Как стать автором
Обновить

Комментарии 6

Спасибо, ушло в закладки.
Мало кто при разборе 187-ФЗ и связанного с ним законодательства вспоминает про 31 указ для некритичных объектов. Даже больше скажу я неоднократно слышал от «субъектов КИИ» примерно следующее: мы тут подумали и решили, что у нас НЕ критичные объекты, по этому мы не будем привязываться к федеральным требованиям в области защиты.

Вот что мне в сочинителях этих законов удивляет — это их узконаправленность.
АСУТП это не только контроллеры, компьютеры и Ethernet между ними. АСУТП — это ещё и весь условный полевой уровень и другое, не относящиеся к информационной инфраструктуре оборудование. А к фатальным последствиям, авариям, инцидентам оно привести может.
По тем законам, которые видел — мы успешно защищаемся от злоумышленника, который пытается обойти парольную защиту, закинуть вирус, переписать технологический софт в контроллера или конфиги сетевого оборудования… Там много такого всего он попытается сделать, даже попытается уничтожить какие-то части информационной инфраструктуры. Но это всё требует знаний в ИТ, иногда немалых. А вот для того, чтоб где-то умышленно или случайно включить-отключить что-то не то, "наладить" неправильно, нарушив тем самым техпроцесс, может даже вызвав необходимость ремонтно-восстановительных работ — чаще всего нужна безграмотность и невнимательность, которых в достатке. Вообще, может зима неожиданно пришла)))
Почему то считается что тратить бюджеты на защитный софт и железки для защиты от инцидентов в ИТ части — это нормально. А тратиться на мероприятия, ну и тоже наверно софт и железки для безопасности (от злоумышленников) всего технологического объекта — это лишнее.

В Приказе №31 как раз подчеркивается, что важно использовать штатный защитный функционал используемых в АСУТП систем. Таким образом, следует корректно/безопасно настраивать и само оборудование, а не только средства защиты и ИТ-инфраструктуру «вокруг» объекта.
В состав технологического объекта может входить оборудование не имеющее отношения к ИТ-инфраструктуре. Например, задвижки без электропривода. Как такое «корректно/безопасно настраивать» по 31 закону от закрытия вручную злоумышленником? Автоматы питания (обычные, в пластиковом корпусе без дистанционного управления) как «корректно/безопасно настраивать» от выключения их злоумышленником?
Ту часть АСУТП которая ИТ — уже всю законами обложили. А законов об организации безопасности в полях (я не про охрану труда, а про защиту от злоумышленных действий) — я не видел еще. Мероприятия, которые способствуют безопасности, встречающиеся в ПУЭ и ПТЭ — не в счет.
Описанные в статье нормативные документы действительно рассматривают защиту IT и OT систем и сетей. Если же брать «аналоговые» системы, то в них модель угроз и нарушителя, а также риски будут иными. Для их защиты логичнее всего будет применять организационные меры: инструкции и прочие локальные нормативные акты, визуальный контроль работы, проверки кандидатов и сотрудников.
Начало работ по защите информационной инфраструктуры в государственном масштабе было положено с подписанием Указа Президента Российской Федерации от 15 января 2013 г. № 31с


Началось всё с ключевых систем информационных инфраструктур (КСИИ). В 2007 — 2010 гг. был выпущен целый пакет нормативных и методических документов по КСИИ. К сожалению, большинство из них имело ограничительную пометку. По сути же КИИ — это эволюция КСИИ. Более того, в своём информионном сообщении от от мая 2018 г. № 240/22/2339 регулятор разрешает применять базовую модель угроз и методику определния актуальных угроз в КСИИ для моделирования угроз на значимых объектах КИИ.

в настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», а если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.


Больше всего не повезло организациям ОПК у которых нет значимых объектов КИИ. Для таких счастивчиков в 2017 году регулятор специально разработал обязательные требования к защите информации (имеют ограничительную пометку).
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.