Собственно то, о чем так долго мечтала
прогрессивная общественность - свершилось! ФСТЭК опубликовала проект
нормативного правового акта "Требования к обеспечению защиты информации,
обработка которой осуществляется автоматизированными системами управления
производственными и технологическими процессами на критически важных объектах,
потенциально опасных объектах, объектах, представляющих повышенную опасность
для жизни и здоровья людей и для окружающей природной среды" с которым
можно ознакомиться по следующей ссылке http://fstec.ru/normotvorcheskaya/proekty/57-normotvorcheskaya/proekty/prikazy/799-proekt-normativnogo-pravovogo-akta-fstek-rossii
и до 20 февраля прислать свои предложения и замечания.
Мои впечатления - бочка меда.
Документ на удивление не плох. Он полностью
вписывается в канву последних нормативных наработок и в общем-то действительно
может применяться. Отдельно хотелось бы упомянуть 3 момента.
Во-первых, разработчики подошли к требованиям
вдумчиво и аккуратно "Организационные и технические меры защиты
информации должны быть согласованы с мерами по обеспечению
функциональной (технологической) безопасности автоматизированной системы
управления и управляемого (контролируемого) объекта или процесса и не должны
оказывать отрицательного (мешающего) влияния на функциональную
(технологическую) безопасность автоматизированной системы управления."
Фактически поставив во главу угла все-таки безопасность технологического
процесса, а не требования ИБ. Данное требование встречается в тексте дважды,
видимо, чтобы не забывали.
Во-вторых, учтены известные особенности триады
К-Ц-Д применительно к АСУТП. "Организационные и технические меры защиты
информации должны быть направлены на обеспечение штатного режима
функционирования автоматизированной системы управления и управляемого
(контролируемого) объекта и (или) процесса путем обеспечения доступности
информации (исключение неправомерного блокирования информации), целостности
информации (исключение неправомерного уничтожения, модифицирования информации),
а также, при необходимости, конфиденциальности информации (исключение
неправомерного доступа, копирования, предоставления или распространения
информации)." Академично и правильно.
В-третьих, в понятие компенсирующих мер защиты,
включены технологические меры "В качестве компенсирующих мер, в первую
очередь, рассматриваются меры по обеспечению функциональной (технологической)
безопасности и меры по обеспечению физической безопасности автоматизированной
системы управления, поддерживающие необходимый уровень защищенности
автоматизированной системы управления.", что в практической плоскости
значит следующее - возможность обоснованного исключения мер защиты, если
безопасность реализована на уровне технологии производства или конкретных
проектных решений. Это важно, так как многие технологические процессы, даже в
случае сбоя или взлома АСУТП, не могут выйти за границы
безопасного/экономически целесообразного рабочего диапазона в силу физических,
технических или прочих ограничений. Безусловно, применение компенсирующих мер
должно быть обосновано, но для современных производств, а также для производств
с низкой степенью автоматизации техпроцесса - реальная возможность сохранить
средства, усилия и время на защиту того, что защищать нет необходимости.
Ложки дегтя.
Сразу оговорюсь, что часть из моих замечаний -
это просто придирки к несущественным, а возможно и вообще правильным
формулировкам. Ну а часть требует обсуждения и пока остается загадкой.
Начну с важного. ФСТЭК, отчасти вторглась на поле
Ростехназора, что в перспективе может привести к серьезным проблемам для
оператора объекта в попытке усидеть на двух стульях. В приказе
Ростехнадзора от 11.03.2013 N 96 "Об утверждении Федеральных норм и правил
в области промышленной безопасности "Общие правила взрывобезопасности для
взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств"
(Зарегистрировано в Минюсте России 16.04.2013 N 28138) п.п. 2.5. буквально
говорится следующее "Внесение изменений в технологическую схему,
аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ
осуществляется после внесения изменений в проектную и техническую документацию,
согласованных с разработчиком проектной документации (документации) или с
организацией, специализирующейся на проектировании аналогичных объектов, при
наличии положительного заключения экспертизы промышленной безопасности
разработанной документации, а в случаях, предусмотренных законодательством о
градостроительной деятельности, положительного заключения экспертизы в
соответствии с законодательством о градостроительной деятельности."
