После публикации Cnews комментариев к «Основным направлениям государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» в наше агентство поступает много вопросов, связанных с этим документом.
Поскольку, по понятным причинам, портал опубликовал только часть из наших комментариев, и тема вызывает живой интерес, наш полный текст публикуем ниже.
_____
Безопасность АСУ ТП в целом, и тем более на критически важных объектах инфраструктуры, - одна из наиболее острых проблем на сегодняшний день, и государственное регулирование этих вопросов, безусловно, необходимо.
Очень важным представляется предусмотренное «Основными направлениями…» создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов.
К другим достоинствам документа я бы отнес выдвижение требований к разработчикам систем АСУ ТП и введение ответственности за нарушение порядка их разработки, однако, учитывая, что большинство из них – зарубежного производства, не ясен порядок реализации этого требования.
Документ четко определяет необходимость использования механизмов лицензирования и сертификации при обеспечении безопасности автоматизированных систем управления критически важными объектами (КВО).
Проблемы – нет исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации. Т.е. что делать – определяется, а вот кому – пока не ясно.
Безопасность критической информационной инфраструктуры рассматривается почему-то только с точки зрения защищенности от компьютерных атак, а вот угрозы не антропогенного характера – стихийные бедствия, катастрофы на объекте, пожары, угрозы терроризма, не связанные с компьютерными атаками, почему-то в качестве угроз не рассматриваются, хотя они весьма и весьма реальны и могут привести к катастрофическим последствиям.
Не ясен механизм предусмотренного документом недопущения технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности автоматизированных систем управления КВО в условиях, когда большинство используемых в России систем АСУ ТП (SCADA) – зарубежного производства, а Минсвязи, в лице нового министра, говорит о нецелесообразности продолжения работ по созданию национальной программной платформы. Да и предусмотренное «Основными направлениями…» создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам, без создания реальных преференций разработчиками и их государственной поддержки может остаться только лозунгом.
Пункт 10 «Основных направлений…» предусматривает выполнение очень большого объема работ, который может быть профинансирован и реализован только государством, однако об источниках финансирования в документах нет ни слова.
Совершенно непонятны методы реализации предусмотренных п.12 мер, связанных с квалификацией руководителей и персонала объектов, осведомленностью граждан в области информационной безопасности, тем более, что системы аттестации в области ИБ в нашей стране нет вообще, а задача «формирования в общественном сознании нетерпимости к лицам, совершающим противоправные деяния с использованием информационных технологий» представляется совершенно абстрактной.
В нарисованной в п.17 дорожной карте реализации «Основных направлений…» не просматриваются работы по определению требований к безопасности АСУ ТП КВО, в том числе – к их разработчикам, что очень удивительно.
И, наконец, в документе вообще не упоминается ФСТЭК России, фактически все функции реализации программы возлагаются на ФСБ России, в зоне ответственности которой ранее были только криптографические средства защиты и информационная безопасность высших органов власти. Между тем, реализация «Основных направлений…» требует принятия большого количества нормативно-правовых актов, часть которых, в соответствии с действующими документами, входит в компетенцию ФСТЭК России.
_____
Также мы можем порекомендовать познакомиться с интересной, на наш взгляд, точкой зрения Алексея Лукацкого.
ж) ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;
ОтветитьУдалитьКак оцениваете связь между импортными SCADA и национальной программной платформой (кстати что это такое)?
ОтветитьУдалить2Евгений Родыгин Никак не оцениваю. Я именно про это и написал - требования может и правильные, но производители далеко и им до этого дела нет. А мы все изобретаем свои велосипеды (НПА), только никто не хочет сказать, как обрахом на коленке появится офисы, СУБД, системы проектирования, конкурентоспособные с тем, что есть. Со SCADA - особь статья. Пока управляемое оборудование импортное, никакая НПП не поможет.
ОтветитьУдалить