Проект постановления правительства о требованиях к ИБ АСУ ТП

Аватар пользователя zlonov
Автор: Комаров Алексей,
(2)
()

В декабре прошлого года Минэнерго объявило о работе над проектом постановления «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем».

Общая информация о проекте доступна на Федеральном портале проектов НПА: http://regulation.gov.ru/projects#npa=59775

Пока непосредственно текст постановления не опубликован (в разработке) и доступен только паспорт проекта.

В качестве проблемы, решаемой постановлением, сформулирован тезис о том, что требования к средствам защиты информации и информационной безопасности объектов электроэнергетики устанавливаются госстандартами, а также ФСБ и ФСТЭК, но при этом не имеют обязывающего характера. Судя по паспорту, проект был создан 01 декабря, ещё до принятия обновлённой Доктрины информационной безопасности и внесения в Госдуму проекта Федерального закона о безопасности КИИ. Сейчас (в отличие от 01 декабря) всё же есть немалая вероятность, что соблюдение требований по обеспечению безопасности в том числе объектов энергетики в скором времени перестанет быть необязательным:

Субъекты критической информационной инфраструктуры, владеющие на праве собственности либо ином законном основании значимыми объектами критической информационной инфраструктуры […] обязаны:

1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

Из проекта ФЗ о безопасности КИИ

Второй проблемой, на решение которой направлено постановление, указано отсутствие модели угроз информационной безопасности автоматизированных систем управления на объектах электроэнергетики. Про модель угроз часто задают вопросы слушатели на мероприятиях, где доводилось выступать с докладами по теме безопасности АСУ ТП. Действительно, сейчас, по сути, есть только руководящие документы ФСТЭК «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» от 2007 года, к которым хватает критических замечаний, начиная с того, что они имеют статус «Для служебного пользования» и заканчивая самим их наполнением. Появлению утверждённой, да ещё и отраслевой модели угроз, думаю, заказчики будут рады.

Впрочем, судя по описанию проекта, требования планируется сформулировать к достаточно узкой области:

правила, применимые для компаний, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики, производителей программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики, организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, компаний — заявителей на осуществление сертификации продукции в системе сертификации ФСТЭК России.

Акцент именно на системы удаленного мониторинга и диагностики, в целом, понятен — это то самое подключение сети АСУ ТП к внешнему миру, которое тяжело, а порой и невозможно контролировать, но отказаться от которого в большинстве случаев не получается (например, из-за особенностей сервисного контракта).

К сожалению, как я уже отмечал выше, текст самого постановления пока не опубликован. По указанному на портале контактному адресу я направил вопрос о текущей судьбе проекта и получил ответ, что текст должен появиться уже на этой неделе. Можно будет вернуться к обсуждению и уже более предметно.

В заключение напишу пару слов о самом портале. Точнее, опубликую один скриншот:

Истёк сертификат regulation.gov.ru

Истёк сертификат regulation.gov.ru

Как видно, ещё 24 сентября прошлого года, т.е. почти 4 месяца(!) назад, истёк срок действия сертификата портала https://regulation.gov.ru В поддержке (осуществляет сторонняя компания) мне ответили два разных человека (обе девушки), одна из которых сообщила стандартной текстовой заготовкой, что этим вопросом они не занимаются, а вторая — что в курсе проблемы и работают над её решением. Вот такой вот отрицательный пример оперативности.

Оригинал записи Проект постановления правительства о требованиях к ИБ АСУ ТП опубликован на сайте ZLONOV.ru. Подписка на RSS-ленту: http://bit.ly/zlonov-RSS

Оцените материал:
Total votes: 116
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Что могут написать дельного эти деятели, если уже в обосновании куча стилистических и даже грамматических ошибок?
Интересно, как они собираются применять требования к производителям программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики? Ведь системное ПО тоже входит в «состав». И почему в перечне нет провайдеров связи? Их деятельность напрямую влияет на безопасность КВО. Производители ПО не являются субъектами электроэнергетики, но требования к ним собираются предъявлять. И, главное, почему меры по обеспечению ИБ АСУТП (правильно – ТЗИ АСУТП) должны быть адаптированы к общественным отношениям, а не к производительным силам?

up
4 users have voted.
Аватар пользователя zlonov

Сейчас на портале есть такие итоги предварительного обсуждения: "Общее количество поступивших предложений - 0". Так что пока авторам официально на ошибки никто не указал =)

 

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.