Совет безопасности России опубликовал основные направления госполитики «в области обеспечения безопасности систем управления производственными и технологическими процессами критически важных объектов инфраструктуры» страны. В документе указано, что создан он был в целях реализации основных положений стратегии национальной безопасности России до 2020 г., которая предполагает и совершенствование ИТ-инфраструктуры критически важных объектов в целях защиты их от угроз.
К критически важным составители относят объекты, нарушение или прекращение функционирования которых может привести к потере управления инфраструктурой, ее разрушению и негативному изменению экономики страны или региона, где объект располагается. Целью разработки политики является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования ИТ-систем, а также минимизация негативных последствий такого вмешательства.
Слабые места. Что делать?
Среди негативных факторов, влияющих на формирование ИБ-госполитики авторы документа упоминают «вынужденное» привлечение при создании систем управления иностранных поставщиков ПО и аппаратных средств обработки, хранения и передачи информации, тенденцию среди владельцев и операторов критически важных объектов скрывать факты нарушения их работы, недостаточный уровень образования и профподготовки персонала, обслуживающего системы управления критически важными объектами, отсутствие достаточного нормативно-правового регулирования в данной области.
Решать задачи обеспечения безопасности систем управления критическими объектами авторы предлагают по пяти основным направлениям: в области нормативно-правовой базы, госрегулирования, промышленной и научно-технической политики, технологий и средств обеспечения ИБ, а также повышения квалификации кадров.
В области нормативно-правового регулирования стоит отметить инициативы авторов документа по необходимости определения и закрепления прав и обязанностей собственников ИТ-систем управления объектов критической инфраструктуры, регламентацию порядка ввода в действие, эксплуатации и модернизации таких систем, а также введение ответственности за нарушения в процессе этого, усиление ответственности за создание и применение средств компьютерных атак.
Среди задач госрегулирования авторы документа выделяют создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру, создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в ней, создание хранилища эталонного ПО, использующегося в ИТ-системах критической инфраструктуры, создание условий, стимулирующих развитие в России производства телеком-оборудования, устойчивого к компьютерным атакам. На государство же авторы документа возлагают и выделение (привлечение) необходимых источников и объемов финансовых ресурсов.
В научно-технологической области значительная часть определенных авторами документа задач касается необходимости различных разработок в области систем управления критической инфраструктурой и ИБ.
«Дорожная карта»
Реализовывать политику предлагается в три этапа: 2012-2013 гг., 2014-2016 гг. и 2017-2020 гг. Первый этап предполагает разработку плана мероприятий по реализации основных направлений политики, разработку концепции использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре, подготовку предложений по внесению изменений в утвержденные госпрограммы и корректировке планируемых программ, и др.
На второй этап приходится серьезная работа в области нормативно-правового регулирования, касающаяся регламентирования различных процессов и разграничения ответственности, разработок в области ИБ, а также ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру. На этот же этап приходится создание сил и средств ликвидации последствий компьютерных инцидентов.
Третий этап, в числе прочего, предполагает внедрение комплексных систем защиты на объектах, ввод в действие первой очереди хранилища эталонного ПО, ввод в эксплуатацию единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру и ситуационного центра.
Что думают эксперты?
Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников считает, что безопасность автоматизированных систем управления в целом, и тем более на критически важных объектах инфраструктуры, - одна из наиболее острых проблем на сегодняшний день, и государственное регулирование этих вопросов, безусловно, необходимо.
Очень важным, по его мнению, является предусмотренное документом создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов. «К другим достоинствам документа я бы отнес выдвижение требований к разработчикам систем АСУ и введение ответственности за нарушение порядка их разработки, однако, учитывая, что большинство из них – зарубежного производства, не ясен порядок реализации этого требования», - говорит эксперт.
Среди проблемных мест документа Емельянников отмечает отсутствие исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в России. Что делать – определяется, а кому – пока не ясно, отмечает он.
«Не ясен и механизм предусмотренного документом недопущения технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности АСУ критически важных объектов в условиях, когда большинство используемых в России систем АСУ ТП (SCADA) – зарубежного производства», - говорит Михаил Емельянников.
Среди других моментов, которые выделяет в документе эксперт, отсутствие упоминаний в нем ФСТЭК России: «Фактически все функции реализации программы возлагаются на ФСБ, в зоне ответственности которой ранее были только криптографические средства защиты и информационная безопасность высших органов власти. Между тем, реализация «Основных направлений…» политики требует принятия большого количества нормативно-правовых актов, часть которых, в соответствии с действующими документами, входит в компетенцию ФСТЭК».
Эксперт по информационной безопасности Алексей Лукацкий, опубликовавший отзыв о документе в своем блоге, считает, что документ достаточно грамотно написан: «Беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО». Видимо, характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику, пишет Лукацкий.
Как и Емельянников, Лукацкий отмечает отсутствие упоминаний ФСТЭК в документе: «ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур». Ранее, напомним, российские власти также обсуждали возможность создания в стране «кибер-командования» - подразделения в Вооруженных силах, деятельность которого будет посвящена обеспечению информационной безопасности.
Андрей Ярных, руководитель отдела интернет-решений «Лаборатории Касперского», считает, что появление такого документа в рамках работы Совета безопасности говорит о признании всей серьезности киберугроз и их возможном негативном (и даже разрушительном) влиянии на критически важную инфраструктуру страны. В данном вопросе этот документ соответствует международной практике по защите собственных интересов в киберпространстве и определении потенциально уязвимых точек, которые могут стать мишенью для кибертеррористов или кибервандалов, говорит Ярных.
«Международный опыт показывает, что развитые страны уделяют этому вопросу большое значение и предпринимают шаги по защите собственной инфраструктуры от интернет-угроз», - добавляет он.
Источник: cnews
|