Так как Гугл до сих пор не знает многих документов по теме ТЭК, я решил создать пост, который когда-нибудь кому-нибудь поможет сориентироваться в нормативке по ТЭКу.
Как я уже говорил, тема защиты АСУ ТП в нормативке по ТЭКу совершенно не раскрыта.
Существует, правда, четверокнижие ФСТЭК:
1. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждена заместителем директора ФСТЭК России 18 мая 2007 года, ДСП);
2. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждена заместителем директора ФСТЭК России 18 мая 2007 года, ДСП);
3. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены заместителем директора ФСТЭК России 18 мая 2007 года, ДСП);
4. Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждено заместителем директора ФСТЭК России 19 ноября 2007 года, ДСП).
Кроме того еще есть Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утверждены заместителем директора ФСТЭК России 18 ноября 2008 года, ДСП).
Однако ни один нормативный документ по ТЭКу ничего не говорит ни про эти документы, ни про ФСТЭК. Поэтому мостика между ТЭК и КСИИ нет.
Кроме открытых документов по безопасности ТЭК, есть еще 2 закрытых (ДСП), без которых понять правильно тему безопасности ТЭК и заполнить паспорт объекта, указанный в 256-ФЗ, невозможно:
1. Постановление Правительства от 5 мая 2012 года №458 "Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов ТЭК" (70 страниц);
2. Методические рекомендации по анализу уязвимости производственно-технологического процесса и выявлению критических элементов объекта, оценке социально-экономических последствий совершения на объекте террористического акта и антитеррористической защищенности объекта при проведении категорирования и составлению паспорта безопасности объекта ТЭК, утверждены заместителем Министра энергетики РФ 10 октября 2012 года (56 страниц).
В ПП458 подробно раскрываются требования к организации режима охраны объекта ТЭК и составу средств охраны в зависимости от категории объекта ТЭК. Есть шаблоны внутренних документов с примерами заполнения.
Из интересного в ПП458 - в отдельных случаях нужно использовать операционные системы с открытыми кодами и беспилотные летательные аппараты :)
Методические рекомендации подробно раскрывают вопросы:
- категорирования объектов ТЭК;
- категории и модели нарушителей (ТГ, ГН, ОН);
- оценки ущерба (по методике МЧС и правилам Ростехнадзора);
- оценки антитеррористической защищенности;
- заполнения паспорта безопасности объекта ТЭК;
- оформления ситуационного плана и схемы охраны.
Кроме того есть шаблоны акта категорирования, акта обследования и других документов. Заполнить паспорт безопасности объекта ТЭК без методических рекомендаций невозможно. Поэтому вешать гриф на Методические рекомендации как то... нечестно :), учитывая, что тот же приказ Минпромэнерго России от «04» мая 2007 г. № 150 является открытым документом и содержание Методических рекомендаций и приказа №150 во многом совпадает.
По моему мнению, любовь наших ведомств к грифу ДСП объясняется главным образом меркантильными интересами. Торговля "цветными книжечками", которые все равно все потом сканируют, меня уже порядком достала.
Вот тебе еще в копилку по КВО - http://fstec.ru/_razd/metod%20rekomend.doc
ОтветитьУдалитьспасибо :)
Удалитьнеобычный документ..
Что это за документ пишет ошибка не существует
УдалитьХотел купить у разрекламированного института ФГА ОУ и т.д. Методику. Надзорные органы душат. Три недели бьюсь и без толку. Что-то не срослось у этих торгашей с госсекретами.Сплошная непорядочность Руководства Министерства. А ведь вроде не враги. Наверное хуже. Козлами обозвать, порядочность замучит.
ОтветитьУдалитьАлишер
Напишите мне письмо на root@itsec.pro. Что-нибудь придумаем.
УдалитьРебят доброго времени суток.... Я мучаюсь с этим ПП№458 уже 3-тий день... Скажите есть ли у вас у кого приложение №1 из ПП№458... так как из всех которых я нашел в сети ( отсканированных копий ), плюсы в таблицах этого приложения съехали...
ОтветитьУдалитьОчень прошу помогите найти Приложение 1 из ПП№458... pdf или любой файл где возможно рассмотреть нормально где стоят плюсы, чтоб я мог нормально оформить документ....
ОтветитьУдалитьДокумент ДСП. Дать его вам я не могу.
УдалитьЕсли у вас есть конкретные вопросы - напиши мне на почту root@itsec.pro
УдалитьДобрый день! А вы можете ответить на вопрос: является ли Постановление Правительства от 5 мая 2012 года №458 "Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов ТЭК" действующим или уже изменен или утратил силу?
ОтветитьУдалитьдействует, возможно на основании 226-фз от 03.07.2016 будут внесены изменения в п. 23. и там где задействованы структуры МВД. (охрана, кнопка)
Удалить