Нормативная база ИБ (КВО, КИИ, КСИИ, АСУ) Прозоров Андрей, CISM

2014-11

Базовые термины

Термин КВО

• Критически важный объект инфраструктуры Российской Федерации (Критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок. - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ"

• Критически важный объект – объект, нарушение или прекращение функционирования которого может привести к потере управления экономикой РФ, субъекта РФ или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени. - Проект ФЗ о КВО

Термин КИИ

• Критическая информационная инфраструктура РФ (далее - критическая информационная инфраструктура) - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий. - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ"

• Критическая информационная инфраструктура РФ – совокупность автоматизированных систем управления производственными и технологическими процессами КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка. - Проект ФЗ о КВО

Термин КСИИ

• Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями – ФСТЭК России

• Критически важная система информационной инфраструктуры; Ключевая система информационной инфраструктуры (КСИИ) - информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление и информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями. - ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.

Термин АСУ КВО

• Автоматизированная система управления производственными и технологическими процессами критически важного объекта инфраструктуры РФ (автоматизированная система управления КВО) - комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта, нарушение (или прекращение) функционирования которых может нанести вред внешнеполитическим интересам РФ, стать причиной аварий и катастроф, массовых беспорядков, длительных остановок транспорта, производственных или технологических процессов, дезорганизации работы учреждений, предприятий или организаций, нанесения материального ущерба в крупном размере, смерти или нанесения тяжкого вреда здоровью хотя бы одного человека и (или) иных тяжелых последствий (далее - тяжкие последствия) - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ"

• Автоматизированная система управления производственными и технологическими процессами критически важного объекта инфраструктуры РФ – комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта - Проект ФЗ о КВО

• По Приказу №31 ФСТЭК России: Автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (автоматизированные системы управления)

Условно «упрощаем» термины

• КВО

• КИИ = АСУ КВО + ИТ-сети КВО

• КСИИ = ИТ-система КВО

• АСУ КВО = (АО+ПО+ ИС+ ИТ-сети) для управления КВО

Все термины содержат уточнение про «значительные негативные последствия», «ущерб в крупном размере», «тяжкие последствия»…

Базовые документы

Особенности документов ИБ КВО

1. Ограничение доступа ко многим документам (ДСП, «секретно»)

2. Ограничение доступа к отраслевым рекомендациям и стандартам (СТО Газпром, Мосводоканал …)

3. Обычно ориентир на комплексную безопасность, физическую безопасность

4. Документы практически не содержат особенности ИТ КВО, АСУ ТП

5. Ориентир на недопущение и реагирование на инциденты, а не на управление инцидентами / управление непрерывностью (взгляд «ИБ-шника», а не «ИТ-шника»)

6. Неоднозначное распределение ролей (функций) между регуляторами

7. Существенное отставание от «лучших мировых практик»

Начнем с документа «Доктрина информационной

безопасности Российской Федерации» (утв. Президентом РФ 09.09.2000 N Пр-1895)

Национальные интересы РФ в информационной сфере

1) Соблюдение конституционных прав и свобод человека и гражданина в области

получения информации и пользования ею, обеспечение духовного обновления России,

сохранение и укрепление нравственных ценностей общества, традиций патриотизма и

гуманизма, культурного и научного потенциала страны

2) Информационное обеспечение государственной политики Российской

Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной

политике РФ, ее официальной позиции по социально значимым событиям российской и

международной жизни, с обеспечением доступа граждан к открытым государственным

информационным ресурсам

3) Развитие современных информационных технологий, отечественной индустрии

информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка

ее продукцией и выход этой продукции на мировой рынок, а также обеспечение

накопления, сохранности и эффективного использования отечественных

информационных ресурсов

4) Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности

информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых

на территории России

"Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895)

Из Доктрины ИБ

«Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо: • повысить безопасность информационных систем, включая сети связи, прежде

всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово - кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

• интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;

• обеспечить защиту сведений, составляющих государственную тайну; • расширять международное сотрудничество Российской Федерации в области

развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.»

Стратегия нац.безопасности

Указ Президента РФ от 12.05.2009 N 537 (ред. от 01.07.2014) "О Стратегии национальной безопасности Российской Федерации до 2020 года": • 108. Для развития системы распределенных ситуационных центров в

среднесрочной перспективе потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами, а также обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.

• 109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

Основные направления гос.политики

"Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации" (утв. Президентом РФ 03.02.2012 N 803): Основные направления разработаны в целях реализации основных положений Стратегии национальной безопасности РФ до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности РФ является совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в РФ.