Т.е. возможна ситуация при которой изменения, внесенные в рамках требований
ФСТЭК, не пройдут экспертизу ПБ в Ростехнадзоре. Ну и не забываем, что
дополнительные требования к техническим устройствам и экспертизе ПБ содержаться
в N116-ФЗ "О промышленной безопасности опасных производственных
объектов".
Вообще, надо понимать, что проектирование и
эксплуатация опасных промышленных объектов, и так область весьма
зарегулированная, поэтому было неплохо, чтобы требования ФСТЭК были гармонизированы
с существующими требованиями других ведомств.
И в конце этого беглого обзора, хочу привести
несколько контраргументов к публикации моего уважаемого коллеги и однофамильца
Сергея Борисова http://sborisov.blogspot.ru/2014/02/blog-post.html?spref=tw
Сергей, считает неправильным выделение в проекте
приказа проектировщика, как отдельного лица и наделением его полномочиями по
разработке проекта защиты АСУТП. На самом деле, возвращаясь к "Общим
правилам взрывобезопасности для взрывопожароопасных химических, нефтехимических
и нефтеперерабатывающих производств" мы видим, что ""Внесение
изменений в технологическую схему, аппаратурное оформление, в системы контроля,
связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и
техническую документацию, согласованных с разработчиком проектной
документации (документации) или с организацией, специализирующейся на
проектировании аналогичных объектов" Т.е. нельзя внести изменения
в проект АСУТП без согласования с проектировщиком или специализирующейся организаций!
Логично? На мой взгляд вполне. Это вопрос ответственности за безопасность.
Еще одно подтверждение вдумчивого подхода ФСТЭК.
Вопрос по поводу лицензирования проектировщика. Я понимаю, что интеграторам
выгодно, чтобы входной билет на этот рынок был все тот же - лицензии ФСТЭК/ФСБ,
но проектирование опасных промышленных объектов также относиться к
лицензируемым видам деятельности. И вот тут неувязка - лицензий на
проектирование ОПО у большинства интеграторов нет. Какой выход? На мой взгляд
он очень прост - субподряд. Если проектировщик не может выполнить проект по ИБ
АСУТП своими силами - он обратиться к интегратору с достаточным опытом и
компетенциями.
Ответственность
за безопасность системы полностью остается на проектировщике! Это важно.
И последнее, уже, наверное, отчасти личное...
Сергей пишет "Налицо желание проектных организаций АСУ захватить в свои
руки все работы – в том числе внедрение СЗИ, разработку организационных мер по
ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты)." Вот это, на мой взгляд,
совсем не так. Тот, кто занимался проектной деятельностью, понимает сколько
стоит проект производства, и какую долю там занимает АСУ ТП, я уже не говорю о
поставках оборудования под проект. Поэтому большим игрокам возня с ИБ невыгодна
в принципе (за исключением случаев сдачи проектов "под ключ), а маленьким
сил не хватит, да и смысла нет - обычно они эффективно работают в своей нише. Я
уж не говорю о том, что проекты по ISO/IEC 27001 и не всем , даже крупным, интеграторам в РФ
под силу.
За сим спешу откланяться.
PS
Отдельно, прошу прощения у Сергея Борисова, если какие-то из моих высказываний
в адрес его статьи показались некорректными.
Илья, твои аргументы я услышал и понял в фейсбуке. Но захотелось привлечь больше людей к этой дискуссии - поэтому и запись в блоге. Подожду, будут ли ещё мнения и потом прокомментирую.
ОтветитьУдалитьОт лица проектировщика скажу, что рынок давно ждет не очередных нормативных заплаток на давно всем очевидные работы, а полной переработки 87 постановления с требованиями по автоматизации хотябы страницы на две. Где в составе все требования к разделу и учесть. А то мчс со своими системами лезет на объекты. Энергоэффективность со своими. И все как будто нужны и одновременно никем толком не проверяется (экспертиза).
