Безопасность объектов ТЭК

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()

По всей видимости, этап осмысления проблем информационной безопасности критически важных объектов подходит к концу. Stuxnet, бэкдор в ZTE, шпионские гипервизоры в BIOS, ... - всё это говорит о том, что на Востоке и на Западе разработкой киберваффе занялись плотно и на самом высоком уровне. Адекватным ответом на усилия кибершпионов и кибердиверсантов будет разработка собственной системы информационной безопасности критически важных объектов инфраструктуры РФ. 


Начало этому уже положено: опубликованы основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации, в рамках которой будет разработана нормативная база, создана единая государственная система обнаружения и предупреждения компьютерных атак и т.д.

Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).

На сегодняшний момент обеспечение безопасности КВО ведется в рамках антитеррористического законодательства и, как следствие, ограничивается в основном вопросами физической безопасности без конкретных требований к информационной.

Наиболее проработанный с точки зрения законодательства сектор КВО - это объекты топливно-энергетического комплекса (ТЭК).

Структура нормативных документов по обеспечению безопасности объектов ТЭК выглядит сегодня таким образом (ссылки на сами документы не даю. Всё находил в Консультанте):

И тут есть несколько очень интересных моментов:

1. Впервые в моей практике я встретил приложение к закону 256-ФЗ (!) с шаблоном документа (!!!) - паспорта безопасности объекта ТЭК. Почему шаблон не утвердили на уровне правительства или Минэнерго - не ясно. Теперь чтобы изменить хоть слово в шаблоне паспорта придется принимать новый федеральный закон!

Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.

2. Постановление Правительства с конкретными требованиями по обеспечению безопасности объектов ТЭК застряло в стадии проекта уже 9 месяцев!

3. В проекте указанного ПП отсутствуют требования к защите информации (!)
В то время как ст.11 256-ФЗ и Приказ Минэнерго N 587 однозначно говорят, что система защиты информации - неотъемлемая часть безопасности объектов ТЭК.

Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него, ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.

Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).

4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.

В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.

PS. Примечательно, что задолго до Stuxnet наша страна уже возможно сталкивалась с компьютерными диверсиями в АСУ ТП. Даже при том уровне автоматизации это было страшное оружие.
Оцените материал:
Total votes: 78
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.