5 мая 2012 года вышло Постановление Правительства №458 "Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов ТЭК" на 70 листах (ДСП). Недавно вышли методические рекомендации от Минэнерго на замену старым (Приказ Минпромэнерго №150 от 4 мая 2007 года).
Несмотря на то, что качеству этих документов может смело завидовать ГНИИ ПТЗИ (рекомендации Минэнерго обычно содержат перечень и шаблоны необходимых документов (!) с примерами заполнения (!!)), во всем законодательстве о безопасности ТЭК зияет внушительная дыра - безопасность АСУ ТП.
Как то так получилось, что вся безопасность объектов ТЭК, спускаясь от закона к подзаконникам, свелась к физической защищенности, которую обычно рассматривают в свете антитеррористической защиты.
Хотя 11 статья 256-ФЗ прямо говорит о защите информационных систем, подзаконные акты обычно увиливают от этой темы:
Кроме того, контроль за безопасностью объектов ТЭК должны отдать МВД, про ФСТЭК нигде ни слова (хотя есть информация о проверках объектов ТЭК ФСТЭКом по КСИИ и 256-ФЗ, но это больше напоминает личную инициативу ФСТЭК), а сама реализация мероприятий по безопасности на объектах будет доверена службам охраны, во главе которых стоят далекие от ИБ люди.
В свете учений НАТО по отражению кибератак, игнорирование вопросов защиты АСУ ТП выглядит немного пугающе.
Для организации адекватной защиты объектов ТЭК на всей территории страны предстоит проделать еще очень много работы. В службах безопасности объектов нет кадров, которые хотя бы слышали о stuxnet, в контролирующем органе (МВД) нет людей, которым была бы интересна тема безопасности АСУ ТП, а в руководящих документах нет даже упоминания о информационной безопасности, кроме 11 статьи в самом Федеральном законе.
Наверное, единственное что в этом вопросе играет нам на руку - это низкий уровень информатизации и автоматизации объектов жизнеобеспечения и готовность нашего народа смело жить без света и горячей воды хоть всю зиму :).
PS Интересный момент, который увидел в новых требованиях - использование операционных систем с открытым кодом в системах сбора и обработки информации. Видимо под это дело Касперский и создает свою новую операционную систему.
А кто сказал, что Касперский делает открытую ОС и для России?
ОтветитьУдалитьЧтобы продукту поверили и у нас и на западе - он должен быть opensource.
УдалитьПолумера - открыть доступ к исходникам хотя бы для ФСБ/ФСТЭК.
Слухи про ОС Касперского поползли после того, как откопали вакансию программиста ЛК на хэдхантере со знанием характерных технологий. Раз программисты русские, программируют в России, то и ОС должна быть наша.. по идее..