11 Марта, 2015

Как Ростехнадзор информационную безопасность России нарушал

Алексей Лукацкий
Есть такое понятие - структурированная система мониторинга и управления инженерными системами зданий и сооружений (СМИС). Согласно ряду нормативных требований, а точнее:

  • Приказ МЧС от 27.10.2009 №612 «О совершенствовании нормативной базы по организации систем наблюдения и контроля (мониторинга) параметров состояния зданий и сооружений и оборудования потенциально опасных объектов»
  • ГОСТ Р 22.1.12-2005 «Безопасность в ЧС. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования»
  • Различные своды правил и стандарты, например, ГОСТ «Безопасность в чрезвычайных ситуациях. Технические средства мониторинга чрезвычайных ситуаций. Структурированная система мониторинга и управления инженерными системами зданий и сооружений»
критически важные и потенциально опасные объекты должны быть оснащены в обязательном порядке структурированными системами мониторинга и управления инженерными системами зданий и сооружений, а также должна быть обеспечена автоматическая передача необходимой информации о состоянии контролируемых объектов и параметрах чрезвычайной ситуации по установленной форме в дежурную службу объекта, единую дежурно-диспетчерскую службу муниципального образования и Ростехнадзор. Это требования Министерства по чрезвычайным ситуациям (МЧС).

На первый взгляд требование логичное и полезное - за борьбу с чрезвычайными ситуациями у нас отвечает МЧС. За промышленную безопасность - Ростехнадзор. Поэтому надо иметь возможность контролировать критически важные и потенциально опасные объекты с целью своевременного предотвращения опасных ситуаций, которые могут привести к катастрофе. Но...

Как такое требование у нас выглядит с точки зрения информационной безопасности? Начнем с того, что предприятия, попадающие в перечень критически важных объектов, должны предоставить МЧС выделенный канал для подключения к своей АСУ ТП системы для осуществления мониторинга технологических процессов и процессов обеспечения функционирования оборудования предприятия! Разумеется, никаких требований к защите этого подключения и этого канала не предъявляется (не епархия МЧС это). Ответственного (читай "крайнего") за этот канал тоже нет - ответственности делится между владельцем КВО и Ростехнадзором и каждый, в случае наступления чрезвычайной ситуации, будет кивать друг на друга.

Во-вторых, СМИС, получается, дублирует существующую на предприятии систему противоаварийной защиты. Посколько и существующая на предприятии система противоаварийной автоматики и СМИС подключаются к одной и той же системе, то их взаимодействие непредсказуемо. Со всеми вытекающими.

Но самое главное. Данный обязательный канал подключения КВО к СМИС является каналом проникновения в защищенный периметр критически важного объекта.

И вот новый сюрприз. Ростехнадзором подготовлен законопроект "О внесении изменений в Федеральный закон "О промышленной безопасности опасных производственных объектов", согласно которому "организация, эксплуатирующая опасный производственный объект, обязана осуществлять дистанционный контроль технологических процессов на нем, и передачу в федеральный орган исполнительной власти в области промышленной безопасности информации о регистрации параметров, определяющих опасность технологических процессов, а также о срабатывании систем противоаварийной защиты".

Вещь эта безусловно полезная и нужная - направлена она на предотвращение чрезвычайных ситуаций. Но и про информационную безопасность забывать не стоит. А тут она вырастает в полный рост - все-таки требование дистанционного контроля технологических процессов представляет собой новый риск для тех объектов, где такого нового канала доступа Ростехнадзора раньше не было. В законопроекте стоило бы прописать соответствующие отсылки на требования по информационной безопасности при обеспечении такого контроля, которые должны быть установлены федеральным органом исполнительной власти, уполномоченным в области безопасности ключевых систем информационной инфраструктуры или в области безопасности критических информационных инфраструктур. Всего один абзац, зато появляется задел на будущее и можно будет наконец-то реализовать долгожданную связку требований по промышленной и информационной безопасности, о которой я уже как-то писал