Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Обзор материалов VIII Конференции "Информационная безопасность АСУ ТП КВО"

    31.03.2020
    Булаев Михаил Александрович, ведущий консультант-аналитик

    4–5 марта 2020 г. в Москве прошла конференция «Информационная безопасность АСУ ТП критически важных объектов», в которой традиционно приняли участие представители ФСТЭК России - федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

    В этом материале дается обзор результатов анализа ФСТЭК России, которая является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, практики выполнения субъектами критической информационной инфраструктуры требований Федерального закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступившего в силу с 1 января 2018 года, и принятых в соответствии с ним нормативных правовых актов.
    • Ошибки при категорировании объектов критической информационной инфраструктуры
    1. Ошибки при выборе объектов критической информационной структуры (КИИ) и оценке влияния на их функционирование возможных компьютерных атак:
          • не учитываются угрозы, реализуемые внешним нарушителем;
          • не учитываются связи объектов с внешними информационно-телекоммуникационными сетями. Например, если АСУ ТП подключена к корпоративной ИС, имеющей выход в Интернет, то, по мнению ФСТЭК России, необходимо считать, что к сети Интернет подключена и АСУ ТП;
          • рассматриваются не все возможные сценарии потенциально возможных атак;
          • не учитывается замедление автоматизируемого процесса вследствие реализации возможных атак. ФСТЭК России считает, что максимальный ущерб может возникнуть не от прекращения функционирования ИС (АСУ ТП), а от неправильной (нештатной) её работы;
          • не учитывается взаимная зависимость одного значимого объекта КИИ (ЗОКИИ) (процесса) от другого ЗОКИИ (процесса), что особенно характерно для банковских ИС. Такая же зависимость может быть обусловлена в случае выхода из строя ЦОД, в котором размещены несколько различных ЗОКИИ, в том числе разных субъектов;
          • ошибки при объединении объектов КИИ (в случае, если однотипные объекты КИИ выполняют один процесс и имеют связь между собой, они могут быть объединены в один объект. В противном случае объединение не допускается).

    2. Неправильно определяются показатели значимости, установленные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

    В первую очередь к проблемным относятся следующие показатели:
          • социальный (№ 1 - Причинение ущерба жизни и здоровью);
          • экономический (№ 8 - Ущерб субъекту и №9 - Ущерб бюджетам) – необходимо учитывать ущерб, причиняемый и региональным, и федеральному бюджетам. Кроме того, необходимо обязательно указывать, от чего может возникнуть ущерб;
          • экологический (№ 11 - Воздействие на окружающую среду);
          • обеспечение обороны и безопасности (№ 13 – государственный оборонный заказ).

    3. Ошибки в сведениях, предоставляемых субъектами КИИ во ФСТЭК России в соответствии с приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»,
    в том числе:
          • занижение категории значимости объектов КИИ;
          • игнорирование сроков категорирования объектов КИИ, установленных Федеральным законом от 26 июля 2017 г. № 187-ФЗ и постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127;
          • учёт не всех объектов КИИ, находящихся в ведении субъекта;
          • не рассматривается возможность реализации компьютерных инцидентов;
          • привлечение к категорированию объектов КИИ сторонних организаций, некомпетентных в вопросах осуществления функционирования объектов КИИ субъекта;
          • некорректные обоснования незначимости разных по назначению и характеристикам объектов КИИ (подготовка обоснований «под копирку»);
          • в представляемых сведениях необходимо заполнять все графы таблицы формы направления сведений, при этом указывая причину, по которой неактуален для конкретного ЗОКИИ тот или иной параметр, обозначенный в таблице.

    • Проблемные вопросы при создании системы безопасности ЗОКИИ (создание системы безопасности ЗОКИИ регламентируется приказами ФСТЭК России от 21.12.2017 г. № 235 и от 25.12.2017 г. № 239)
    1. Ошибки при создании системы безопасности ЗОКИИ:
          • обязанности по обеспечению безопасности ЗОКИИ возлагаются на непрофильных должностных лиц;
          • фактически разработаны документы только по пропускному режиму;
          • не организовано взаимодействие различных подразделений субъекта в целях обеспечения комплексного и согласованного подхода к обеспечению безопасности ЗОКИИ.

    ФСТЭК России разъясняет, что действующими нормативными актами (см. п. 10 Требований, утвержденных приказом ФСТЭК России от 21 декабря 2017 г. № 235) на владельца ЗОКИИ не возлагается обязанность создания специального штатного подразделения по защите ЗОКИИ. Руководитель субъекта КИИ самостоятельно принимает решение о возложении функций такого подразделения на одно из структурных подразделений или о назначении отдельных работников, ответственных за обеспечение безопасности значимых объектов.

    2. Ужесточение требований к силам обеспечения безопасности
    ФСТЭК России обратила внимание на необходимость подготовки к выполнению новых квалификационных требований к сотрудникам сил обеспечения безопасности ЗОКИИ (требования установлены приказом ФСТЭК России от 27 марта 2019 г. № 64), которые вступают в силу с 1 января 2021 г.

    Требования к руководителю структурного подразделения по безопасности:
          • высшее профессиональное образование
              - по направлению подготовки в области информационной безопасности;
              - иное высшее профессиональное образование и обучение по программе профессиональной переподготовки по направлению "Информационная безопасность" (не менее 360 часов)
          • наличие стажа работы в сфере информационной безопасности не менее 3 лет.

    Требования к штатным работникам структурного подразделения по безопасности:
          • высшее профессиональное образование:
              - по направлению подготовки в области информационной безопасности;
              - иное высшее профессиональное образование и прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (не менее 72 часов).

    Общее требование к персоналу:
    прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

    В соответствии с приказом ФСТЭК России от 20 февраля 2020 г. № 35 (в настоящее время не опубликован и находится на регистрации в Минюсте России) в приказ ФСТЭК России от 25 декабря 2017 г. N 239 вносятся новые требования по обеспечению безопасности значимых объектов, вступающие в силу с 1 января 2023 г., к которым относятся:
          • требования к проведению испытаний и приемки несертифицированных СЗИ;
          • требования к уровню доверия ПО несертифицированных СЗИ;
          • требования по безопасности к ПО, реализующему функции значимого объекта КИИ по назначению;
          • допускается удаленный доступ к значимым объектам КИИ при условии выполнения организационных и технических мер по обеспечению его безопасности.

    3. Государственный контроль ЗОКИИ
    В 2020 году ФСТЭК России планирует комплекс выездных проверок субъектов КИИ. Процедура проведения проверок регламентируется:
          • постановлением Правительства РФ от 17 февраля 2018 г. № 162 «Об утверждении правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
          • приказом ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

    Возврат к списку