Принципы гос.политики Основные принципы государственной политики в области обеспечения безопасности автоматизированных систем управления КВО: • а) соблюдение законодательства РФ, а также требований международных договоров Российской

Федерации всеми участниками процесса создания и эксплуатации автоматизированных систем управления КВО;

• б) сочетание интересов и взаимной ответственности государства, граждан, а также организаций, участвующих в разработке, создании и эксплуатации автоматизированных систем управления КВО;

• в) персонификация ответственности должностных лиц, операторов, персонала и иных лиц, принимающих участие в разработке, создании, вводе в действие, эксплуатации и модернизации автоматизированных систем управления КВО;

• г) обеспечение комплексной защиты критической информационной инфраструктуры в целом, включая создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;

• д) обеспечение разрешительного характера деятельности в области обеспечения безопасности автоматизированных систем управления КВО с использованием механизмов лицензирования и сертификации;

• е) разделение функций между федеральным органом исполнительной власти в области обеспечения безопасности и иными федеральными органами исполнительной власти, осуществляющими деятельность в области безопасности, органами государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, усиление координации их деятельности;

• ж) регламентация прав и обязанностей собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, а также эксплуатирующих их организаций;

• з) недопущение технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности автоматизированных систем управления КВО.

Из «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления…»

Этапы реализации гос.политики

2012-2013

План мероприятий; Концепция по реагированию на инциденты; Определение объемов и источников финансирования

…

2014-2016

Разработка НПА; Паспортизация объектов; Система грантов; Разработка комплексных систем защиты; Ввод в действие первой очереди ситуационных центров; Создание сил и средств ликвидации последствий компьютерных инцидентов …

2017-2020

Внедрение комплексных систем защиты; Ввод в действие первой очереди хранилища эталонного ПО; Внедрение системы грантов; Ввод в эксплуатацию Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак …

После 2020

Комплекс мероприятий по поддержанию готовности к предотвращению угроз

Выборка общей сути (не дословно)…

Основы гос.политики в области международной ИБ

Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года (Утверждены Президентом РФ 24 июля 2013 г., № Пр-1753)

• 6. Под международной информационной безопасностью

понимается такое состояние глобального информационного пространства, при котором исключены возможности нарушения прав личности, общества и прав государства в информационной сфере, а также деструктивного и противоправного воздействия на элементы национальной критической информационной инфраструктуры.

Угрозы в области международной ИБ

8. Основной угрозой в области международной информационной безопасности является использование информационных и коммуникационных технологий: а) в качестве информационного оружия в военно-политических целях, противоречащих международному праву, для осуществления враждебных действий и актов агрессии, направленных на дискредитацию суверенитета, нарушение территориальной целостности государств и представляющих угрозу международному миру, безопасности и стратегической стабильности; б) в террористических целях, в том числе для оказания деструктивного воздействия на элементы критической информационной инфраструктуры, а также для пропаганды терроризма и привлечения к террористической деятельности новых сторонников; в) для вмешательства во внутренние дела суверенных государств, нарушения общественного порядка, разжигания межнациональной, межрасовой и межконфессиональной вражды, пропаганды расистских и ксенофобских идей или теорий, порождающих ненависть и дискриминацию, подстрекающих к насилию; г) для совершения преступлений, в том числе связанных с неправомерным доступом к компьютерной информации, с созданием, использованием и распространением вредоносных компьютерных программ.

Из «Основы государственной политики РФ в области международной ИБ…»

Сотрудничество по КИИ

13. Основными направлениями государственной политики Российской Федерации, связанной с решением задачи по формированию механизмов международного сотрудничества в области противодействия угрозам использования информационных и коммуникационных технологий в террористических целях, являются:

а) развитие сотрудничества с государствами - членами Шанхайской организации сотрудничества, государствами - участниками Содружества Независимых Государств, государствами - членами Организации Договора о коллективной безопасности, государствами - участниками БРИКС, способствующего предупреждению, выявлению, пресечению, раскрытию и расследованию актов деструктивного воздействия на элементы национальной критической информационной инфраструктуры, минимизации последствий реализации таких актов, а также противодействию использования информационно-телекоммуникационной сети «Интернет» и других информационно-телекоммуникационных сетей в целях пропаганды терроризма и привлечения к террористической деятельности новых сторонников;

б) содействие подготовке и принятию государствами - членами Организации Объединенных Наций акта, определяющего порядок обмена информацией о передовых практиках в области обеспечения безопасности функционирования элементов критической информационной инфраструктуры.

Из «Основы государственной политики РФ в области международной ИБ…»

Проект ФЗ о КВО

Федеральный закон о безопасности критической информационной инфраструктуры РФ (проект)

http://regulation.gov.ru/project/5890.html • Дата создания паспорта проекта: 08.08.2013

• Дата окончания независимой антикоррупционной экспертизы: 09.09.2013

• Подготовка проекта акта завершена. Текст проекта акта направлен на рассмотрение: в Министерство Юстиции РФ. Получено положительное решение по итогам рассмотрения.

• Текущий статус: завершение разработки проекта акта

Что в проекте ФЗ?

«Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный закон устанавливает организационные и правовые основы обеспечения безопасности критической информационной инфраструктуры РФ в целях предотвращения компьютерных инцидентов, основные принципы и методы государственного регулирования в указанной сфере, порядок взаимодействия субъектов критической информационной инфраструктуры РФ с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, определяет полномочия органов государственной власти РФ, а также права, обязанности и ответственность субъектов критической информационной инфраструктуры РФ.»

