Инфраструктура системы АСУ ТП -> Структура программного обеспечения систем автоматизации и управления
Совет безопасности определил как будут защищать АСУ ТП
4 июля на сайте Совета Безопасности появился
примечательный документ - "Основные направления государственной
политики в области обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами критически
важных объектов инфраструктуры Российской Федерации". Как написано в
преамбуле, эти "основные направления" разработаны в целях реализации
основных положений Стратегии национальной
безопасности Российской Федерации до 2020 года, в соответствии с
которой одним из путей предотвращения угроз информационной безопасности
Российской Федерации является совершенствование безопасности
функционирования информационных и телекоммуникационных систем критически
важных объектов инфраструктуры и объектов повышенной опасности в
Российской Федерации.
Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.
Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.
В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.
Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.
В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
- сложившаяся среди операторов и владельцев информационных систем, в состав которых входят автоматизированные системы управления КВО, тенденция сокрытия попыток или фактов нарушения их штатного функционирования
- вынужденное привлечение при создании автоматизированных систем управления КВО иностранных фирм - производителей и поставщиков программно-аппаратных средств обработки, хранения и передачи информации и применение зарубежных программно- аппаратных решений, создающих предпосылки для возникновения технологической и иной зависимости от иностранных государств .
Направлений решения данной задачи выделено 5 - от госрегулирования и
совершенствования нормативной базы до промышленной и научно-технической
политики, фундаментальной и прикладной науки и повышения квалификации
кадров. Дальше документ детально раскрывает эти направления. Там все
тоже грамотно. Хотя некоторые пункты вызывают вопросы именно в части
реализации. Я, например, хотел бы знать, как будет формироваться в
общественном сознании нетерпимость к лицам, совершающим противоправные
деяния с использованием информационных технологий.
Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.
Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.
Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.
Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.
Комментариев нет:
Отправить комментарий
Дорогие друзья!
Если наш блог оказался для Вас интересным поделитесь им со своими друзьями в любимых социальных сетях.