ГОСТ 56939 или что-то реальное? ))

IEC 62443-4-1:2018 

Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements

https://webstore.iec.ch/publication/33615

А он не реальный?

IEC 62443-3-2 и 3-3 представляют основы PHA анализа по которым и проводится CHAZOP-ы. В конце каждого из этих стандардов есть таблицы мапинга по уроаням безопасности SL и можно определиться на каком уровне безопасности является ваш IACS и его компоненты (зоны, кондуиты). И это строго по SL-C (Capability). На данный момент эти SL-C и находится на сертификаты по  CS от TUv, Exida, etc. Max. Уровень 2. 62443-4-1 Описывает SL-C , но С=Component. Пока по 4-1 сертификации только начинаются, но по сути тот же Федот что и выше описано.

Новый ли?

Смотря для чего. Работать по нему тяжело.

Доклад на НТС ЕЭС

Вакансия в РАСУ
Главный специалист по информационной и компьютерной безопасности [АСУ ТП]

https://hh.ru/vacancy/33040563

Очень перспективно...

Контекст?

Выше было доклад о Цифровых подстанциях и терминалах РЗА. Вопросы Кибербезопасности решаются и частично решены...

Начать надо с уточнения/формализации процесса разработки

Затем определиться с требованиями по безопасности

Работать всегда тяжело) не могу определиться с документом верхнего уровня, на ум приходит только разработка политики иб по безопасной разработке, а все остальные процессы запускать уже от неё.

Ага, формализацией занимаемся для определения рисков. Требования по безопасности к процессу разработки по?

В том числе и к процессу

Но и к выпускаемым изделиям/системам тоже