Собственно то, о чем так долго мечтала
прогрессивная общественность - свершилось! ФСТЭК опубликовала проект
нормативного правового акта "Требования к обеспечению защиты информации,
обработка которой осуществляется автоматизированными системами управления
производственными и технологическими процессами на критически важных объектах,
потенциально опасных объектах, объектах, представляющих повышенную опасность
для жизни и здоровья людей и для окружающей природной среды" с которым
можно ознакомиться по следующей ссылке http://fstec.ru/normotvorcheskaya/proekty/57-normotvorcheskaya/proekty/prikazy/799-proekt-normativnogo-pravovogo-akta-fstek-rossii
и до 20 февраля прислать свои предложения и замечания.
Мои впечатления - бочка меда.
Документ на удивление не плох. Он полностью
вписывается в канву последних нормативных наработок и в общем-то действительно
может применяться. Отдельно хотелось бы упомянуть 3 момента.
Во-первых, разработчики подошли к требованиям
вдумчиво и аккуратно "Организационные и технические меры защиты
информации должны быть согласованы с мерами по обеспечению
функциональной (технологической) безопасности автоматизированной системы
управления и управляемого (контролируемого) объекта или процесса и не должны
оказывать отрицательного (мешающего) влияния на функциональную
(технологическую) безопасность автоматизированной системы управления."
Фактически поставив во главу угла все-таки безопасность технологического
процесса, а не требования ИБ. Данное требование встречается в тексте дважды,
видимо, чтобы не забывали.
Во-вторых, учтены известные особенности триады
К-Ц-Д применительно к АСУТП. "Организационные и технические меры защиты
информации должны быть направлены на обеспечение штатного режима
функционирования автоматизированной системы управления и управляемого
(контролируемого) объекта и (или) процесса путем обеспечения доступности
информации (исключение неправомерного блокирования информации), целостности
информации (исключение неправомерного уничтожения, модифицирования информации),
а также, при необходимости, конфиденциальности информации (исключение
неправомерного доступа, копирования, предоставления или распространения
информации)." Академично и правильно.
В-третьих, в понятие компенсирующих мер защиты,
включены технологические меры "В качестве компенсирующих мер, в первую
очередь, рассматриваются меры по обеспечению функциональной (технологической)
безопасности и меры по обеспечению физической безопасности автоматизированной
системы управления, поддерживающие необходимый уровень защищенности
автоматизированной системы управления.", что в практической плоскости
значит следующее - возможность обоснованного исключения мер защиты, если
безопасность реализована на уровне технологии производства или конкретных
проектных решений. Это важно, так как многие технологические процессы, даже в
случае сбоя или взлома АСУТП, не могут выйти за границы
безопасного/экономически целесообразного рабочего диапазона в силу физических,
технических или прочих ограничений. Безусловно, применение компенсирующих мер
должно быть обосновано, но для современных производств, а также для производств
с низкой степенью автоматизации техпроцесса - реальная возможность сохранить
средства, усилия и время на защиту того, что защищать нет необходимости.
Ложки дегтя.
Сразу оговорюсь, что часть из моих замечаний -
это просто придирки к несущественным, а возможно и вообще правильным
формулировкам. Ну а часть требует обсуждения и пока остается загадкой.
Начну с важного. ФСТЭК, отчасти вторглась на поле
Ростехназора, что в перспективе может привести к серьезным проблемам для
оператора объекта в попытке усидеть на двух стульях. В приказе
Ростехнадзора от 11.03.2013 N 96 "Об утверждении Федеральных норм и правил
в области промышленной безопасности "Общие правила взрывобезопасности для
взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств"
(Зарегистрировано в Минюсте России 16.04.2013 N 28138) п.п. 2.5. буквально
говорится следующее "Внесение изменений в технологическую схему,
аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ
осуществляется после внесения изменений в проектную и техническую документацию,
согласованных с разработчиком проектной документации (документации) или с
организацией, специализирующейся на проектировании аналогичных объектов, при
наличии положительного заключения экспертизы промышленной безопасности
разработанной документации, а в случаях, предусмотренных законодательством о
градостроительной деятельности, положительного заключения экспертизы в
соответствии с законодательством о градостроительной деятельности."
Т.е. возможна ситуация при которой изменения, внесенные в рамках требований
ФСТЭК, не пройдут экспертизу ПБ в Ростехнадзоре. Ну и не забываем, что
дополнительные требования к техническим устройствам и экспертизе ПБ содержаться
в N116-ФЗ "О промышленной безопасности опасных производственных
объектов".
Вообще, надо понимать, что проектирование и
эксплуатация опасных промышленных объектов, и так область весьма
зарегулированная, поэтому было неплохо, чтобы требования ФСТЭК были гармонизированы
с существующими требованиями других ведомств.
И в конце этого беглого обзора, хочу привести
несколько контраргументов к публикации моего уважаемого коллеги и однофамильца
Сергея Борисова http://sborisov.blogspot.ru/2014/02/blog-post.html?spref=tw
Сергей, считает неправильным выделение в проекте
приказа проектировщика, как отдельного лица и наделением его полномочиями по
разработке проекта защиты АСУТП. На самом деле, возвращаясь к "Общим
правилам взрывобезопасности для взрывопожароопасных химических, нефтехимических
и нефтеперерабатывающих производств" мы видим, что ""Внесение
изменений в технологическую схему, аппаратурное оформление, в системы контроля,
связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и
техническую документацию, согласованных с разработчиком проектной
документации (документации) или с организацией, специализирующейся на
проектировании аналогичных объектов" Т.е. нельзя внести изменения
в проект АСУТП без согласования с проектировщиком или специализирующейся организаций!
Логично? На мой взгляд вполне. Это вопрос ответственности за безопасность.
Еще одно подтверждение вдумчивого подхода ФСТЭК.
Вопрос по поводу лицензирования проектировщика. Я понимаю, что интеграторам
выгодно, чтобы входной билет на этот рынок был все тот же - лицензии ФСТЭК/ФСБ,
но проектирование опасных промышленных объектов также относиться к
лицензируемым видам деятельности. И вот тут неувязка - лицензий на
проектирование ОПО у большинства интеграторов нет. Какой выход? На мой взгляд
он очень прост - субподряд. Если проектировщик не может выполнить проект по ИБ
АСУТП своими силами - он обратиться к интегратору с достаточным опытом и
компетенциями.
Ответственность
за безопасность системы полностью остается на проектировщике! Это важно.
И последнее, уже, наверное, отчасти личное...
Сергей пишет "Налицо желание проектных организаций АСУ захватить в свои
руки все работы – в том числе внедрение СЗИ, разработку организационных мер по
ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты)." Вот это, на мой взгляд,
совсем не так. Тот, кто занимался проектной деятельностью, понимает сколько
стоит проект производства, и какую долю там занимает АСУ ТП, я уже не говорю о
поставках оборудования под проект. Поэтому большим игрокам возня с ИБ невыгодна
в принципе (за исключением случаев сдачи проектов "под ключ), а маленьким
сил не хватит, да и смысла нет - обычно они эффективно работают в своей нише. Я
уж не говорю о том, что проекты по ISO/IEC 27001 и не всем , даже крупным, интеграторам в РФ
под силу.
За сим спешу откланяться.
PS
Отдельно, прошу прощения у Сергея Борисова, если какие-то из моих высказываний
в адрес его статьи показались некорректными.
