плюс куча работы интеграторам, типа: 29.5. В ходе оценки требований к испытаниям по выявлению уязвимостей и недекларированных возможностей в программном обеспечении разработчиком значимого объекта осуществляется анализ:

результатов статического анализа исходного кода программного обеспечения;

результатов фаззинг-тестирования программного обеспечения, направленного на выявление архитектурных уязвимостей и уязвимостей кода
‎в программном обеспечении.

Для программного обеспечения, планируемого к применению в значимых объектах 1 и 2 категории значимости, дополнительно осуществляется анализ результатов динамического анализа исходного кода программного обеспечения.

Изменения в приказ еще не приняли, так что размер пздца еще предстоит оценить (

Интересует мнение о контроллерах и АСУ ТП фирмы EMERSON. Как они в плане информационной безопасности зарекомендовали себя?

В энергетике Украины и России АСУ ТП и Скада системы в большинстве своём фирмы EMERSON

У контроллеров инфобез не главное назначение :)

насчет РФ не уверен

Ну как бы разработки указанной компании являются самыми надёжными в плане ИБ, а также на порядок продвинутые чем российские

Так вы их продвигаете или что? До самых распространеных в РФ им далеко

если мы о их топовых deltaV то все очень хорошо: тут или тут
если о "младших" ПЛК типа PACSystems то тяжело сказать, они наоборот лезут вот в это все IIOT и как там с секьюрность полувстроеных вебсерверов внутри ПЛК... (наверное так же как в Siemens S-1500)

Так я и говорю о том, что например плк Siemens неоднократно были замечены в инцидентах (например в Иране), а вот Эмерсон в таких ситуациях не были замечены. Получается они самые надёжные в мире.

Получается что они самые недоступные для студентов в мире.
security by obscurity

В Иране совсем другая история

Получается в плк Siemens есть намерено заложенные бэкдоры, а в Эмерсоновских нет. Получается американцы честнее или опытнее в вопросах иб)))

давайте зайдите в гугл и попробуйте купить emerson plc (не на ebay)

Они что себя позиционируют как техника двойного назначения)) навряд ли в свободной продаже ведь

Для энергетики у них Овация, но в России внедрений по пальцам пересчитать

разная модель оповещений и распространения на лицо:
немцы выбрали открытый CERT и открытую продажу
американцы же (не только Emerson) дают такое только обладателям лицензий на поддержку

Как бы ФСТЭК и другие не пытались ввести требования в использовании отечественного по АСУ ТП, но все равно американские разработки в плане безопасности самые надёжные.

Ещё раз - для контроллеров АСУ ТП инфобез никогда не стоял на первом месте. Это не функциональные требования.

Например с асу тп Эмерсон не было инцидентов в мире