализована в рамках защиты информационных ресурсов компании.

 

В.Б.

Страница 1 2 3 4 5 6 7

© Центр Сетевой Безопасности Арнис, 2014

о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница