ru
ru en

Правительство обсуждает безопасность критической инфраструктуры РФ

Правительством РФ предложена правовая основа для эффективного функционирования системы безопасности КИИ РФ - обсуждается законопроект о безопасности критической информационной инфраструктуры Российской Федерации.

Безопасность критической информационной инфраструктуры РФ предполагает такую защищенность информационной инфраструктуры, при которой проведение в отношении нее компьютерных атак не приведет к нарушению её функционирования.

Законопроектом устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов Российской Федерации, а также права, обязанности и ответственность лиц, владеющих объектами критической информационной инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Законопроектом предусматривается вступление его в силу с 1 января 2017 года, за исключением отдельных положений, вступающих в силу с 1 января 2018 года. [consultant.ru]

img_2016-12-21-17_57_43В настоящее время законопроект проходит рассмотрение в различных Комитетах Государственной Думы РФ и уже получил одобрение в Комитете по информационной политике, информационным технологиям и связи.

«Цифровая подстанция» попросила специалистов отрасли прокомментировать данный законопроект .

lukatskij
Алексей Лукацкий
CISCO

Необходимость выработки государственной политики в области кибербезопасности объектов энергетики назрела давно. К ней подступались уже не раз и вот наконец, похоже, мы видим финальную попытку, которая должна завершиться принятием в следующем году закона по безопасности критической инфраструктуры. За ней последует обновление документов ФСТЭК и выпуск ряда Постановлений Правительства, касающихся кибербезопасности именно электроэнергетики. Главное, чтобы владельцы и операторы систем управления технологическими процессами в электроэнергетике успели реализовать базовые механизмы защиты до того, как их будут проверять на прочность различные враждебные элементы, чья активность в текущих геополитических условиях только увеличивается.

По сути законопроект переводит 31-й приказ ФСТЭК по защите АСУ ТП из статуса «непонятно» в статус «обязательно к применению».

За этим последует необходимость реализовывать мероприятия по обеспечению безопасности своих автоматизированных систем, а в случае нежелания – серьезная уголовная ответственность. Поэтому я бы не стал спустя рукава ждать, когда кто-то придет с проверкой и начнет спрашивать, что и как. Лучше работать на опережение и начать с реализации базового набора защитных мер.

Пока сложно говорить о конкретных темах, которые стоит взять на вооружение. Все-таки мы говорим о законопроекте, который даже еще первого чтения не прошел. Тут стоит подождать второго чтения, после которого вырисуется то, что и пойдет на подпись Президенту России. В любом случае, с момента принятия закона пройдет около года прежде чем начнется по нему активная работа. Сначала должен быть определен уполномоченный орган по безопасности критической инфраструктуры, а потом критерии категорирования объектов критической инфраструктуры. На все это выделяют около года. И только потом владельцы объектов энергетики смогут приступить к классификации своих объектов и реализации остальных положений закона.

Пока я вижу только один подводный камень – отнесение сведений о мерах защиты объектов энергетики к гостайне, что сразу ставит жесткие условия по обработке такой информации. Но надеюсь, что к концу работы над законопроектом это требование смягчат.

Если регулятор не будет проверять выполнение новых требований, то никакого смысла в еще очередном «мертвом» законе нет.

Таких документов выпускалось уже много – и ст.11 256-го закона «О безопасности объектов ТЭК», и 861-е Постановление Правительства об информировании об инцидентах, и многие другие нормативно-правовые акты. Поэтому важно то, как закон будет реализовываться и проверяться на практике. Только после этого можно говорить о его плюсах и минусах.

karantaev-1
Владимир Карантаев
ИнфоТеКС
Комитет D2 CIGRE

Говоря о безопасности объектов критической информационной инфраструктуры, на мой взгляд, не стоит ограничиваться только анализом проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

События, произошедшие в начале декабря 2016 выстроены в единую логическую цепочку.

5 декабря Указом Президента РФ № 446 утверждается Доктрина информационной безопасности Российской Федерации, как основополагающий документ политико-правового характера, представляющий собой систему официальных взглядов государства в определенной сфере, в данном случае национальной безопасности РФ в информационной сфере. Напомню, что предыдущая Доктрина просуществовала 16 лет, за время прошедшее с момента принятия доктрины в 9 Сентября 2000 изменилось многое: геополитическая обстановка, технологии в информационной сфере, в системах управления объектами критической информационной инфраструктуры шагнули далеко вперед и обновление такого высокоуровневого документа, как «Доктрина ИБ…» давно назрело.

Думаю, что не стоит пересказывать весь документ, лишь отмечу запомнившиеся моменты, многие из которых обсуждались за последние годы в экспертном сообществе:

  1. Увеличение рисков по мере внедрение новых информационных технологий без учета информационной безопасности
  2. Создание и использование информационных технологий отечественного производства, изначально устойчивых к различным видам воздействий
  3. Развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления
  4. Организация и проведения регулярных учений, в том числе кибер-учений

Абсолютно логичным и давно востребованным отраслью шагом является внесение в Государственную Думу проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Даже такая формулировка не является до конца верной, т.к. разработан и предложен не только проект федерального закона, а система нормативно-правового регулирования, которая состоит из проектов 16 нормативно-правовых актов, которые должны будут быть разработаны и приняты во исполнение норм ФЗ «О Безопасности КИИ».

