4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной
безопасности Российской Федерации до 2020 года, в соответствии с
которой одним из путей предотвращения угроз информационной безопасности
Российской Федерации является совершенствование безопасности
функционирования информационных и телекоммуникационных систем критически
важных объектов инфраструктуры и объектов повышенной опасности в
Российской Федерации.
Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.
Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.
В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.
Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.
ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.
Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.
Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.
В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
- сложившаяся среди операторов и владельцев информационных систем, в состав которых входят автоматизированные системы управления КВО, тенденция сокрытия попыток или фактов нарушения их штатного функционирования
- вынужденное привлечение при создании автоматизированных систем управления КВО иностранных фирм - производителей и поставщиков программно-аппаратных средств обработки, хранения и передачи информации и применение зарубежных программно- аппаратных решений, создающих предпосылки для возникновения технологической и иной зависимости от иностранных государств .
Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.
Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.
ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.
Т.е. частные системы нефтянников тоже попадают под действие этого документа?
ОтветитьУдалить>ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.
ОтветитьУдалитьИ где же это пресловутое ПП? Да и с реестром ничего не понятно. Нам задавала прямой вопрос одна компания - входят ли они в реестр? 100% ответ на этот вопрос нам так и не удалось узнать...
Doom, а список КВО секретный ;-)
ОтветитьУдалитьИльмар, именно
ОтветитьУдалитьАлексей, он видать секретный настолько, что к нему вообще никто не имеет...
ОтветитьУдалитьАлексей, а не могли бы Вы конкретизировать какие документы ФСТЭК Вы считаете достойными?
ОтветитьУдалитьНапример, документы по КСИИ ;-)
ОтветитьУдалитьНе могу согласиться. Методологически и методически эти документы не выдерживают никакой критики. Чего только стоит последний абзац раздела "1. Назначение и область применения" "Базовой модели"? Прочтите и убедитесь. И таких "ляпов" в этих "документах" не мерено.
ОтветитьУдалитьПоследний документ, который, с моей точки зрения, можно было читать "без слёз", - "Пособие по организации ТЗИ, составляющей коммерческую тайну", 2006 года выпуска. Там тоже не всё безупречно, но тем не менее читабельно. А здесь ....