На публичное обсуждение выложен проект приказа ФСТЭК России "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239"
http://regulation.gov.ru/projects#npa=82028
1. Изменения в 239 приказ запланированы для исправления ошибок, допущенных при утверждении приказа. В тексте действующего приказа в 16 разделе Мер безопасности указано две меры ДНС.5, но с разным описанием. Предлагается не только восстановить нумерацию мер, но и сделать ДНС.6 базовой для всех классов значимых объектов КИИ. Сейчас они относятся к корректирующим или дополнительным мерам.
2. С 31 приказом изменения намного более радикальнее и критичнее.
Уже в пояснительной записке к проекту приказа честно указано "Проектом приказа в приказ ФСТЭК России от 14 марта 2014 г. № 31 вносятся изменения, направленные на его актуализацию, а также на унификацию мер защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, с мерами обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации."
Только унифицировали с ужесточением:
Норма ЗИС.7 "Песочница" сделана базовой для 1 и 2 класса защищенности АСУ, в отличии от 239 приказа, где она дополнительная для всех классов значимых объектов КИИ.
Фактически, ФСТЭК распространила требования по обеспечению безопасности значимых объектов КИИ на АСУ ТП, функционирующих вне сфер деятельности 187-ФЗ. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст.274.1. УК РФ.
Для владельцев АСУ ТП, которые являются объектами КИИ, вообще убрали "проблему выбора". Присвоите вы категорию значимости КИИ или примете решение о "незначимости" - это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК. Будете 239 приказ выполнять или 31, а наборы мер в них одинаковые..
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Интересная статья.
ОтветитьУдалитьВопросы:
1. Почему это до этого АСУТП не попадали под 187 ФЗ?
2. И почему для владельцев АСУТП отсутствует риск уголовного преследования?
Потому что АСУ ТП будет объектом КИИ только в случаях, если функционирования в 13 сферах деятельности, указанных в 187-ФЗ. Риск уголовного преследования отсутствует только для владельцев АСУ ТП, не функционирующих в этих сферах. Они не объекты КИИ и на ст.274.1 УК РФ к ним не применима
УдалитьПроект утвердили, зарегистрирован в Минюсте, официально опубликован сегодня (6 сентября 2018 г).
ОтветитьУдалитьСпасибо за информацию. Уточнил у сотрудников ФСТЭК назначение обновлённого 31 приказа, подтвердили позицию из заметки- 31 приказ будет применятся для защиты АСУ, которые незначимые объекты КИИ.
ОтветитьУдалить