Совет безопасности определил как будут защищать АСУ ТП

4 июля на сайте Совета Безопасности появился примечательный документ — «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации». Как написано в преамбуле, эти «основные направления» разработаны в целях реализации основных положений Стратегии национальной
безопасности Российской Федерации до 2020 года, в соответствии с
которой одним из путей предотвращения угроз информационной безопасности
Российской Федерации является совершенствование безопасности
функционирования информационных и телекоммуникационных систем критически
важных объектов инфраструктуры и объектов повышенной опасности в
Российской Федерации.

Что можно сказать про документ? Он достаточно грамотно написан — беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.

Говорится и о единой государственной системе обнаружения и предупреждения компьютерных
атак на критическую информационную инфраструктуру и оценки уровня
реальной защищенности ее элементов — централизованной, иерархической,
территориально распределенной структуре, включающей силы и средства
обнаружения и предупреждения компьютерных атак, а также органы
управления различных уровней, в полномочия которых входят вопросы
обеспечения безопасности автоматизированных систем управления КВО и иных
элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet — глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.

В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и
удаленной настройки автоматизированных систем управления КВО в целом или
их составных частей, а также телекоммуникационного оборудования,
входящего в состав критической информационной инфраструктуры, а также стремление организаций — разработчиков программного обеспечения
автоматизированных систем управления КВО к снижению издержек и, как
следствие, использованию типовых решений и заимствованного программного
обеспечения. Среди других негативных факторов названы:

  • сложившаяся среди операторов и владельцев информационных систем, в
    состав которых входят автоматизированные системы управления КВО,
    тенденция сокрытия попыток или фактов нарушения их штатного
    функционирования
  • вынужденное привлечение при создании автоматизированных систем
    управления КВО иностранных фирм — производителей и поставщиков
    программно-аппаратных средств обработки, хранения и передачи информации и
    применение зарубежных программно- аппаратных решений, создающих
    предпосылки для возникновения технологической и иной зависимости от
    иностранных государств .

Направлений решения данной задачи выделено 5 — от госрегулирования и совершенствования нормативной базы до промышленной и научно-технической политики, фундаментальной и прикладной науки и повышения квалификации кадров. Дальше документ детально раскрывает эти направления. Там все тоже грамотно. Хотя некоторые пункты вызывают вопросы именно в части реализации. Я, например, хотел бы знать, как будет формироваться в общественном сознании нетерпимость к лицам, совершающим противоправные деяния с использованием информационных технологий.

Ну и про пошаговость реализации всех мероприятий тоже не забыто — все разбито на 3 этапа, до 2020 года.

Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие «иные федеральные органы исполнительной власти, осуществляющие
деятельность в области безопасности, органы государственного надзора и
контроля, управления деятельностью критически важных объектов и иных
элементов критической информационной инфраструктуры
«. Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.

ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Т.е. частные системы нефтянников тоже попадают под действие этого документа?

    Ответить
  2. doom

    >ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.

    И где же это пресловутое ПП? Да и с реестром ничего не понятно. Нам задавала прямой вопрос одна компания — входят ли они в реестр? 100% ответ на этот вопрос нам так и не удалось узнать…

    Ответить
  3. Алексей Лукацкий

    Doom, а список КВО секретный 😉

    Ответить
  4. Алексей Лукацкий

    Ильмар, именно

    Ответить
  5. doom

    Алексей, он видать секретный настолько, что к нему вообще никто не имеет…

    Ответить
  6. Атаманов Г. А.

    Алексей, а не могли бы Вы конкретизировать какие документы ФСТЭК Вы считаете достойными?

    Ответить
  7. Алексей Лукацкий

    Например, документы по КСИИ 😉

    Ответить
  8. Атаманов Г. А.

    Не могу согласиться. Методологически и методически эти документы не выдерживают никакой критики. Чего только стоит последний абзац раздела "1. Назначение и область применения" "Базовой модели"? Прочтите и убедитесь. И таких "ляпов" в этих "документах" не мерено.
    Последний документ, который, с моей точки зрения, можно было читать "без слёз", — "Пособие по организации ТЗИ, составляющей коммерческую тайну", 2006 года выпуска. Там тоже не всё безупречно, но тем не менее читабельно. А здесь ….

    Ответить