Мемуары о будущем

Дмитрий Беляев

В России разработана государственная политика кибер-защиты

Опубликовано: 12 июля 2012 года






Совет безопасности России представил документ, определяющий политику в области защиты систем управления критически важной инфраструктурой в России.

Он предполагает создание к 2020 г. единой государственной системы обнаружения и предупреждения компьютерных атак, а основные функции реализации политики возлагает на ФСБ.

Совет безопасности России опубликовал основные направления госполитики «в области обеспечения безопасности систем управления производственными и технологическими процессами критически важных объектов инфраструктуры» страны.

В документе указано, что создан он был в целях реализации основных положений стратегии национальной безопасности России до 2020 г., которая предполагает и совершенствование ИТ-инфраструктуры критически важных объектов в целях защиты их от угроз.

К критически важным составители относят объекты, нарушение или прекращение функционирования которых может привести к потере управления инфраструктурой, ее разрушению и негативному изменению экономики страны или региона, где объект располагается.

Целью разработки политики является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования ИТ-систем, а также минимизация негативных последствий такого вмешательства.

Слабые места. Что делать?

Среди негативных факторов, влияющих на формирование ИБ-госполитики авторы документа упоминают «вынужденное» привлечение при создании систем управления иностранных поставщиков ПО и аппаратных средств обработки, хранения и передачи информации, тенденцию среди владельцев и операторов критически важных объектов скрывать факты нарушения их работы, недостаточный уровень образования и профподготовки персонала, обслуживающего системы управления критически важными объектами, отсутствие достаточного нормативно-правового регулирования в данной области.

Решать задачи обеспечения безопасности систем управления критическими объектами авторы предлагают по пяти основным направлениям: в области нормативно-правовой базы, госрегулирования, промышленной и научно-технической политики, технологий и средств обеспечения ИБ, а также повышения квалификации кадров.

В области нормативно-правового регулирования стоит отметить инициативы авторов документа по необходимости определения и закрепления прав и обязанностей собственников ИТ-систем управления объектов критической инфраструктуры, регламентацию порядка ввода в действие, эксплуатации и модернизации таких систем, а также введение ответственности за нарушения в процессе этого, усиление ответственности за создание и применение средств компьютерных атак.

Среди задач госрегулирования авторы документа выделяют создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру, создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в ней, создание хранилища эталонного ПО, использующегося в ИТ-системах критической инфраструктуры, создание условий, стимулирующих развитие в России производства телеком-оборудования, устойчивого к компьютерным атакам.

На государство же авторы документа возлагают и выделение (привлечение) необходимых источников и объемов финансовых ресурсов.

В научно-технологической области значительная часть определенных авторами документа задач касается необходимости различных разработок в области систем управления критической инфраструктурой и ИБ.

«Дорожная карта»

Реализовывать политику предлагается в три этапа: 2012-2013 гг., 2014-2016 гг. и 2017-2020 гг.

Первый этап предполагает разработку плана мероприятий по реализации основных направлений политики, разработку концепции использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре, подготовку предложений по внесению изменений в утвержденные госпрограммы и корректировке планируемых программ, и др.

На второй этап приходится серьезная работа в области нормативно-правового регулирования, касающаяся регламентирования различных процессов и разграничения ответственности, разработок в области ИБ, а также ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру. На этот же этап приходится создание сил и средств ликвидации последствий компьютерных инцидентов.

Третий этап, в числе прочего, предполагает внедрение комплексных систем защиты на объектах, ввод в действие первой очереди хранилища эталонного ПО, ввод в эксплуатацию единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру и ситуационного центра.

Что думают эксперты?

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников считает, что безопасность автоматизированных систем управления в целом, и тем более на критически важных объектах инфраструктуры, — одна из наиболее острых проблем на сегодняшний день, и государственное регулирование этих вопросов, безусловно, необходимо.

Очень важным, по его мнению, является предусмотренное документом создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов. «К другим достоинствам документа я бы отнес выдвижение требований к разработчикам систем АСУ и введение ответственности за нарушение порядка их разработки, однако, учитывая, что большинство из них — зарубежного производства, не ясен порядок реализации этого требования», — говорит эксперт.

Среди проблемных мест документа Емельянников отмечает отсутствие исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в России. Что делать — определяется, а кому — пока не ясно, отмечает он.

«Не ясен и механизм предусмотренного документом недопущения технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности АСУ критически важных объектов в условиях, когда большинство используемых в России систем АСУ ТП (SCADA) — зарубежного производства», — говорит Михаил Емельянников.

Среди других моментов, которые выделяет в документе эксперт, отсутствие упоминаний в нем ФСТЭК России: «Фактически все функции реализации программы возлагаются на ФСБ, в зоне ответственности которой ранее были только криптографические средства защиты и информационная безопасность высших органов власти.

Между тем, реализация „Основных направлений…“ политики требует принятия большого количества нормативно-правовых актов, часть которых, в соответствии с действующими документами, входит в компетенцию ФСТЭК».

Эксперт по информационной безопасности Алексей Лукацкий, опубликовавший отзыв о документе в своем блоге, считает, что документ достаточно грамотно написан: «Беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО». Видимо, характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику, пишет Лукацкий.

Как и Емельянников, Лукацкий отмечает отсутствие упоминаний ФСТЭК в документе: «ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур».

Ранее российские власти уже обсуждали возможность создания в стране «кибер-командования» — подразделения в Вооруженных силах, деятельность которого будет посвящена обеспечению информационной безопасности.

Андрей Ярных, руководитель отдела интернет-решений «Лаборатории Касперского», считает, что появление такого документа в рамках работы Совета безопасности говорит о признании всей серьезности киберугроз и их возможном негативном (и даже разрушительном) влиянии на критически важную инфраструктуру страны.

В данном вопросе этот документ соответствует международной практике по защите собственных интересов в киберпространстве и определении потенциально уязвимых точек, которые могут стать мишенью для кибертеррористов или кибервандалов, говорит Ярных.

«Международный опыт показывает, что развитые страны уделяют этому вопросу большое значение и предпринимают шаги по защите собственной инфраструктуры от интернет-угроз», — добавляет он.

Источник: CNews

См. также:

0


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: