11.07.2012

Совет безопасности определил как будут защищать АСУ ТП

4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности Российской Федерации является совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации.

Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.

Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.

В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
  • сложившаяся среди операторов и владельцев информационных систем, в состав которых входят автоматизированные системы управления КВО, тенденция сокрытия попыток или фактов нарушения их штатного функционирования
  • вынужденное привлечение при создании автоматизированных систем управления КВО иностранных фирм - производителей и поставщиков программно-аппаратных средств обработки, хранения и передачи информации и применение зарубежных программно- аппаратных решений, создающих предпосылки для возникновения технологической и иной зависимости от иностранных государств .
Направлений решения данной задачи выделено 5 - от госрегулирования и совершенствования нормативной базы до промышленной и научно-технической политики, фундаментальной и прикладной науки и повышения квалификации кадров. Дальше документ детально раскрывает эти направления. Там все тоже грамотно. Хотя некоторые пункты вызывают вопросы именно в части реализации. Я, например, хотел бы знать, как будет формироваться в общественном сознании нетерпимость к лицам, совершающим противоправные деяния с использованием информационных технологий.

Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.

Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.

ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.

8 коммент.:

e1am0 комментирует...

Т.е. частные системы нефтянников тоже попадают под действие этого документа?

doom комментирует...

>ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.

И где же это пресловутое ПП? Да и с реестром ничего не понятно. Нам задавала прямой вопрос одна компания - входят ли они в реестр? 100% ответ на этот вопрос нам так и не удалось узнать...

Алексей Лукацкий комментирует...

Doom, а список КВО секретный ;-)

Алексей Лукацкий комментирует...

Ильмар, именно

doom комментирует...

Алексей, он видать секретный настолько, что к нему вообще никто не имеет...

Атаманов Г. А. комментирует...

Алексей, а не могли бы Вы конкретизировать какие документы ФСТЭК Вы считаете достойными?

Алексей Лукацкий комментирует...

Например, документы по КСИИ ;-)

Атаманов Г. А. комментирует...

Не могу согласиться. Методологически и методически эти документы не выдерживают никакой критики. Чего только стоит последний абзац раздела "1. Назначение и область применения" "Базовой модели"? Прочтите и убедитесь. И таких "ляпов" в этих "документах" не мерено.
Последний документ, который, с моей точки зрения, можно было читать "без слёз", - "Пособие по организации ТЗИ, составляющей коммерческую тайну", 2006 года выпуска. Там тоже не всё безупречно, но тем не менее читабельно. А здесь ....