+7 (495) 980-67-76

АСУ ТП как объект КИИ

01 марта 2018

Виктор СЕРДЮК
генеральный директор
АО «ДиалогНаука»

Летом прошлого года был принят Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», основные положения которого вступили в силу с 1 января 2018 г. Одной из характерных особенностей закона является наличие требования подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Эта система предназначена, в частности, для обеспечения защиты критической информационной инфраструктуры РФ (КИИ). Следует отметить, что АСУ ТП многих предприятий могут попасть в область действия закона и будут рассматриваться как объект КИИ, по отношению к которому необходимо проводить комплекс мероприятий по защите информации. В предлагаемой статье сделан краткий обзор данного закона и подзаконных актов, которые разрабатываются на его основе.

ЗАКОН

Федеральный закон 187-ФЗ «О безопасности КИИ» определяет два федеральных органа исполнительной власти, ответственных за обеспечение безопасности КИИ. Первый – ФОИВ - уполномоченный в области обеспечения безопасности КИИ, второй - уполномоченный в области обеспечения функционирования ГосСОПКА. Первый отвечает за формирование реестра объектов критической инфраструктуры, формирование требований к ним и всячески отвечает за обеспечение их безопасности. В роли этого ФОИВ выступает ФСТЭК России. Вторым ФОИВ является ФСБ, которая обеспечивает функционирование ГосСОПКА по сбору информации об инцидентах и рассылки предупреждений об атаках на объекты КИИ.

Собственно, ГосСОПКА была ранее сформирована в рамках указа Президента РФ 15 января 2013 г. № 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации", который продолжает действовать как один из подзаконных актов в рамках 187-ФЗ. Она предполагает наличие центрального узла системы, который получил наименование GovCERT (http://gov-cert.ru/), который в законе упомянут как «национальный координационный центр по компьютерным инцидентам" (НКЦКИ). GovCERT является центром всей распределенной иерархической системы ГосСОПКА, куда могут входить и отраслевые, и территориальные и даже корпоративные центры реагирования на компьютерные инциденты путем обмена информацией с GovCERT. Теоретически все отрасли и территории, где есть предприятия, отнесенные к объектам КИИ, должны построить собственные центры мониторинга.

Основой для требований к защите объектов КИИ будет выбран приказ №31 ФСТЭК, который уже успешно применяется на практике для защиты АСУ ТП. В рамках «Росстандарта» ФСТЭК организовала свой технический комитет, поэтому велика вероятность подготовки в среднесрочной перспективе ГОСТов для обеспечения защиты АСУ ТП объектов КИИ.

Следует отметить, что Президент РФ 22 декабря 2017 г. уже подписал указ № 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации", где определил ФСБ в качестве ФОИВ, отвечающего за ГосСОПКА.

В указе также определены и задачи функционирования ГосСОПКА:

  • прогнозирование ситуации в области обеспечения информационной безопасности РФ;
  • обеспечение взаимодействия владельцев информационных ресурсов РФ, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
  • установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

Таким образом, ФСБ получает возможность проводить контроль защищенности объектов КИИ, в том числе и АСУ ТП, если таковые будут признаны КИИ.

ПОДЗАКОННЫЕ АКТЫ

На основе Федерального закона 187-ФЗ в настоящее время разрабатываются подзаконные акты, направленные на определение порядка защиты объектов КИИ. На сегодняшний день уже выпущен Указ Президента РФ № 569 от 25 ноября 2017 «О внесении изменений в Положение о ФСТЭК», согласно которому ФСТЭК с 1 января 2018 становится ответственным ФОИВ области обеспечения безопасности КИИ.

Кроме этого, 8 февраля 2018 было выпущено Постановление Правительства РФ №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». В тот же день в Минюсте РФ был официально зарегистрирован Приказ ФСТЭК России №227 от 06 декабря 2017 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ».

В рамках этих подзаконных актов должен быть сформирован реестр значимых объектов КИИ, где, собственно, они все и должны быть перечислены. Когда компании, имеющие объекты КИИ в своем подчинении, будут определены, их предстоит категорировать в соответствии с уровнем значимости, который устанавливается исходя из следующих критериев:

  • социальная значимость, которая выражается в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также в максимальном времени отсутствия доступа к государственной услуге для ее получателей;
  • политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическая значимость, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
  • экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
  • значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Всего устанавливаются три категории значимости, самая высокая категория – первая, самая низкая – третья.

Практически, во всех случаях есть собственные АСУ ТП, деятельность которых, таким образом, может попасть под действие 187-ФЗ. Компаниям, которые попадут в реестр значимых объектов КИИ, придется, как минимум, создавать свой центр мониторинга и реагирования на компьютерные инциденты, чтобы иметь возможность сообщать о них в вышестоящий узел ГосСОПКА. Он должен не только собирать информацию о инцидентах, но и в случае получения предупреждения от системы суметь соответствующим образом отреагировать на атаку.

Скорее всего, остальные технические требования по мерам по защите информации будут базироваться на видоизмененном приказе №31 ФСТЭК. Тем не менее, пока уточняющие подзаконные акты не будут приняты о полноценном введении закона в действие говорить не приходится.

ЗАКЛЮЧЕНИЕ

Закон 187-ФЗ направлен на повышение уровня информационной безопасности объектов КИИ, к числу которых, вероятно, будут отнесены АСУ ТП многих предприятий. Соответствующие подзаконные акты предусматривают проведение комплекса мероприятий, начиная с категорирования объектов КИИ и заканчивая реализацией мер по защите информации, в том числе подключение в ГосСОПКА. С учетом вышесказанного предприятия должны заранее начинать работу в этом направлении, чтобы быть готовыми выполнить требования данного закона.

PDF-версия статьи "АСУ ТП как объект КИИ"
379
Подписаться на статьи

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;