Страницы

Безопасность объектов ТЭК


По всей видимости, этап осмысления проблем информационной безопасности критически важных объектов подходит к концу. Stuxnet, бэкдор в ZTE, шпионские гипервизоры в BIOS, ... - всё это говорит о том, что на Востоке и на Западе разработкой киберваффе занялись плотно и на самом высоком уровне. Адекватным ответом на усилия кибершпионов и кибердиверсантов будет разработка собственной системы информационной безопасности критически важных объектов инфраструктуры РФ. 


Начало этому уже положено: опубликованы основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации, в рамках которой будет разработана нормативная база, создана единая государственная система обнаружения и предупреждения компьютерных атак и т.д.

Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).

На сегодняшний момент обеспечение безопасности КВО ведется в рамках антитеррористического законодательства и, как следствие, ограничивается в основном вопросами физической безопасности без конкретных требований к информационной.

Наиболее проработанный с точки зрения законодательства сектор КВО - это объекты топливно-энергетического комплекса (ТЭК).

Структура нормативных документов по обеспечению безопасности объектов ТЭК выглядит сегодня таким образом (ссылки на сами документы не даю. Всё находил в Консультанте):

И тут есть несколько очень интересных моментов:

1. Впервые в моей практике я встретил приложение к закону 256-ФЗ (!) с шаблоном документа (!!!) - паспорта безопасности объекта ТЭК. Почему шаблон не утвердили на уровне правительства или Минэнерго - не ясно. Теперь чтобы изменить хоть слово в шаблоне паспорта придется принимать новый федеральный закон!

Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.

2. Постановление Правительства с конкретными требованиями по обеспечению безопасности объектов ТЭК застряло в стадии проекта уже 9 месяцев!

3. В проекте указанного ПП отсутствуют требования к защите информации (!)
В то время как ст.11 256-ФЗ и Приказ Минэнерго N 587 однозначно говорят, что система защиты информации - неотъемлемая часть безопасности объектов ТЭК.

Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него, ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.

Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).

4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.

В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.

PS. Примечательно, что задолго до Stuxnet наша страна уже возможно сталкивалась с компьютерными диверсиями в АСУ ТП. Даже при том уровне автоматизации это было страшное оружие.

18 комментариев:

  1. Артем, не следишь ты за новостями.

    http://www.cnews.ru/top/2012/08/22/minekonomrazvitiya_razgromilo_novyy_zakon_o_zashhite_itsistem_500211

    Минэконом развития серъезные замечания представила к инициативе ФСТЭК. Даже непонятно теперь, смогут ли они провести требования.

    ОтветитьУдалить
    Ответы
    1. В теле новости есть ссылка на заключение минэкономразвития.
      В отличие от кое-кого новости я узнаю не от cnews ;)

      эти требования или другие.. какая разница?
      главное что вопрос решается и требования будут.

      Удалить
    2. В теле МОЕЙ новости ссылка на заключение

      Удалить
    3. Для появления требований, ФСТЭКу придется ещё доказать целесообразность таких требований. Сейчас им данных просто брать неоткуда. Инцидентов немного и ущерб по ним никто не публикует.
      Стоит ожидать или дутых скандалов или инициатива ФСТЭК сойдет на нет или её перехватит ФСБ.

      Удалить
    4. ты не cnews читай, а оригинал.

      претензии минэкономразвития касаются только тех сфер производства, где риск реализации угроз информации минимален (металлообработка, машиностроение, химическая промышленность и т.д.).

      Если почитаешь оригинал, увидишь что за 2011 год было 266 инцидентов и их количество растет из года в год.

      Так же в доке дан анализ в среднего уровня ущерба от инцидентов (сотни миллионов рублей).

      Инициатива ФСТЭК на нет не сойдёт, т.к. в основных направлениях государственной политики (линк вначале статьи) все расписано до 2020 года.

      Удалить
  2. Артем, можете одним архивом выложить документы с представленной схемки? Буду очень признателен

    ОтветитьУдалить
    Ответы
    1. Если бы Вы представились - я бы подумал :)

      Удалить
    2. Маленков Иван. Специалист по ИБ.

      Удалить
    3. https://dl.dropbox.com/u/1785050/fileshare/%D0%A2%D0%AD%D0%9A.RAR - вот.

      линк заработает минут через 10ть...

      Удалить
  3. Спасибо огромное!!!

    ОтветитьУдалить
  4. Артем, ну, вообще говоря, "возможность их воскрешения маловероятна" - это неверно. ФСТЭК вовсю ходит с проверками выполнения этих документов, заводы хватают предписания пачками, устраняют... Вы в Консультанте что-ль живете?

    ОтветитьУдалить
    Ответы
    1. Мне доступна информация, в основном, по ЮФО. Тут активность по КСИИ минимальна.

      Консультант - это гугл в мире нормативных документов.

      Удалить
    2. К выводу в отношении КСИИ я пришел от обратного.

      Появился вакуум в защите информации ТЭК, который не заполнили четверокнижием ФСТЭК по КСИИ.

      К тому же четверокнижие по КСИИ морально устарело.

      Удалить
    3. Буквально 24 августа закончила работа ФСТЭК у нас на предприятии. Написали рекомендации. В основном по КСИИ.
      В ходе проверки так и не смогли сказать каким нормативным актом или законом утверждены их ДСП-шные документы. Ссылаются на документ СовБеза, который секретный.
      И, внимание, вменяют нарушение статьи 11 ФЗ-256. Закон есть, а как его исполнять неизвестно.

      Удалить
    4. Это очень интересно, т.к. я сейчас работаю над подобными проектами.
      Если бы Вы нашли возможность прислать мне на почту root@itsec.pro копию заключения ФСТЭК (или его часть про ст.11 256-фз) - я был бы очень благодарен.

      В свою очередь полную анонимность/конфиденциальность гарантирую.

      Удалить
  5. А у меня возник такой вопрос, КСИИ обрабатывающие ПДн, должны ли выполнять требование и 152-ФЗ, окромя требований ФСТЭК по КСИИ?

    ОтветитьУдалить
    Ответы
    1. 1. Указанные системы редко обрабатывают ПДн. Есть прецеденты когда ПДн в таких системах признавались "технологической информацией" (см записи в системах авиабронирования);
      2. требования к ИСПДн и КСИИ во многом совпадают. Обычно к КСИИ требования жестче. Поэтому с технической стороны выполнить требования ФСТЭК к ИСПДн должно быть просто.

      Удалить
    2. 1) Столкнулся с системой которая обрабатывает в составе 90% информации ПДн.

      Вот за пример с авиабронированием спасибо.

      Удалить