16 Января, 2017

Проект постановления правительства о требованиях к ИБ АСУ ТП

Алексей Комаров

В декабре прошлого года Минэнерго объявило о работе над проектом постановления «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем».

Общая информация о проекте доступна на Федеральном портале проектов НПА: http://regulation.gov.ru/projects#npa=59775

Пока непосредственно текст постановления не опубликован (в разработке) и доступен только паспорт проекта.

В качестве проблемы, решаемой постановлением, сформулирован тезис о том, что требования к средствам защиты информации и информационной безопасности объектов электроэнергетики устанавливаются госстандартами, а также ФСБ и ФСТЭК, но при этом не имеют обязывающего характера. Судя по паспорту, проект был создан 01 декабря, ещё до принятия обновлённой Доктрины информационной безопасности и внесения в Госдуму проекта Федерального закона о безопасности КИИ . Сейчас (в отличие от 01 декабря) всё же есть немалая вероятность, что соблюдение требований по обеспечению безопасности в том числе объектов энергетики в скором времени перестанет быть необязательным:

Субъекты критической информационной инфраструктуры, владеющие на праве собственности либо ином законном основании значимыми объектами критической информационной инфраструктуры […] обязаны:

1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

Из проекта ФЗ о безопасности КИИ

Второй проблемой, на решение которой направлено постановление, указано отсутствие модели угроз информационной безопасности автоматизированных систем управления на объектах электроэнергетики. Про модель угроз часто задают вопросы слушатели на мероприятиях , где доводилось выступать с докладами по теме безопасности АСУ ТП. Действительно, сейчас, по сути, есть только руководящие документы ФСТЭК «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» от 2007 года, к которым хватает критических замечаний, начиная с того, что они имеют статус «Для служебного пользования» и заканчивая самим их наполнением. Появлению утверждённой, да ещё и отраслевой модели угроз, думаю, заказчики будут рады.

Впрочем, судя по описанию проекта, требования планируется сформулировать к достаточно узкой области:

правила, применимые для компаний, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики, производителей программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики, организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, компаний — заявителей на осуществление сертификации продукции в системе сертификации ФСТЭК России.

Акцент именно на системы удаленного мониторинга и диагностики, в целом, понятен — это то самое подключение сети АСУ ТП к внешнему миру, которое тяжело, а порой и невозможно контролировать, но отказаться от которого в большинстве случаев не получается (например, из-за особенностей сервисного контракта).

К сожалению, как я уже отмечал выше, текст самого постановления пока не опубликован. По указанному на портале контактному адресу я направил вопрос о текущей судьбе проекта и получил ответ, что текст должен появиться уже на этой неделе. Можно будет вернуться к обсуждению и уже более предметно.

В заключение напишу пару слов о самом портале. Точнее, опубликую один скриншот:

Истёк сертификат regulation.gov.ru

Истёк сертификат regulation.gov.ru

Как видно, ещё 24 сентября прошлого года, т.е. почти 4 месяца(!) назад, истёк срок действия сертификата портала  https://regulation.gov.ru В поддержке (осуществляет сторонняя компания) мне ответили два разных человека (обе девушки), одна из которых сообщила стандартной текстовой заготовкой, что этим вопросом они не занимаются, а вторая — что в курсе проблемы и работают над её решением. Вот такой вот отрицательный пример оперативности.

comments powered by Disqus