Не думаю, что стоит комментировать весь законопроект, остановлюсь, на привлекших мое внимание аспектах. По факту принятия ФЗ мы получим такие законодательно закрепленные определения, как: компьютерная атака, компьютерный инцидент, например, компьютерный инцидент – это, в том числе «факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры…, который в том числе может быть вызван компьютерной атакой».

Такое трактование подтверждает правильность инициативы, выдвинутой экспертной рабочей группой ПРГ-2 D2/B5 РНК СИГРЭ, которая заключалась в предложении внести изменения в постановление правительства от 28 октября 2009 г. N 846 «Об утверждении Правил расследования причин аварий в электроэнергетике».

Предложения касались необходимости привлечения экспертов ИБ к расследованию причин аварий в электроэнергетике, внесения изменений в акт расследования аварии и другие.
Конечно, по факту принятия федерального закона на начальном этапе предстоит большой объем работы, связанный с категорированием объектов КИИ и еще больший объем работ, связанный с построением систем безопасности значимых объектов КИИ, но на эту работу отведен год после вступления ФЗ в силу, многие собственники объектов, потенциально попадающих под регулирование ФЗ, уже начали работу, как минимум, по аудиту имеющихся систем управления и их оценки защищенности.

В завершение отмечу, что не смотря на то, что с момента внесения законопроекта в Государственную думу прошло не так уж много времени, он был рассмотрен 15 декабря на круглом столе Комитета по энергетике Государственной Думы «Перспективы развития вопросов информационной безопасности ТЭК и законодательные аспекты обеспечения безопасности ИС», комитет рекомендовал ГД ускорить работы по принятию ФЗ «О безопасности КИИ». На мой взгляд, выстраиваемая система регулирования – это мера реагирования государства «на опережение», в отличии от принятия 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», который, как известно, был принят после ряда серьезных инцидентов, связанных с объектами ТЭК.

hizhkin
Дмитрий Хижкин
Россети

ПАО «Россети» поддерживает новый законопроект.

Экспоненциально увеличивается количество сообщений об уязвимостях и недекларированных возможностях в программном обеспечении, эксплуатации уязвимостей протоколов сетевого взаимодействия, внедрении вирусов, а также атак типа «отказ в обслуживании» (DDoS).

Становятся актуальными угрозы, связанные с воздействием на технологический процесс через интеллектуальные устройства АСУ ТП – контроллеры, ИЭУ, УСПД, серверы SCADA, АРМ и HMI, телекоммуникационное оборудование, линии связи и т.д.

В связи с этим необходимо принимать адекватные меры, чтобы создание, модернизация и применение на объектах «Россетей» автоматизированных систем технологического управления и оборудования, являющегося их частью, не приводило к возникновению угроз информационной безопасности или снижению уровня защищенности объектов электросетевого комплекса от деструктивных воздействий извне.

Сейчас электросетевой комплекс проходит стадию комплексной реновации электросетей с применением технологий Smart Grid. Большинство дочерних и зависимых обществ «Россетей» инвестируют в повышение эффективности управления и наблюдаемости объектов электроэнергетики за счет применения инновационных и информационных технологий.

Повышение надежности и наблюдаемости – самые приоритетные задачи энергетических сетей в России.

Их реализация требует от нас повсеместного применения современных подходов к получению сигналов телеметрии – будь то датчик или счетчик с возможностью удаленной передачи данных, или интеллектуальный микропроцессорный контроллер с возможностью конфигурирования и телеуправления из любой точки мира.

Поставляемые и эксплуатируемые на объектах электросетевого комплекса элементы АСТУ и оборудование, являющееся частью указанных систем, уже сейчас обладают встроенными средствами защиты информации. Сейчас требования к информационной безопасности   формулируются при аттестации элементов АСТУ, разработке заданий на проектирование ПС в рамках нового строительства или модернизации объектов и инфраструктуры электроэнергетики. Тем самым мы стимулируем Производителей на внедрение на начальных этапах жизненного цикла изделия практики безопасной разработки.

Мы рассматриваем возможность введения дополнительных требований к производителям оборудования.

Сейчас изучаем аналогичный опыт в смежных областях (РЖД, Газпром и т.д.). Мы выходим на новый формализованный уровень зрелости процессов, когда накоплен достаточный опыт для того, чтобы определить адекватные меры противодействия на всех этапах жизненного цикла интеллектуальных элементов АСТУ. Изготовитель АСТУ и электрооборудования должен подтвердить реализацию мер направленных на защиту изделия от несанкционированного доступа к обрабатываемой информации – это позволит получить уверенность в наличии требуемого уровня контроля НДВ со стороны Производителей, и обеспечить функциональную безопасность изделия, выраженную в соответствующем уровне доверия к изделию.

В дальнейшем в процессе переаттестации, в зависимости от степени модернизации сертифицированного образца, мы рассматриваем варианты по декларированию со стороны производителей соблюдения требований к безопасности изделия. Мне известна только одна система сертификации оборудования и программного обеспечения, способная сегодня провести соответствующие испытания — это система сертификации ФСТЭК России с большим количеством испытательных лабораторий, обладающих необходимыми компетенциями.

«Цифровая подстанция» следит за развитием событий.

Цифровая подстанция

(close)