По всей видимости, этап осмысления проблем информационной безопасности критически важных объектов подходит к концу. Stuxnet, бэкдор в ZTE, шпионские гипервизоры в BIOS, ... - всё это говорит о том, что на Востоке и на Западе разработкой киберваффе занялись плотно и на самом высоком уровне. Адекватным ответом на усилия кибершпионов и кибердиверсантов будет разработка собственной системы информационной безопасности критически важных объектов инфраструктуры РФ.
Начало этому уже положено: опубликованы основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации, в рамках которой будет разработана нормативная база, создана единая государственная система обнаружения и предупреждения компьютерных атак и т.д.
Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).
Кроме того готовятся поправки в 149-ФЗ "Об информации, информационных технологиях и защите информации", связанные с защитой информационных систем критически важных объектов (ИС КВО).
На сегодняшний момент обеспечение безопасности КВО ведется в рамках антитеррористического законодательства и, как следствие, ограничивается в основном вопросами физической безопасности без конкретных требований к информационной.
Наиболее проработанный с точки зрения законодательства сектор КВО - это объекты топливно-энергетического комплекса (ТЭК).
Структура нормативных документов по обеспечению безопасности объектов ТЭК выглядит сегодня таким образом (ссылки на сами документы не даю. Всё находил в Консультанте):
И тут есть несколько очень интересных моментов:
1. Впервые в моей практике я встретил приложение к закону 256-ФЗ (!) с шаблоном документа (!!!) - паспорта безопасности объекта ТЭК. Почему шаблон не утвердили на уровне правительства или Минэнерго - не ясно. Теперь чтобы изменить хоть слово в шаблоне паспорта придется принимать новый федеральный закон!
Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.
Сам паспорт имеет гриф по заполнению (!) и детально описывает весь комплекс мероприятий по обеспечению безопасности, начиная от характеристики местности и климата, заканчивая количеством сторожевых собак на балансе организации.
2. Постановление Правительства с конкретными требованиями по обеспечению безопасности объектов ТЭК застряло в стадии проекта уже 9 месяцев!
3. В проекте указанного ПП отсутствуют требования к защите информации (!)
В то время как ст.11 256-ФЗ и Приказ Минэнерго N 587 однозначно говорят, что система защиты информации - неотъемлемая часть безопасности объектов ТЭК.
Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него, ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.
Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).
4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.
В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.
Почитав проект поправок к 149-ФЗ и, в особенности, заключение на него, ситуация с КВО становится чуть-чуть понятней и похожей как 2 капли воды на ситуацию с ПДн:
- Правительство разработает классификацию ИС КВО;
- ФСТЭК и ФСБ разработают требования в своих предметных областях;
- контролировать ИС КВО будут 3 регулятора: ФСТЭК, ФСБ и Минэнерго.
Складывается стандартная для нашей страны ситуация: защищать надо, а как - непонятно. Закон есть, а подзаконных актов по защите информации нет (и не видно даже на горизонте).
4. ФСТЭК 5 лет назад разработала РД ДСП по защите ключевых систем информационной инфраструктуры (КСИИ). Классификация КСИИ (3 уровня важности) даже неплохо коррелирует с категориями объектов ТЭК (3 категории опасности). Однако почему то про существование этих документов вспоминают достаточно редко, и возможность их воскрешения маловероятна.
В данный момент в стране ведётся большая работа по формированию реестра объектов ТЭК, классификации и паспортизации этих объектов, и у темы защиты информационных систем критически важных объектов есть все шансы стать трендом 2013 года.
PS. Примечательно, что задолго до Stuxnet наша страна уже возможно сталкивалась с компьютерными диверсиями в АСУ ТП. Даже при том уровне автоматизации это было страшное оружие.
Артем, не следишь ты за новостями.
ОтветитьУдалитьhttp://www.cnews.ru/top/2012/08/22/minekonomrazvitiya_razgromilo_novyy_zakon_o_zashhite_itsistem_500211
Минэконом развития серъезные замечания представила к инициативе ФСТЭК. Даже непонятно теперь, смогут ли они провести требования.
