Добрый день. Стоит задача применить компенсирующие меры на АРМ и серверах АСУ ТП, на которых по каким-либо причинам невозможно установить антивирусное ПО, а именно одни из этих мер: 1.Отключение неиспользуемого функционала ОС; 2.Удаление неиспользуемого прикладного ПО; 3.Ограничение сетевого доступа на уровне межсетевого экрана ОС только по используемым системой АСУ ТП портам и протоколам. Существуют ли какие-нибудь методики применения указанных мер для АСУ ТП, либо рекомендации по настройке, или какие-то типовые параметры (функционал/службы/компоненты ОС, порты/протоколы и т.д.), которые должны быть отключены на АРМ и серверах в составе систем АСУ ТП?

Обычно подобные гайдлайны уже подготовлены вендорами АСУ ТП.

FYI. Компания Сименс опубликовала рекомендованные настройки встроенных средств безопасности Win7 и Win10 для промПК, работающих в режимах standalone и networked.

Обратите внимание, что данные меры являются необходимыми, но ни в коем случае не достаточными для защиты "от всего". Соответственно, прикладываемые документы являются отправной точкой для адаптации к конкретным системам АСУ.

https://support.industry.siemens.com/cs/document/109475014/recommended-security-settings-for-ipcs-in-the-industrial-environment?dti=0&dl=en&lc=ru-RU

Например вот недавнее от Siemens, @AlexanderLifanov

По Siemens да, находил. Но этого недостаточно. В открытом доступе такой информации у вендоров практически нет. А по официальному запросу большинство, а точнее почти все, не то что не представляют, а даже не отвечают.

Напишите в личку какие вендоры

Проблема усугубляется еще и тем, что по большинству систем ни администраторы АСУ ТП, ни специалисты ИБ не могут достоверно ответить, какие компоненты ОС и какие протоколы используются системами (нет ни документации эксплуатационной с такой информацией, ни рекомендаций производителей и т.п.), некоторые системы десятилетями работают и внутрь никто не лез.

Ну тогда вам надо во всех legacy-системах разобраться, либо провести аудит. И только потом лезть. Иначе можно и накуролесить.

Согласен. Но когда количество систем исчисляется сотнями и они распределены географически, то эту работу можно делать бесконечно. Хотелось бы начать с исключения каких-то базовых угроз и уязвимых протоколов.

Поэтому и инвентаризационный аудит рекомендуется когда-нибудь сделать.
Исключение базовых уязвимостей это дело хорошее, но надо хоть примерно понимать, что может упасть если обновление на SCADA-сервер накатить.
Если ваши АСУшники готовы посодействовать на местах, то можно попробовать.

Киберпреступники могут взломать современное медицинское оборудование, которое хранит критически важную информацию о пациентах, и модифицировать изображения, полученные в результате 3D-сканирования, добавив или удалив раковую опухоль. Специалисты Национального научно-исследовательского центра кибербезопаности при Университете имени Бен-Гуриона в Негеве продемонстрировали, как злоумышленник может ввести в заблуждение врачей, скомпрометировав компьютерный томограф и изменив результаты диагностики.    
ИБ-эксперты заставили медицинское оборудование выдавать ложные результаты

В рамках новых стандартов по релейной защите в магистратуре МЭИ студентов обучают в том числе и вопросам кибербезопасности

Доклад с отчетом по деятельности  совместной РГ По вопросам кибербезопасности Максима Никандрова

ФСК ЕЭС разрабатывает стандарт с требованиями secure by design

Тема интересная, только определиться надо, что за ось.

У нормальных вендоров ОС есть hardening guide по своим системам. Их надо согласовать с АСУТП вендорами. Или запросить у вендора рекомендации по hardeining