Есть такой Федеральный Закон "О промышленной безопасности опасных производственных объектов" (116-ФЗ). Очень нужный закон, который устанавливает "правовые, экономические и социальные основы обеспечения безопасной эксплуатации опасных производственных объектов и направлен на предупреждение аварий на опасных производственных объектах и обеспечение готовности эксплуатирующих опасные производственные объекты юридических лиц и индивидуальных предпринимателей к локализации и ликвидации последствий указанных аварий". При этом "промышленная безопасность опасных производственных объектов - это состояние защищенности жизненно важных интересов личности и общества от аварий на опасных производственных объектах и последствий указанных аварий". Правда, далее по тексту термин "авария" применяется в связке с "инцидентом", под которым понимается "отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений настоящего Федерального закона, других федеральных законов, принимаемых в соответствии с ними нормативных правовых актов Президента Российской Федерации, нормативных правовых актов Правительства Российской Федерации, а также федеральных норм и правил в области промышленной безопасности" (выделение мое).
А теперь вспомним пресловутый Stuxnet, работа которого заключалась в изменении работы центрифуг, отвечающих за обогащение урана. Иными словами, Stuxnet как раз и привел к отклонению от режима технологического процесса. А значит, если вдруг Stuxnet проявит себя у нас в России (а он сидит много где на отечественных критически важных объектах), то мы будем иметь дело с инцидентом, подпадающим под действие 116-ФЗ о промышленной безопасности. Но это в теории. На практике так уж сложилось, что промышленная безопасность и информационная безопасность никак не связаны; как не связаны информационная безопасность и безопасность объектов ТЭК из 256-ФЗ; как не связаны информационная безопасность и транспортная безопасность; как не связаны информационная безопасность и безопасность гидротехнических сооружений.
Вроде как причиной инцидентов на всех этих объектах может стать вредоносная программа или иная направленная или случайнай атака (до сих пор ходят слухи о том, что веерное отключение электроэнергии в США несколько лет назад было связано с червем Slammer, а причиной "слепоты" центров управления авиаполетами во время событий 11-го сентября послужила направленная атака), но под действие указанных законов все эти события не попадают.
А куда ж они попадают? А вот фиг знает ;-) Теоретически ими будут заниматься сотрудники ФСБ. Опять же в теории, т.к. нигде сие не прописано и не регламентировано. По промышленной безопасности существует огромное количество различных документов, регламентов, инструкций, выпущенных Ростехнадзором или Росатомнадзором. По безопасности объектов ТЭК также есть документы Минэнерго. А вот по информационной безопасности на этих объектах кроме рекомендательного четверокнижия ФСТЭК по КСИИ 2006-го года и прошлогодних неконкретных "основных направлений..." от СовБеза у нас нет ничего. Абсолютно ничего. Хотя нет, есть Указ Президента №31с.
Может все-таки пора объединять? Примерно вот так:
Очень высокоуровневая картинка, но объединяющая воедино различные аспекты безопасности критически важных объектов (опасных производств). Тут вам и физическая и технологическая (включая информационную) безопасность; и ликвидация последствия и ранее прогнозирование атак; и государственно-частное партнерство; и надзорные органы и собственники; и риски, ведущие к ущербу...
Или будем ждать когда бахнет?.. И тогда бюджеты можно будет попросить увеличенные.
А теперь вспомним пресловутый Stuxnet, работа которого заключалась в изменении работы центрифуг, отвечающих за обогащение урана. Иными словами, Stuxnet как раз и привел к отклонению от режима технологического процесса. А значит, если вдруг Stuxnet проявит себя у нас в России (а он сидит много где на отечественных критически важных объектах), то мы будем иметь дело с инцидентом, подпадающим под действие 116-ФЗ о промышленной безопасности. Но это в теории. На практике так уж сложилось, что промышленная безопасность и информационная безопасность никак не связаны; как не связаны информационная безопасность и безопасность объектов ТЭК из 256-ФЗ; как не связаны информационная безопасность и транспортная безопасность; как не связаны информационная безопасность и безопасность гидротехнических сооружений.
Вроде как причиной инцидентов на всех этих объектах может стать вредоносная программа или иная направленная или случайнай атака (до сих пор ходят слухи о том, что веерное отключение электроэнергии в США несколько лет назад было связано с червем Slammer, а причиной "слепоты" центров управления авиаполетами во время событий 11-го сентября послужила направленная атака), но под действие указанных законов все эти события не попадают.
А куда ж они попадают? А вот фиг знает ;-) Теоретически ими будут заниматься сотрудники ФСБ. Опять же в теории, т.к. нигде сие не прописано и не регламентировано. По промышленной безопасности существует огромное количество различных документов, регламентов, инструкций, выпущенных Ростехнадзором или Росатомнадзором. По безопасности объектов ТЭК также есть документы Минэнерго. А вот по информационной безопасности на этих объектах кроме рекомендательного четверокнижия ФСТЭК по КСИИ 2006-го года и прошлогодних неконкретных "основных направлений..." от СовБеза у нас нет ничего. Абсолютно ничего. Хотя нет, есть Указ Президента №31с.
Может все-таки пора объединять? Примерно вот так:
Очень высокоуровневая картинка, но объединяющая воедино различные аспекты безопасности критически важных объектов (опасных производств). Тут вам и физическая и технологическая (включая информационную) безопасность; и ликвидация последствия и ранее прогнозирование атак; и государственно-частное партнерство; и надзорные органы и собственники; и риски, ведущие к ущербу...
Или будем ждать когда бахнет?.. И тогда бюджеты можно будет попросить увеличенные.
Те, кто понимает -не уполномочены, те кто уполномочены- не понимают,кто понимает и уполномочен-не знает как; кто уполномочен,понимает,знает как-те уже устали. Как-то в России так. Не беря в расчет,что договориться всем причастным-не реально. Это как договорится банку и субъекту про персданные или работнику и работодателю-всегда слабый в проигрыше,а слабый-это который беднее.
ОтветитьУдалитьКрасиво загнул
ОтветитьУдалитьПолучается, что в этой ситуации единственно эффективная мера защиты - молиться, чтобы пронесло мимо тебя... А что кстати, тоже себе направление защиты, причем даже по уровням - У1. благословение батюшки на безинцидентную работу объекта, У2. окропление святой водой, У3. постоянное присутствие священника на объекте и ежедневные службы. Вполне в духе последних государственных тенденций в поднятии значения православия и проч.
ОтветитьУдалитьНу где-то это даже реализовано
ОтветитьУдалить