31 Июля, 2012

Нормативная база защиты критически важных объектов (КВО)

Евгений Царев
Появились причины полагать, что в настоящий момент выстраиваться нормативная база защиты критически важных объектов (КВО). Дело в том, что за прошедшие несколько недель появилось сразу два, весьма знаковых документа по защите КВО. И по слухам, это только начало.
Тема защиты КВО не нова. В 2005-2007 годах были разработаны документы:
Совет безопасности РФ:
  • Совет Безопасности 08.11.2005 “Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий”.
ФСТЭК:
  • «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
  • «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
  • «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
  • «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007);
Для дальнейшего обсуждения имеет смысл вспомнить основные определения. Из ФСТЭКовских документов:
Критически важный объект — объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.
Ключевая (критически важная) система информационной инфраструктуры (КСИИ)— информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушеньи выполняемые системой функции управления со значительными негативными последствиями.
КСИИ входят в состав:
  • систем органов государственной власти;
  • систем органов управления правоохранительных структур;
  • систем финансово-кредитной и банковской деятельности;
  • систем предупреждения и ликвидации чрезвычайных ситуаций;
  • географические и навигационные систем;
  • сети связи общего пользования на участках, без резервных видов связи;
  • систем специального назначения;
  • спутниковых систем для обеспечения органов управления и в спец. целях;
  • систем управления добычей и транспортировкой нефти, нефтепродуктов и газа;
  • программно-технические комплексов центров управления ВСС;
  • систем управления водоснабжением и энергоснабжением;
  • систем управления транспортом (наземным, воздушным, морским);
  • систем управления потенциально опасными объектами.
Нормативка появилась, но вот о работах, по крайней мере масштабных, информации как не было, так и нет.
И вот недавно нормотворчество активизировалось. В частности увидели свет документы:
Пройдем коротко по каждому из них:
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации

Опубликован  буквально несколько недель назад. Документ разработан в целях реализации Стратегии национальной безопасности РФ до 2020 года и своей целью обозначает снижение до минимально возможного уровня рисковнесанкционированного вмешательства в функционирование АСУ ТП. Риск-ориентированный подход прослеживается по всему документу, что серьезно выделяет его из общей массы. По сути, документ определяет, что должно быть сделано на уровне «государства» в целях снижения рисков несанкционированного вмешательства в функционирование АСУ ТП.
Некоторые тезисы:
  • Понятия: КВО, автоматизированная система управления КВО и критическая информационная инфраструктура.
  • Планируется создание единой государственной системы обнаружения и предупреждения компьютерных атак (централизованная, иерархическая, территориально распределенная структура)
  • Предполагается формирование «сил обнаружения и предупреждения компьютерных атак»
  • В принципах указано обеспечение разрешительного характера деятельности (лицензирование и сертификация). Какой-то конкретики по этому пункту нет, при этом в задачах по развитию указывается на оптимизацию законодательства в части лицензирования.
  • В задачах указывается исключение/ограничение прохождения информационного обмена АСУ КВО по территории иностранных государств
  • Много задач на разработку и внедрение специализированных информационных систем и импортозамещение.
Для своего уровня документ очень достойный. Однако вопросов вызывает немало. Самое главное: Кто и какими ресурсами будет реализовывать написанное? Очевидно, что работать по эти направлениям должны и регуляторы, и Минобороны, и Правительство в целом, Совбез, коммерческие организации, НИИ, СМИ (а кто еще будет формировать в общественном сознании нетерпимость к лицам, совершающим противоправные деяния с использованием ИТ?) и т.д. Ответ на вопросы «кто? как? и как скоро?» мы должны получить в ближайшие полтора года, именно столько выделено на подготовку плана мероприятий по реализации Основных направлений.
Итак, о сроках. Работы поделены на три этапа:
  • 2012-2013 Первичное планирование и определение бюджета
  • 2014-2016 Основная нормативка, первоочередные мероприятия, разработка комплексных систем защиты, ввод первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак, создание сил и средств ликвидации последствий инцидентов.
  • 2017-2020 Основное внедрение. Далее – поддержание.
Проект федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”
Две недели назад на сайте ФСТЭК был выложен  Проект федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”
Помимо всего прочего статьей 16.2 «Защита информации в информационных системах КВО» определены основные требования к защите информации в информационных системах КВО, в частности:
• Требование по классификации (порядок устанавливает Правительство РФ)
• Требования к защите информации (ФСБ и ФСТЭК)
В случае принятия проекта в сегодняшнем виде, статьи вступают в силу с 1 января 2014 года. Соответственно до этого времени должны появиться подзаконные акты (Постановление Правительства о порядке классификации информационных систем КВО) и ведомственные документы ФСТЭК и ФСБ с требованиями по защите, привязанным к классам.
Пока неясно, какое развитие получит тема КВО в дальнейшем, однако если разбить документы по уровням сейчас получится следующая иерархия документации по защите КВО:
1-й уровень (Федеральные законы)
Проект федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”
2-й уровень (Постановления Правительства, Указы Президента)
Прямых документов пока нет
3-й уровень (Ведомственные документы):
По-прежнему остаются старые документы (см. выше, 1 документ Совбеза и 4 док-та ФСТЭК):
Итого:
На мой взгляд проект федерального закона и Основные направления… следует рассматривать в контексте создания нового направления ИБ. Есть КВО и к ним должны предъявляться особые требования по защите, в т.ч. по ИБ. Для защиты КВО должна быть сформирована новая нормативная (что сложно) и техническая (что крайне сложно) база. Если внимание к критически важным объектам продолжит расти, то в ближайшие годы на российском рынке ИБ будет сформировано отдельное направление, ориентированное на защиту КВО. Посмотрим что будет на самом деле.

или введите имя

CAPTCHA