На публичное обсуждение выложен проект приказа ФСТЭК России "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239"
http://regulation.gov.ru/projects#npa=82028
name='more'>
1. Изменения в 239 приказ запланированы для исправления ошибок, допущенных при утверждении приказа. В тексте действующего приказа в 16 разделе Мер безопасности указано две меры ДНС.5, но с разным описанием. Предлагается не только восстановить нумерацию мер, но и сделать ДНС.6 базовой для всех классов значимых объектов КИИ. Сейчас они относятся к корректирующим или дополнительным мерам.
2. С 31 приказом изменения намного более радикальнее и критичнее.
Уже в пояснительной записке к проекту приказа честно указано "Проектом приказа в приказ ФСТЭК России от 14 марта 2014 г. № 31 вносятся изменения, направленные на его актуализацию, а также на унификацию мер защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, с мерами обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации."
Только унифицировали с ужесточением:
Норма ЗИС.7 "Песочница" сделана базовой для 1 и 2 класса защищенности АСУ, в отличии от 239 приказа, где она дополнительная для всех классов значимых объектов КИИ.
Фактически, ФСТЭК распространила требования по обеспечению безопасности значимых объектов КИИ на АСУ ТП, функционирующих вне сфер деятельности 187-ФЗ. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст.274.1. УК РФ.
Для владельцев АСУ ТП, которые являются объектами КИИ, вообще убрали "проблему выбора". Присвоите вы категорию значимости КИИ или примете решение о "незначимости" - это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК. Будете 239 приказ выполнять или 31, а наборы мер в них одинаковые..
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
