|
|
Обзор подготовлен
Совет безопасности России опубликовал основные направления государственной политики по обеспечению безопасности критически важных объектов инфраструктуры страны до 2020 г. Участники рынка считают, что документ хорошо регламентирует обеспечение безопасности инфраструктуры, но в процессе выработки плана работ необходимо решить ряд принципиальных вопросов.
Власти России всерьез обеспокоены защитой критически важных инфраструктурных объектов в России с помощью информационных технологий. Результатом систематизации опыта государственных специалистов и отдельного нормотворчества стал выход в июле 2012 г. под эгидой Совета безопасности документа «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации».
Тема защиты критически важных объектов на государственном уровне поднималась еще в 2005-2007 гг., когда Федеральной службой по техническому и экспортному контролю (ФСТЭК) был выпущен ряд темaтических документов. В этих постановлениях указаны критерии, по которым можно определить элементы инфраструктуры критически важных объектов, которые подлежат защите. Также ФСТЭК приводилa базовую модель угроз информационной безопасности, опубликовaлa общие требования и рекомендации по обеспечению ИБ в ключевых инфрaструктурных системах. Эти документы ФСТЭК помогли сформировать нормативную базу, в них сформулированы основные понятия – критически важный объект (КВО) и Ключевая (критически важная) система информационной инфраструктуры (КСИИ).
Критически важный объект — объект, оказывающий существенное влияние на национальную безопасность РФ, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.
Ключевая (критически важная) система информационной инфраструктуры — информационная система, с помощью которой осуществляется управление критически важным объектом/процессом или информирование граждан. В результате деструктивных воздействий на такую ключевую систему может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями. Согласно документам ФСТЭК, критически вaжные системы информационной инфраструктуры входят в состав систем органов государственной влaсти, бaнков, систем упрaвления прaвоохрaнительными оргaнaми, трaнспортом, водо- и энергоснaбжением, нефтедобычей и т.д. КСИИ тaкже есть в нaвигaционных, спутниковых системaх, в сетях связи.
Основные направления государственной политики в области обеспечения безопасности критически важных объектов инфраструктуры РФ разработаны в целях реализации Стратегии национальной безопасности РФ до 2020 г. Государство ставит цель снизить до минималь новозможного уровень рисков несанкционированного вмешательства в функционирование АСУТП.
Александр Переведенцев, начальник отдела инженерных решений компании «Техносерв», помимо закрепления основных понятий, наиболее ценным в документе считает указание обеспечения разрешительного характера деятельности (лицензирование и сертификация). Специалист отмечает, что в документе ставится много задач на разработку и внедрение специализированных информационных систем и импортозамещение, а также исключение/ограничение прохождения информационного обмена автоматизированных систем управления КВО за рубежом. Кроме того, документ говорит о необходимости создания единой государственной системы обнаружения и предупреждения компьютерных атак (это должна быть централизованная, иерархическая, территориально распределенная структура) и формировании «сил обнаружения и предупреждения компьютерных атак».
Иван Бурдело, технический директор компании «Кабест» (группа «Астерос»), важным в документе видит упоминание разработчиков прикладного программного обеспечения (ПО) автоматизированных систем управления производственными и технологическими процессами (АСУ ПТП). Как правило, разработчики обеспечивали только реализацию целевых функций в АСУ ПТП и мало обращали внимание на надежность функционирования и безопасность своих приложений. В документе признается практика удаленной настройки АСУ ПТП и, как следствие, использования единой мировой информационно-телекоммуникационной сети. В свою очередь, это делает уязвимыми для внешнего воздействия критически важные объекты. Признание данных фактов дает правовую основу для разработки мер по недопущению отклонений в практике создания АСУ ПТП.
Некоторое удивление вызывает полное отсутствие в документе упоминания ФСТЭК как одном из органов исполнительной власти, ответственном за вопросы обеспечения безопасности. В тексте говорится о неких «федеральных органах исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, государственного надзора и контроля, управления деятельностью критически важных объектов». Не исключено, что стоит ожидать появления нового регулятора со своим аппаратом и бюджетным финансированием.
В целом документ имеет четкую проработанную структуру и охватывает практически все ключевые проблемы, считают участники рынка. Однако существует ряд моментов, которые вызывают вопросы. И, прежде всего, это понимание официального статуса опубликованного на сайте Совета безопасности РФ документа. Также пока неясно, кто и какими ресурсами будет реализовывать то, что написано в документе. Очевидно, что работать по этим направлениям должны и регуляторы, и правительство в целом, а также Совбез, коммерческие организации, профильные НИИ. Важна и просветительская роль средств массовой информации. Ответы на все вопросы появятся к 1 января 2014 г. – к этому сроку должна завершиться подготовка плана мероприятий по реализации основных направлений.
В 2014-2016 гг. предстоит реализация первоочередных мероприятий, разработка комплексных систем защиты, ввод первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак, создание сил и средств ликвидации последствий инцидентов. Далее, в 2017-2020 гг. намечено основное внедрение систем защиты.
По словам экспертов, никакой революции в области защиты критически важных инфраструктурных объектов в связи с выходом документа Совбеза не будет. Предстоит планомерная работа. Основные подходы и методы обеспечения безопасности в классическом применении этого понятия к критически важным объектам остаются прежними. То, что рассмотрено в документе, уже реализовано или реализуется. Поддержка и регламентация на уровне государства придаст больше организованности проводимым мероприятиям.
«С нашей точки зрения необходимы уточнения в части реализации отдельных направлений,– говорит Иван Бурдело. – Например, непонятно как “обеспечение устойчивого функционирования национального сегмента единой мировой информационно-телекоммуникационной сети” соотносится с проблемой обеспечения безопасности АСУ ПТП критически важных объектов. Каких ресурсов это потребует и какие шаги необходимо предпринять, чтобы реализовать это на практике?»
Также эксперт советует обратить внимание на пункт, где говорится про «создание единых реестров программных и аппаратных средств, используемых в автоматизированных системах управления КВО, создание баз данных, касающихся надежности функционирования…, состояния их защищенности». Возникают вопросы, каким будет уровень конфиденциальности информации, который характеризует защищенность всех критически важных объектов РФ, кто будет иметь доступ к данным, как будет обеспечиваться их защита?
«Безопасность критически важных объектов – это отдельное очень большое направление, которое получит развитие в ближайшие 2-3 года,– прогнозирует. – Александр Переведенцев. За это время на рынок выйдут новые решения по безопасности, появятся профессиональные исполнители соответствующих работ. В настоящий момент мы находимся в самом начале формирования рынка».
«По нашей оценке, повсеместное использование импортного ПО в работе АСУ ПТП в обозримом будущем будет минимизировано. От рынка потребуется развитие отечественных технологий разработки прикладного ПО с учетом требований безопасности», – ожидает Иван Бурдело.
Андрей Арсентьев