Тема безопасности ТЭК постепенно обрастает новыми руководящими документами, толкованиями и слухами.
name='more'>
name='more'>
5 мая 2012 года вышло Постановление Правительства №458 "Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов ТЭК" на 70 листах (ДСП). Недавно вышли методические рекомендации от Минэнерго на замену старым ( Приказ Минпромэнерго №150 от 4 мая 2007 года).
Несмотря на то, что качеству этих документов может смело завидовать ГНИИ ПТЗИ (рекомендации Минэнерго обычно содержат перечень и шаблоны необходимых документов (!) с примерами заполнения (!!)), во всем законодательстве о безопасности ТЭК зияет внушительная дыра - безопасность АСУ ТП.
Как то так получилось, что вся безопасность объектов ТЭК, спускаясь от закона к подзаконникам, свелась к физической защищенности, которую обычно рассматривают в свете антитеррористической защиты.
Хотя 11 статья 256-ФЗ прямо говорит о защите информационных систем, подзаконные акты обычно увиливают от этой темы:
Кроме того, контроль за безопасностью объектов ТЭК должны отдать МВД, про ФСТЭК нигде ни слова (хотя есть информация о проверках объектов ТЭК ФСТЭКом по КСИИ и 256-ФЗ, но это больше напоминает личную инициативу ФСТЭК), а сама реализация мероприятий по безопасности на объектах будет доверена службам охраны, во главе которых стоят далекие от ИБ люди.
В свете учений НАТО по отражению кибератак, игнорирование вопросов защиты АСУ ТП выглядит немного пугающе.
Для организации адекватной защиты объектов ТЭК на всей территории страны предстоит проделать еще очень много работы. В службах безопасности объектов нет кадров, которые хотя бы слышали о stuxnet, в контролирующем органе (МВД) нет людей, которым была бы интересна тема безопасности АСУ ТП, а в руководящих документах нет даже упоминания о информационной безопасности, кроме 11 статьи в самом Федеральном законе.
Наверное, единственное что в этом вопросе играет нам на руку - это низкий уровень информатизации и автоматизации объектов жизнеобеспечения и готовность нашего народа смело жить без света и горячей воды хоть всю зиму :).
PS Интересный момент, который увидел в новых требованиях - использование операционных систем с открытым кодомв системах сбора и обработки информации. Видимо под это дело Касперский и создает свою новую операционную систему.
