Верхнее

Проект постановления правительства о требованиях к ИБ АСУ ТП

В декабре прошлого года Минэнерго объявило о работе над проектом постановления «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем».

Общая информация о проекте доступна на Федеральном портале проектов НПА: http://regulation.gov.ru/projects#npa=59775

Пока непосредственно текст постановления не опубликован (в разработке) и доступен только паспорт проекта.

В качестве проблемы, решаемой постановлением, сформулирован тезис о том, что требования к средствам защиты информации и информационной безопасности объектов электроэнергетики устанавливаются госстандартами, а также ФСБ и ФСТЭК, но при этом не имеют обязывающего характера. Судя по паспорту, проект был создан 01 декабря, ещё до принятия обновлённой Доктрины информационной безопасности и внесения в Госдуму проекта Федерального закона о безопасности КИИ. Сейчас (в отличие от 01 декабря) всё же есть немалая вероятность, что соблюдение требований по обеспечению безопасности в том числе объектов энергетики в скором времени перестанет быть необязательным:

Субъекты критической информационной инфраструктуры, владеющие на праве собственности либо ином законном основании значимыми объектами критической информационной инфраструктуры […] обязаны:

1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

Из проекта ФЗ о безопасности КИИ

Второй проблемой, на решение которой направлено постановление, указано отсутствие модели угроз информационной безопасности автоматизированных систем управления на объектах электроэнергетики. Про модель угроз часто задают вопросы слушатели на мероприятиях, где доводилось выступать с докладами по теме безопасности АСУ ТП. Действительно, сейчас, по сути, есть только руководящие документы ФСТЭК «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» от 2007 года, к которым хватает критических замечаний, начиная с того, что они имеют статус «Для служебного пользования» и заканчивая самим их наполнением. Появлению утверждённой, да ещё и отраслевой модели угроз, думаю, заказчики будут рады.

Впрочем, судя по описанию проекта, требования планируется сформулировать к достаточно узкой области:

правила, применимые для компаний, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики, производителей программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики, организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, компаний — заявителей на осуществление сертификации продукции в системе сертификации ФСТЭК России.

Акцент именно на системы удаленного мониторинга и диагностики, в целом, понятен — это то самое подключение сети АСУ ТП к внешнему миру, которое тяжело, а порой и невозможно контролировать, но отказаться от которого в большинстве случаев не получается (например, из-за особенностей сервисного контракта).

К сожалению, как я уже отмечал выше, текст самого постановления пока не опубликован. По указанному на портале контактному адресу я направил вопрос о текущей судьбе проекта и получил ответ, что текст должен появиться уже на этой неделе. Можно будет вернуться к обсуждению и уже более предметно.

В заключение напишу пару слов о самом портале. Точнее, опубликую один скриншот:

Истёк сертификат regulation.gov.ru

Истёк сертификат regulation.gov.ru

Как видно, ещё 24 сентября прошлого года, т.е. почти 4 месяца(!) назад, истёк срок действия сертификата портала https://regulation.gov.ru В поддержке (осуществляет сторонняя компания) мне ответили два разных человека (обе девушки), одна из которых сообщила стандартной текстовой заготовкой, что этим вопросом они не занимаются, а вторая — что в курсе проблемы и работают над её решением. Вот такой вот отрицательный пример оперативности.

, ,

No comments yet.

Добавить комментарий