В теле новости есть ссылка на заключение минэкономразвития.
УдалитьВ отличие от кое-кого новости я узнаю не от cnews ;)
эти требования или другие.. какая разница?
главное что вопрос решается и требования будут.
В теле МОЕЙ новости ссылка на заключение
УдалитьДля появления требований, ФСТЭКу придется ещё доказать целесообразность таких требований. Сейчас им данных просто брать неоткуда. Инцидентов немного и ущерб по ним никто не публикует.
УдалитьСтоит ожидать или дутых скандалов или инициатива ФСТЭК сойдет на нет или её перехватит ФСБ.
ты не cnews читай, а оригинал.
Удалитьпретензии минэкономразвития касаются только тех сфер производства, где риск реализации угроз информации минимален (металлообработка, машиностроение, химическая промышленность и т.д.).
Если почитаешь оригинал, увидишь что за 2011 год было 266 инцидентов и их количество растет из года в год.
Так же в доке дан анализ в среднего уровня ущерба от инцидентов (сотни миллионов рублей).
Инициатива ФСТЭК на нет не сойдёт, т.к. в основных направлениях государственной политики (линк вначале статьи) все расписано до 2020 года.
Артем, можете одним архивом выложить документы с представленной схемки? Буду очень признателен
ОтветитьУдалитьЕсли бы Вы представились - я бы подумал :)
УдалитьМаленков Иван. Специалист по ИБ.
Удалитьhttps://dl.dropbox.com/u/1785050/fileshare/%D0%A2%D0%AD%D0%9A.RAR - вот.
Удалитьлинк заработает минут через 10ть...
Спасибо огромное!!!
ОтветитьУдалитьАртем, ну, вообще говоря, "возможность их воскрешения маловероятна" - это неверно. ФСТЭК вовсю ходит с проверками выполнения этих документов, заводы хватают предписания пачками, устраняют... Вы в Консультанте что-ль живете?
ОтветитьУдалитьМне доступна информация, в основном, по ЮФО. Тут активность по КСИИ минимальна.
УдалитьКонсультант - это гугл в мире нормативных документов.
К выводу в отношении КСИИ я пришел от обратного.
УдалитьПоявился вакуум в защите информации ТЭК, который не заполнили четверокнижием ФСТЭК по КСИИ.
К тому же четверокнижие по КСИИ морально устарело.
Буквально 24 августа закончила работа ФСТЭК у нас на предприятии. Написали рекомендации. В основном по КСИИ.
УдалитьВ ходе проверки так и не смогли сказать каким нормативным актом или законом утверждены их ДСП-шные документы. Ссылаются на документ СовБеза, который секретный.
И, внимание, вменяют нарушение статьи 11 ФЗ-256. Закон есть, а как его исполнять неизвестно.
Это очень интересно, т.к. я сейчас работаю над подобными проектами.
УдалитьЕсли бы Вы нашли возможность прислать мне на почту root@itsec.pro копию заключения ФСТЭК (или его часть про ст.11 256-фз) - я был бы очень благодарен.
В свою очередь полную анонимность/конфиденциальность гарантирую.
А у меня возник такой вопрос, КСИИ обрабатывающие ПДн, должны ли выполнять требование и 152-ФЗ, окромя требований ФСТЭК по КСИИ?
ОтветитьУдалить1. Указанные системы редко обрабатывают ПДн. Есть прецеденты когда ПДн в таких системах признавались "технологической информацией" (см записи в системах авиабронирования);
Удалить2. требования к ИСПДн и КСИИ во многом совпадают. Обычно к КСИИ требования жестче. Поэтому с технической стороны выполнить требования ФСТЭК к ИСПДн должно быть просто.
1) Столкнулся с системой которая обрабатывает в составе 90% информации ПДн.
УдалитьВот за пример с авиабронированием спасибо.