Страницы

ФСТЭК. Защита оборудования с ЧПУ.


Несмотря на то, что тема защиты АСУ ТП только начинает активно развиваться, у ФСТЭКа есть "старая" нормативная ветка ДСПшных документов, созданная еще во времена защиты ключевых систем (КСИИ).
Один из таких документов  - это Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну. Утверждено приказом ФСТЭК от 29 мая 2009г. №191. ДСП.

Вот о нём и пойдет сегодня речь...



По-хорошему принципы защиты оборудования с ЧПУ должны были бы ложится в общую парадигму защиты АСУ ТП, установленную 31 приказом ФСТЭК, так как оборудование с ЧПУ можно смело рассматривать как часть АСУ ТП, но этого не произошло. Сегодня защита АСУ ТП рассматривается ФСТЭК отдельно по новой методике "как в 17 и 21 приказе", параллельно с четверокнижием по КСИИ  и 191 приказом про ЧПУ, опирающимися на требования по защите информации из РД 1992 года "Классификация АС" (этот же документ, кстати, до сих пор используется для защиты гостайны).

Идея растить нормативку исходя из какого-нибудь закона (например, "О противодействии терроризму" или "О безопасности объектов ТЭК") лично мне совсем не нравится. Уж лучше бы сделали не отдельный документ для КВО и отдельный для КСИИ, а просто лучшие практики для АСУ ТП без привязки к перечню ключевых/критических/опасных/энергетических объектов.

Таким образом при построении АСУ ТП, включающей в себя оборудование с ЧПУ, необходимо учитывать сразу две абсолютно разные "ветки" требований ФСТЭК, что создает определенные неудобства.

Как и СТР-К, 191 приказ описывает меры по защите негостайны и для коммерческих организаций носит рекомендательный характер. На фоне этого гриф "ДСП" и сложности в приобретении приказа смотрятся неуместными. Когда уже ФСТЭК окончательно прекратит торговлю ДСПшными "цветными книжечками"?

Подход к защите оборудования с ЧПУ можно назвать классическим: классификация, внутренние документы, модель угроз, сертифицированные средства защиты, аттестация, контроль. Подробно расписан процесс допуска сотрудников подрядных организаций к обслуживаемому оборудованию. Дан перечень требований к договорам с подрядными организациями.

Классификация автоматизированных систем, использующих оборудование с ЧПУ, проходит в соответствие с РД 1992 года "Классификация АС..", только к классу добавляется индекс "-4" (например, 2Б-4, 1Г-4 и так далее). Требования к новым классам, в целом, чуть более жесткие, чем к родительским.


Для обработки служебной информации требуется наличие сертификата НДВ-4 и МЭ-4. Для коммерческой - без НДВ и можно МЭ-5 если сеть территориально распределена.

Самый интересный вопрос для меня - это загадочный индекс "-4". Интересно, что за системы классифицируются как "1Г-3", "2А-2" или "3Б-1"?

ДСП документы в нашей стране можно достать в двух местах: ФГУП Стандартинформ и ФГУП Рособоронстандарт (с ними обычно немного попроще).

Что ещё почитать?




1 комментарий:

  1. Добрый день, а где можно посмотреть текст этого приказа "ФСТЭК от 29 мая 2009г. №191. ДСП." был бы очень признателен, в поисковиках ссылки только на ваш блог.

    ОтветитьУдалить