среда, 12 февраля 2014 г.

ФСТЭК АСУТП ИБ - праздник к нам приходит!


Собственно то, о чем так долго мечтала прогрессивная общественность - свершилось! ФСТЭК опубликовала проект нормативного правового акта "Требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" с которым можно ознакомиться по следующей ссылке http://fstec.ru/normotvorcheskaya/proekty/57-normotvorcheskaya/proekty/prikazy/799-proekt-normativnogo-pravovogo-akta-fstek-rossii и до 20 февраля прислать свои предложения и замечания.

Мои впечатления - бочка меда.

Документ на удивление не плох. Он полностью вписывается в канву последних нормативных наработок и в общем-то действительно может применяться. Отдельно хотелось бы упомянуть 3 момента. 

Во-первых, разработчики подошли к требованиям вдумчиво и аккуратно "Организационные и технические меры защиты информации должны быть согласованы с мерами по обеспечению функциональной (технологической) безопасности автоматизированной системы управления и управляемого (контролируемого) объекта или процесса и не должны оказывать отрицательного (мешающего) влияния на функциональную (технологическую) безопасность автоматизированной системы управления." Фактически поставив во главу угла все-таки безопасность технологического процесса, а не требования ИБ. Данное требование встречается в тексте дважды, видимо, чтобы не забывали.

Во-вторых, учтены известные особенности триады К-Ц-Д применительно к АСУТП. "Организационные и технические меры защиты информации должны быть направлены на обеспечение штатного режима функционирования автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса путем обеспечения доступности информации (исключение неправомерного блокирования информации), целостности информации (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальности информации (исключение неправомерного доступа, копирования, предоставления или распространения информации)." Академично и правильно.

В-третьих, в понятие компенсирующих мер защиты, включены технологические меры "В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению функциональной (технологической) безопасности и меры по обеспечению физической безопасности автоматизированной системы управления, поддерживающие необходимый уровень защищенности автоматизированной системы управления.", что в практической плоскости значит следующее - возможность обоснованного исключения мер защиты, если безопасность реализована на уровне технологии производства или конкретных проектных решений. Это важно, так как многие технологические процессы, даже в случае сбоя или взлома АСУТП, не могут выйти за границы безопасного/экономически целесообразного рабочего диапазона в силу физических, технических или прочих ограничений. Безусловно, применение компенсирующих мер должно быть обосновано, но для современных производств, а также для производств с низкой степенью автоматизации техпроцесса - реальная возможность сохранить средства, усилия и время на защиту того, что защищать нет необходимости. 

Ложки дегтя.

Сразу оговорюсь, что часть из моих замечаний - это просто придирки к несущественным, а возможно и вообще правильным формулировкам. Ну а часть требует обсуждения и пока остается загадкой. 

Начну с важного. ФСТЭК, отчасти вторглась на поле Ростехназора, что в перспективе может привести к серьезным проблемам для оператора объекта в попытке усидеть на двух стульях. В приказе Ростехнадзора от 11.03.2013 N 96 "Об утверждении Федеральных норм и правил в области промышленной безопасности "Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств" (Зарегистрировано в Минюсте России 16.04.2013 N 28138) п.п. 2.5. буквально говорится следующее "Внесение изменений в технологическую схему, аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и техническую документацию, согласованных с разработчиком проектной документации (документации) или с организацией, специализирующейся на проектировании аналогичных объектов, при наличии положительного заключения экспертизы промышленной безопасности разработанной документации, а в случаях, предусмотренных законодательством о градостроительной деятельности, положительного заключения экспертизы в соответствии с законодательством о градостроительной деятельности." Т.е. возможна ситуация при которой изменения, внесенные в рамках требований ФСТЭК, не пройдут экспертизу ПБ в Ростехнадзоре. Ну и не забываем, что дополнительные требования к техническим устройствам и экспертизе ПБ содержаться в N116-ФЗ "О промышленной безопасности опасных производственных объектов". 

Вообще, надо понимать, что проектирование и эксплуатация опасных промышленных объектов, и так область весьма зарегулированная, поэтому было неплохо, чтобы требования ФСТЭК были гармонизированы с существующими требованиями других ведомств.
И в конце этого беглого обзора, хочу привести несколько контраргументов к публикации моего уважаемого коллеги и однофамильца Сергея Борисова http://sborisov.blogspot.ru/2014/02/blog-post.html?spref=tw
 
Сергей, считает неправильным выделение в проекте приказа проектировщика, как отдельного лица и наделением его полномочиями по разработке проекта защиты АСУТП. На самом деле, возвращаясь к "Общим правилам взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств" мы видим, что ""Внесение изменений в технологическую схему, аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и техническую документацию, согласованных с разработчиком проектной документации (документации) или с организацией, специализирующейся на проектировании аналогичных объектов" Т.е. нельзя внести изменения в проект АСУТП без согласования с проектировщиком или специализирующейся организаций! Логично? На мой взгляд вполне. Это вопрос ответственности за безопасность.

Еще одно подтверждение вдумчивого подхода ФСТЭК. Вопрос по поводу лицензирования проектировщика. Я понимаю, что интеграторам выгодно, чтобы входной билет на этот рынок был все тот же - лицензии ФСТЭК/ФСБ, но проектирование опасных промышленных объектов также относиться к лицензируемым видам деятельности. И вот тут неувязка - лицензий на проектирование ОПО у большинства интеграторов нет. Какой выход? На мой взгляд он очень прост - субподряд. Если проектировщик не может выполнить проект по ИБ АСУТП своими силами - он обратиться к интегратору с достаточным опытом и компетенциями. 

Ответственность за безопасность системы полностью остается на проектировщике! Это важно. 

