АСУ ТП как объект КИИ

01 марта 2018

Виктор СЕРДЮК
генеральный директор
АО «ДиалогНаука»

Летом прошлого года был принят Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», основные положения которого вступили в силу с 1 января 2018 г. Одной из характерных особенностей закона является наличие требования подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Эта система предназначена, в частности, для обеспечения защиты критической информационной инфраструктуры РФ (КИИ). Следует отметить, что АСУ ТП многих предприятий могут попасть в область действия закона и будут рассматриваться как объект КИИ, по отношению к которому необходимо проводить комплекс мероприятий по защите информации. В предлагаемой статье сделан краткий обзор данного закона и подзаконных актов, которые разрабатываются на его основе.

ЗАКОН

Федеральный закон 187-ФЗ «О безопасности КИИ» определяет два федеральных органа исполнительной власти, ответственных за обеспечение безопасности КИИ. Первый – ФОИВ - уполномоченный в области обеспечения безопасности КИИ, второй - уполномоченный в области обеспечения функционирования ГосСОПКА. Первый отвечает за формирование реестра объектов критической инфраструктуры, формирование требований к ним и всячески отвечает за обеспечение их безопасности. В роли этого ФОИВ выступает ФСТЭК России. Вторым ФОИВ является ФСБ, которая обеспечивает функционирование ГосСОПКА по сбору информации об инцидентах и рассылки предупреждений об атаках на объекты КИИ.

Собственно, ГосСОПКА была ранее сформирована в рамках указа Президента РФ 15 января 2013 г. № 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации", который продолжает действовать как один из подзаконных актов в рамках 187-ФЗ. Она предполагает наличие центрального узла системы, который получил наименование GovCERT (http://gov-cert.ru/), который в законе упомянут как «национальный координационный центр по компьютерным инцидентам" (НКЦКИ). GovCERT является центром всей распределенной иерархической системы ГосСОПКА, куда могут входить и отраслевые, и территориальные и даже корпоративные центры реагирования на компьютерные инциденты путем обмена информацией с GovCERT. Теоретически все отрасли и территории, где есть предприятия, отнесенные к объектам КИИ, должны построить собственные центры мониторинга.

Основой для требований к защите объектов КИИ будет выбран приказ №31 ФСТЭК, который уже успешно применяется на практике для защиты АСУ ТП. В рамках «Росстандарта» ФСТЭК организовала свой технический комитет, поэтому велика вероятность подготовки в среднесрочной перспективе ГОСТов для обеспечения защиты АСУ ТП объектов КИИ.

Следует отметить, что Президент РФ 22 декабря 2017 г. уже подписал указ № 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации", где определил ФСБ в качестве ФОИВ, отвечающего за ГосСОПКА.

В указе также определены и задачи функционирования ГосСОПКА:

  • прогнозирование ситуации в области обеспечения информационной безопасности РФ;
  • обеспечение взаимодействия владельцев информационных ресурсов РФ, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
  • установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

Таким образом, ФСБ получает возможность проводить контроль защищенности объектов КИИ, в том числе и АСУ ТП, если таковые будут признаны КИИ.

ПОДЗАКОННЫЕ АКТЫ

На основе Федерального закона 187-ФЗ в настоящее время разрабатываются подзаконные акты, направленные на определение порядка защиты объектов КИИ. На сегодняшний день уже выпущен Указ Президента РФ № 569 от 25 ноября 2017 «О внесении изменений в Положение о ФСТЭК», согласно которому ФСТЭК с 1 января 2018 становится ответственным ФОИВ области обеспечения безопасности КИИ.

Кроме этого, 8 февраля 2018 было выпущено Постановление Правительства РФ №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». В тот же день в Минюсте РФ был официально зарегистрирован Приказ ФСТЭК России №227 от 06 декабря 2017 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ».

В рамках этих подзаконных актов должен быть сформирован реестр значимых объектов КИИ, где, собственно, они все и должны быть перечислены. Когда компании, имеющие объекты КИИ в своем подчинении, будут определены, их предстоит категорировать в соответствии с уровнем значимости, который устанавливается исходя из следующих критериев:

  • социальная значимость, которая выражается в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также в максимальном времени отсутствия доступа к государственной услуге для ее получателей;
  • политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическая значимость, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
  • экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
  • значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Всего устанавливаются три категории значимости, самая высокая категория – первая, самая низкая – третья.

Практически, во всех случаях есть собственные АСУ ТП, деятельность которых, таким образом, может попасть под действие 187-ФЗ. Компаниям, которые попадут в реестр значимых объектов КИИ, придется, как минимум, создавать свой центр мониторинга и реагирования на компьютерные инциденты, чтобы иметь возможность сообщать о них в вышестоящий узел ГосСОПКА. Он должен не только собирать информацию о инцидентах, но и в случае получения предупреждения от системы суметь соответствующим образом отреагировать на атаку.

Скорее всего, остальные технические требования по мерам по защите информации будут базироваться на видоизмененном приказе №31 ФСТЭК. Тем не менее, пока уточняющие подзаконные акты не будут приняты о полноценном введении закона в действие говорить не приходится.

ЗАКЛЮЧЕНИЕ

Закон 187-ФЗ направлен на повышение уровня информационной безопасности объектов КИИ, к числу которых, вероятно, будут отнесены АСУ ТП многих предприятий. Соответствующие подзаконные акты предусматривают проведение комплекса мероприятий, начиная с категорирования объектов КИИ и заканчивая реализацией мер по защите информации, в том числе подключение в ГосСОПКА. С учетом вышесказанного предприятия должны заранее начинать работу в этом направлении, чтобы быть готовыми выполнить требования данного закона.

PDF-версия статьи "АСУ ТП как объект КИИ"
693
Подписаться на статьи
;