Comments 6
Мало кто при разборе 187-ФЗ и связанного с ним законодательства вспоминает про 31 указ для некритичных объектов. Даже больше скажу я неоднократно слышал от «субъектов КИИ» примерно следующее: мы тут подумали и решили, что у нас НЕ критичные объекты, по этому мы не будем привязываться к федеральным требованиям в области защиты.
Вот что мне в сочинителях этих законов удивляет — это их узконаправленность.
АСУТП это не только контроллеры, компьютеры и Ethernet между ними. АСУТП — это ещё и весь условный полевой уровень и другое, не относящиеся к информационной инфраструктуре оборудование. А к фатальным последствиям, авариям, инцидентам оно привести может.
По тем законам, которые видел — мы успешно защищаемся от злоумышленника, который пытается обойти парольную защиту, закинуть вирус, переписать технологический софт в контроллера или конфиги сетевого оборудования… Там много такого всего он попытается сделать, даже попытается уничтожить какие-то части информационной инфраструктуры. Но это всё требует знаний в ИТ, иногда немалых. А вот для того, чтоб где-то умышленно или случайно включить-отключить что-то не то, "наладить" неправильно, нарушив тем самым техпроцесс, может даже вызвав необходимость ремонтно-восстановительных работ — чаще всего нужна безграмотность и невнимательность, которых в достатке. Вообще, может зима неожиданно пришла)))
Почему то считается что тратить бюджеты на защитный софт и железки для защиты от инцидентов в ИТ части — это нормально. А тратиться на мероприятия, ну и тоже наверно софт и железки для безопасности (от злоумышленников) всего технологического объекта — это лишнее.
Ту часть АСУТП которая ИТ — уже всю законами обложили. А законов об организации безопасности в полях (я не про охрану труда, а про защиту от злоумышленных действий) — я не видел еще. Мероприятия, которые способствуют безопасности, встречающиеся в ПУЭ и ПТЭ — не в счет.
Начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с
Началось всё с ключевых систем информационных инфраструктур (КСИИ). В 2007 — 2010 гг. был выпущен целый пакет нормативных и методических документов по КСИИ. К сожалению, большинство из них имело ограничительную пометку. По сути же КИИ — это эволюция КСИИ. Более того, в своём информионном сообщении от от мая 2018 г. № 240/22/2339 регулятор разрешает применять базовую модель угроз и методику определния актуальных угроз в КСИИ для моделирования угроз на значимых объектах КИИ.
в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.
Больше всего не повезло организациям ОПК у которых нет значимых объектов КИИ. Для таких счастивчиков в 2017 году регулятор специально разработал обязательные требования к защите информации (имеют ограничительную пометку).
Обзор российского законодательства по защите критической информационной инфраструктуры