Ну вот например ☝️

так одно другому не мешает, для критичных систем одно, для остального и требования государства не нужны, сами решат как им защащать или нет

А кто мешает использовать не для критичных тебе требования что и для критичных? Вопрос только в обосновании целесообразности и уровня вовлечения руководства и технологичны в задачи безопасности

Так, например 31 приказ никто почти не использовал ранее, а теперь его вовсю рассматривают в качестве альтернативы 187, подзаконным актам и 1015 :)

альтернативы?

КСИИ шные доки

Не я спросил :)

А если серьезно, кто мешает использовать лучшие практики ? И писать собственные стандарты основанные на них?

так стандарты по умолчаню всегда отстают. Без них конечно нельзя, но для того чтоб они были хотя бы адекватны нужна приличная такая бюрократическая машина и комьюнити, которое поддерживает экспертизой разработчиков стандартов. В Россетях это более-менее получилось с новыми СТО. ( но не в части ИБ только)))

как на аэс)

Вакансия в Emerson
Эксперт по прикладным решениям АСУ ТП

Основные задачи:
Разработка и внедрение прикладных технических решений в проектах АСУ ТП, связанных с промышленными информационными сетями и протоколами передачи данных, технологиями виртуализации, информационной безопасностью, беспроводными технологиями.

https://hh.ru/vacancy/37289521

Конечно не согласится, потому что физическая безопасность не про ИБ, а про управление рисками. Не кибер рисками а вообще рисками. и обеспечение фической безопасности - это мера для снижения риска. Так же как и обеспечение безопасности персонала на производстве.

Почему вы думаете, что безопасность оборудования ниже 2 го уровня можно решить сторожами и замками? Это только один из методов контроля, требуется и техническое решение, которое мало кто сейчас может предложить

а с чего вы решили что безопасность технологических систем на первом уровне - единственный аспект физической безопасности таких систем?

меры еще должны быть экономически оправданы. Тем более, что в некоторых случаях наличие ЧОО обязательно, а если они закрывают ряд рисков ИБ, зачем платить больше?

Потому что вся история безопасности производственных систем началась с атаки на нижний уровень и игнорировать их или принижать их значение не стоит

абсолютно верно. об этом собственно и речь. защищать только в соответствии с моделью оси, или принимать все меры, которые лежжат в области функциональной, физической и кибербезопасности для предотвращения рисков .

Dale Peterson еще раз открыл бесплатный доступ ко второму онлайн тренингу: The Highway Workshop. 201- Level ICS Cybersecurity Training.

Стартует 8 июня.

Содержание
1. NIST CSF and Maturity Models – Joel Langill of AECOM
2. Security Requirements and Acceptance Testing – Mark Heard
3. ICS Asset Management and Security – Ralph Langner of Langner, Inc.
4. ICS Cyber Security Assessments – Jonathan Pollet of Red Tiger
5. Cyber / Physical Attacks – Jason Larsen of IOActive
6. Consequence Reduction As A Risk Management Strategy – Andy Bochman of INL
7. ICS Incident Response: The Tabletop Exercise – Kai Thomsen of SANS
8. Edge, Fog and SDN – Tim Watkins of SEL

https://s4xevents.com/highway