11.03.2015

Как Ростехнадзор информационную безопасность России нарушал

Есть такое понятие - структурированная система мониторинга и управления инженерными системами зданий и сооружений (СМИС). Согласно ряду нормативных требований, а точнее:

  • Приказ МЧС от 27.10.2009 №612 «О совершенствовании нормативной базы по организации систем наблюдения и контроля (мониторинга) параметров состояния зданий и сооружений и оборудования потенциально опасных объектов»
  • ГОСТ Р 22.1.12-2005 «Безопасность в ЧС. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования»
  • Различные своды правил и стандарты, например, ГОСТ «Безопасность в чрезвычайных ситуациях. Технические средства мониторинга чрезвычайных ситуаций. Структурированная система мониторинга и управления инженерными системами зданий и сооружений»
критически важные и потенциально опасные объекты должны быть оснащены в обязательном порядке структурированными системами мониторинга и управления инженерными системами зданий и сооружений, а также должна быть обеспечена автоматическая передача необходимой информации о состоянии контролируемых объектов и параметрах чрезвычайной ситуации по установленной форме в дежурную службу объекта, единую дежурно-диспетчерскую службу муниципального образования и Ростехнадзор. Это требования Министерства по чрезвычайным ситуациям (МЧС).

На первый взгляд требование логичное и полезное - за борьбу с чрезвычайными ситуациями у нас отвечает МЧС. За промышленную безопасность - Ростехнадзор. Поэтому надо иметь возможность контролировать критически важные и потенциально опасные объекты с целью своевременного предотвращения опасных ситуаций, которые могут привести к катастрофе. Но...

Как такое требование у нас выглядит с точки зрения информационной безопасности? Начнем с того, что предприятия, попадающие в перечень критически важных объектов, должны предоставить МЧС выделенный канал для подключения к своей АСУ ТП системы для осуществления мониторинга технологических процессов и процессов обеспечения функционирования оборудования предприятия! Разумеется, никаких требований к защите этого подключения и этого канала не предъявляется (не епархия МЧС это). Ответственного (читай "крайнего") за этот канал тоже нет - ответственности делится между владельцем КВО и Ростехнадзором и каждый, в случае наступления чрезвычайной ситуации, будет кивать друг на друга.

Во-вторых, СМИС, получается, дублирует существующую на предприятии систему противоаварийной защиты. Посколько и существующая на предприятии система противоаварийной автоматики и СМИС подключаются к одной и той же системе, то их взаимодействие непредсказуемо. Со всеми вытекающими.

Но самое главное. Данный обязательный канал подключения КВО к СМИС является каналом проникновения в защищенный периметр критически важного объекта.

И вот новый сюрприз. Ростехнадзором подготовлен законопроект "О внесении изменений в Федеральный закон "О промышленной безопасности опасных производственных объектов", согласно которому "организация, эксплуатирующая опасный производственный объект, обязана осуществлять дистанционный контроль технологических процессов на нем, и передачу в федеральный орган исполнительной власти в области промышленной безопасности информации о регистрации параметров, определяющих опасность технологических процессов, а также о срабатывании систем противоаварийной защиты".

Вещь эта безусловно полезная и нужная - направлена она на предотвращение чрезвычайных ситуаций. Но и про информационную безопасность забывать не стоит. А тут она вырастает в полный рост - все-таки требование дистанционного контроля технологических процессов представляет собой новый риск для тех объектов, где такого нового канала доступа Ростехнадзора раньше не было. В законопроекте стоило бы прописать соответствующие отсылки на требования по информационной безопасности при обеспечении такого контроля, которые должны быть установлены федеральным органом исполнительной власти, уполномоченным в области безопасности ключевых систем информационной инфраструктуры или в области безопасности критических информационных инфраструктур. Всего один абзац, зато появляется задел на будущее и можно будет наконец-то реализовать долгожданную связку требований по промышленной и информационной безопасности, о которой я уже как-то писал

4 коммент.:

doom комментирует...

по факту все там еще хуже... Помимо мониторинга СМИС позволяет и управлять процессом (на уровне аварийного останова).
При этом, не везде АСУ ТП интегрирована (т.е. уровень САУ и диспетчерского управления может быть изолирован друг от друга и обмен осуществляется вручную), а СМИС внезапно приделывает такую интеграцию сбоку.

И вообще, существующие документы (в частности ГОСТ Р 22.1.12) говорят о мониторинге зданий и сооружений, принадлежащих городу, а не частному сектору (особенно это видно в приложении А) - соответственно, по организационной составляющей тут тоже возникает масса вопросов...

Алексей Лукацкий комментирует...

Да, там много вопросов. Будет еще больше, если не внести правки

Сергей Ковалев комментирует...

"Разумеется, никаких требований к защите этого подключения и этого канала не предъявляется (не епархия МЧС это)."
Начнем с того, что объекты разные и требования к безопасности и защите информации на них тоже разные. Канал связи организуется по VPN, с обоих сторон межсетевые экраны, сама информация шифруется по X509. К МЧС подключается не все системы объекта, а только СМИС и СМИС же от систем объекта также должен быть отделен межсетевым экраном. Заказчик, также, на основании внутренних документов внести в ТЗ доп. требования к организации канала связи.


Во-вторых, СМИС, получается, дублирует существующую на предприятии систему противоаварийной защиты. Посколько и существующая на предприятии система противоаварийной автоматики и СМИС подключаются к одной и той же системе, то их взаимодействие непредсказуемо. Со всеми вытекающими.
Весьма поверхностное представление о системе. СМИС не имеет отношения к противоаварийной автомитике поскольку осуществляет мониторинг, а не управление. В большинстве случаев подключение к системам диспетчеризации, противопожарной защиты, системам безопасности и связи осуществляется по верхнему уровню (opc, bacnet, modbus, lon, и т.д). В остальных случаях сигналы берутся с контроллерного уровня или с релейных выводов исполнительных устройств. И в последнее время система все же движется в сторону сокращения объема мониторинга, что не может ни радовать.


Но самое главное. Данный обязательный канал подключения КВО к СМИС является каналом проникновения в защищенный периметр критически важного объекта.
Существует большое количество способов защиты. Хотите самый убойный? Однажды нам не разрешили провести сопряжение с сервером систем безопасности, но! Интересующие сигналы о тревоге и работоспособности нам смогли выдать на релейные модули - лучше способа не придумать. Как говорится, было бы желание.
На правах администратора форума "СМИС Эксперт" (Korean) приглашаю всех к обсуждению http://smis-expert.ru

Алексей Лукацкий комментирует...

Спасибо!