По всей видимости, этап осмысления проблем информационной безопасности критически важных объектов подходит к концу. Stuxnet, бэкдор в ZTE , шпионские гипервизоры в BIOS , ... - всё это говорит о том, что на Востоке и на Западе разработкой киберваффе занялись плотно и на самом высоком уровне. Адекватным ответом на усилия кибершпионов и кибердиверсантов будет разработка собственной системы информационной безопасности критически важных объектов инфраструктуры РФ.
name='more'>
Начало этому уже положено: опубликованы основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации, в рамках которой будет разработана нормативная база, создана единая государственная система обнаружения и предупреждения компьютерных атак и т.д.
Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).
Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).
На сегодняшний момент обеспечение безопасности КВО ведется в рамках антитеррористического законодательства и, как следствие, ограничивается в основном вопросами физической безопасности без конкретных требований к информационной.
Наиболее проработанный с точки зрения законодательства сектор КВО - это объекты топливно-энергетического комплекса (ТЭК).
Структура нормативных документов по обеспечению безопасности объектов ТЭК выглядит сегодня таким образом (ссылки на сами документы не даю. Всё находил в Консультанте):
И тут есть несколько очень интересных моментов:
1. Впервые в моей практике я встретил приложение к закону 256-ФЗ (!) с шаблоном документа (!!!) - паспорта безопасности объекта ТЭК. Почему шаблон не утвердили на уровне правительства или Минэнерго - не ясно. Теперь чтобы изменить хоть слово в шаблоне паспорта придется принимать новый федеральный закон!
Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.
Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.
2. Постановление Правительства с конкретными требованиями по обеспечению безопасности объектов ТЭК застряло в стадии проекта уже 9 месяцев!
3. В проекте указанного ПП отсутствуют требования к защите информации (!)
В то время как ст.11 256-ФЗ и Приказ Минэнерго N 587 однозначно говорят, что система защиты информации - неотъемлемая часть безопасности объектов ТЭК.
Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него , ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.
Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).
4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.
В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.
Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него , ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.
Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).
4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.
В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.
PS. Примечательно, что задолго до Stuxnet наша страна уже возможно сталкивалась с компьютерными диверсиями в АСУ ТП . Даже при том уровне автоматизации это было страшное оружие.