ОтветитьУдалитьЯ хотел и по ПП 87 пройтись, но это несколько более широкая тема. )) А так да, отрасль и так зарегулированна дальше некуда. По поводу качества экспертизы - целиком согласен. Вообще все-так.
УдалитьЛично я отношусь к данному документу ФСТЭК, скорее как к необходимому злу. Регулированию быть и уж лучше оно тогда будет хорошим и адекватным, как мне кажется пока получилось уж не очень плохо. На практике, драконить никого не будут, так как всегда есть вариант с компенсирующими мерами, а их не может не быть. )))
На всякий случай отвечаю тут, хотя уже обсуждали в фейсбуке (и каждый остался при своем):
ОтветитьУдалить- не всегда при проектировании СОИБ надо менять проект АСУ (я например, не стал бы трогать менять АСУ)
- даже если мы меняем (дополняем) проект АСУ, что мешает "другому лицу" согласовать эти изменения с проектировщиком или Ростехназором? Это возможно. Таким образом, ограничение на проектирование СОИБ только проектировщиком считаю необоснованным
- по поводу "последнего". Зачем в таком случае писать ограничения на возможность реализации СОИБ только проектировщиком. А эти ограничения в документе есть. Значит твое личное мнение не совпадает с личным мнением другого проектировщика АСУ.
ИТОГО:
- считаю что ФСТЭК должен писать в этом документе требования только к СОИБ (не надо делать требований к АСУ в целом или созданию АСУ в целом и будет меньше проблем с Ростехнадзором)
- хоть я и понимаю, что Проектировщик АСУ - ключевое лицо при создании АСУ, я считаю необоснованным ограничивать в данном документе право на проектирование и создание СОИБ только проектировщиком.
Считаю что ФСТЭКу надо разрабатывать требования только в части СОИБ, а следовательно выделять только "заказчика", "оператора" и "иных лиц"
Если иное лицо участвует в работах по ИБ - выполняет требования ФСТЭК
Если иное лицо участвует в проектировании АСУ - выполняет требования Ростехнадзора.
Не надо заставлять ФСТЭК дублировать требования Ростехнадзора (а вдруг они поменяются?). Пусть ФСТЭК думет за свой кусок и выставляет требования только к нему.
Хм.
Удалить1) Дело в том, что на мой вгляд, практически невозможно не менять АСУ при внедрении СОИБ. Любые технические решения по защите потенциально влияют на работоспособность системы в целом. Например, за счет появления единичных точек отказа (ex. firewall между различными сегментами, блокировки протоколов или приложений).
2) Мешает, например, отсутствие лицензции. Как я писал, проектирование ОПО лицензируемый вид деятельности. Ты же сам ратовал за наличие лицензий, как подтверждение профессионализма и компетентности. Кроме того, вопрос ответственности. Если согласовывать изменения будет интегратор, то вся ответственность за новый проект и итоговую систему лежит на нем. Но, он то опыта проектирования опасных производств не имеет и АСУ не разрабатывает и рисков технологических не понимает - как он может нести ответственность?
3) Если честно, то я не знаю, кто и из каких соображений ограничил круг лиц допущенных к проектированию СОИБ - я лишь изложил свое мнение, почему это могло быть сделано и зачем. Я имею сильное сомнение, что это лоббировалось проектировщиками, скорее это просто консервативный подход к обеспечению промышленной безопасности.
Логика на мой вгляд простая - во главе угла безопасность производства и населения. ИБ должна помогать решению этих задач, а не мешать. Как у врачей - не навреди.
Я не против участия ИБ интеграторов, даже за, ибо каждый своим делом должен заниматься, но вот если честно, качество интеграторов и их ответственность являются темой отдельной дискуссии.
PS Не вижу никакой проблемы в использовании схемы с субподрядом. На мой взгляд, на первое время оптимальный вариант сотрудничества проектировщиков и интеграторов. Возможно стоит добавить требования по обязательному привлечению к проектам АСУТП лицензированных в области ИБ организаций. Не знаю. Поживем - увидим.