И последнее, уже, наверное, отчасти личное... Сергей пишет "Налицо желание проектных организаций АСУ захватить в свои руки все работы – в том числе внедрение СЗИ, разработку организационных мер по ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты)." Вот это, на мой взгляд, совсем не так. Тот, кто занимался проектной деятельностью, понимает сколько стоит проект производства, и какую долю там занимает АСУ ТП, я уже не говорю о поставках оборудования под проект. Поэтому большим игрокам возня с ИБ невыгодна в принципе (за исключением случаев сдачи проектов "под ключ), а маленьким сил не хватит, да и смысла нет - обычно они эффективно работают в своей нише. Я уж не говорю о том, что проекты по ISO/IEC 27001 и не всем , даже крупным, интеграторам в РФ под силу.

За сим спешу откланяться.

 PS Отдельно, прошу прощения у Сергея Борисова, если какие-то из моих высказываний в адрес его статьи показались некорректными.

5 комментариев:

  1. Илья, твои аргументы я услышал и понял в фейсбуке. Но захотелось привлечь больше людей к этой дискуссии - поэтому и запись в блоге. Подожду, будут ли ещё мнения и потом прокомментирую.

    ОтветитьУдалить
  2. От лица проектировщика скажу, что рынок давно ждет не очередных нормативных заплаток на давно всем очевидные работы, а полной переработки 87 постановления с требованиями по автоматизации хотябы страницы на две. Где в составе все требования к разделу и учесть. А то мчс со своими системами лезет на объекты. Энергоэффективность со своими. И все как будто нужны и одновременно никем толком не проверяется (экспертиза).

    ОтветитьУдалить
    Ответы
    1. Я хотел и по ПП 87 пройтись, но это несколько более широкая тема. )) А так да, отрасль и так зарегулированна дальше некуда. По поводу качества экспертизы - целиком согласен. Вообще все-так.
      Лично я отношусь к данному документу ФСТЭК, скорее как к необходимому злу. Регулированию быть и уж лучше оно тогда будет хорошим и адекватным, как мне кажется пока получилось уж не очень плохо. На практике, драконить никого не будут, так как всегда есть вариант с компенсирующими мерами, а их не может не быть. )))

      Удалить
  3. На всякий случай отвечаю тут, хотя уже обсуждали в фейсбуке (и каждый остался при своем):
    - не всегда при проектировании СОИБ надо менять проект АСУ (я например, не стал бы трогать менять АСУ)
    - даже если мы меняем (дополняем) проект АСУ, что мешает "другому лицу" согласовать эти изменения с проектировщиком или Ростехназором? Это возможно. Таким образом, ограничение на проектирование СОИБ только проектировщиком считаю необоснованным
    - по поводу "последнего". Зачем в таком случае писать ограничения на возможность реализации СОИБ только проектировщиком. А эти ограничения в документе есть. Значит твое личное мнение не совпадает с личным мнением другого проектировщика АСУ.

    ИТОГО:
    - считаю что ФСТЭК должен писать в этом документе требования только к СОИБ (не надо делать требований к АСУ в целом или созданию АСУ в целом и будет меньше проблем с Ростехнадзором)
    - хоть я и понимаю, что Проектировщик АСУ - ключевое лицо при создании АСУ, я считаю необоснованным ограничивать в данном документе право на проектирование и создание СОИБ только проектировщиком.
    Считаю что ФСТЭКу надо разрабатывать требования только в части СОИБ, а следовательно выделять только "заказчика", "оператора" и "иных лиц"
    Если иное лицо участвует в работах по ИБ - выполняет требования ФСТЭК
    Если иное лицо участвует в проектировании АСУ - выполняет требования Ростехнадзора.
    Не надо заставлять ФСТЭК дублировать требования Ростехнадзора (а вдруг они поменяются?). Пусть ФСТЭК думет за свой кусок и выставляет требования только к нему.

    ОтветитьУдалить
    Ответы
    1. Хм.
      1) Дело в том, что на мой вгляд, практически невозможно не менять АСУ при внедрении СОИБ. Любые технические решения по защите потенциально влияют на работоспособность системы в целом. Например, за счет появления единичных точек отказа (ex. firewall между различными сегментами, блокировки протоколов или приложений).
      2) Мешает, например, отсутствие лицензции. Как я писал, проектирование ОПО лицензируемый вид деятельности. Ты же сам ратовал за наличие лицензий, как подтверждение профессионализма и компетентности. Кроме того, вопрос ответственности. Если согласовывать изменения будет интегратор, то вся ответственность за новый проект и итоговую систему лежит на нем. Но, он то опыта проектирования опасных производств не имеет и АСУ не разрабатывает и рисков технологических не понимает - как он может нести ответственность?
      3) Если честно, то я не знаю, кто и из каких соображений ограничил круг лиц допущенных к проектированию СОИБ - я лишь изложил свое мнение, почему это могло быть сделано и зачем. Я имею сильное сомнение, что это лоббировалось проектировщиками, скорее это просто консервативный подход к обеспечению промышленной безопасности.

      Логика на мой вгляд простая - во главе угла безопасность производства и населения. ИБ должна помогать решению этих задач, а не мешать. Как у врачей - не навреди.
      Я не против участия ИБ интеграторов, даже за, ибо каждый своим делом должен заниматься, но вот если честно, качество интеграторов и их ответственность являются темой отдельной дискуссии.

      PS Не вижу никакой проблемы в использовании схемы с субподрядом. На мой взгляд, на первое время оптимальный вариант сотрудничества проектировщиков и интеграторов. Возможно стоит добавить требования по обязательному привлечению к проектам АСУТП лицензированных в области ИБ организаций. Не знаю. Поживем - увидим.

      Удалить