Указы Президента РФ (про полномочия)

• Указ Президента РФ от 11.08.2003 N 960 «Вопросы Федеральной службы безопасности Российской Федерации» - Немного про КВО (ст.9 п. 14, 20.1, 47, 49)

• Указ Президента РФ от 16.08.2004 N 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» (Выписка) - Много про КСИИ и упоминания КВО (ст.1 п.1, ст.2, ст.4 п.1, 4, 5, 9, ст.8 п.1, 6, 7, 13, 18, 22, 23, 24, 30, 31, 31.1, 31.2, 31.3, 31.4, 31.5, 31.6, 31.7, 41, ст.9 п.1, 2, 5.1, 16, 17,)

• Указ Президента РФ от 29.12.2012 №1711 «О составе Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности по должностям» -Перечень должностей/министерств

Указ Президента РФ №31с

Указ Президента Российской Федерации №31с от 15 января 2013 года «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (гриф "секретно")

Доступна выписка из документа (1 стр.)

Что в Указе №31с?

«Возложить на ФСБ России полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.»

• Общие задачи (суть): Прогнозирование ситуации, обеспечение взаимодействия, контроль степени защищенности КИИ, установление причин инцидентов, разработка методики обнаружения атак, разработка методических рекомендаций…

ФЗ

• Федеральный закон от 21.07.1997 N 116-ФЗ "О промышленной безопасности опасных производственных объектов"

• Федеральный закон от 21.07.2011 N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса"

• Федеральный закон от 03.12.2011 N 382-ФЗ "О государственной информационной системе топливно-энергетического комплекса"

• Федеральный закон от 27.07.2010 N 225-ФЗ "Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте"

Общие РП/ПП РФ

• Распоряжение Правительства РФ от 23.03.2006 №411-рс «Об утверждении Перечня критически важных объектов Российской Федерации» (гриф «секретно»)

• Распоряжение Правительства РФ от 27.08.2005 N 1314-р «Об одобрении Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов»

• Постановление Правительства РФ от 21.05.2007 N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»

ПП РФ про ТЭК

• Постановление Правительства РФ от 22.12.2011 N 1107 «О порядке формирования и ведения реестра объектов топливно-энергетического комплекса» (вместе с "Правилами формирования и ведения реестра объектов топливно-энергетического комплекса")

• Постановление Правительства РФ от 05.05.2012 №458 «Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса»

• Постановление Правительства РФ от 05.05.2012 №459 «Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования»

• Постановление Правительства РФ от 05.05.2012 №460 «Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса»

И еще про ТЭК

• Постановление от 2 октября 2013 года №861 «Об утверждении Правил информирования субъектами топливно-энергетического комплекса об угрозах совершения или совершении актов незаконного вмешательства на объектах топливно-энергетического комплекса»

• Приказ Минэнерго России от 10.02.2012 N 48 «Об утверждении методических рекомендаций по включению объектов топливно-энергетического комплекса в перечень объектов, подлежащих категорированию»

Документы Совета Безопасности РФ

• Решение совместного заседания Совета Безопасности Российской Федерации и президиума Государственного совета Российской Федерации oт 13.11.2003 «О мерах по обеспечению защищенности критически важных для национальной безопасности объектов инфраструктуры и населения страны от угроз техногенного, природного характера и террористических проявлений»

• Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий. 08.11.2005

• Основы государственной политики Российской Федерации в области обеспечения безопасности населения РФ и защищенности критически важных и потенциально опасных объектов от угроз природного, техногенного характера и террористических актов на период до 2020 г., утвержденные Президентом Российской Федерации 15 ноября 2011 г. N Пр-3409

План повышения защищенности КВО В соответствии с решением совместного заседания Совета Безопасности РФ и Президиума Государственного совета РФ от 13 ноября 2003 г. "О мерах по обеспечению защищенности критически важных для национальной безопасности объектов инфраструктуры и населения страны от угроз техногенного, природного характера и террористических проявлений" (Протокол N 4, подпункт 5е) в целях повышения защищенности КВО и в связи с возрастанием террористической опасности на каждый КВО должен быть утвержден План повышения защищенности КВО, который разрабатывается для объектов, включенных в Перечень КВО РФ (см.РП N 411-рс).

Такой План выполняется в соответствии с пособием ФГУ "Всероссийский научно-исследовательский институт по проблемам ГО и ЧС" (Федеральный центр науки и высоких технологий) ФГУ ВНИИ ГОЧС (ФЦ) "Типовые планы повышения защищенности КВО, территорий субъектов РФ и муниципальных образований", Москва, 2007 г. План составляется по состоянию на начало января текущего года и дополняется или корректируется по мере необходимости, с внесением изменений во все экземпляры. Переоформляется План через 5 лет, а также при изменении сферы деятельности, реконструкции, модернизации технологических процессов объекта.

При этом такой План утверждается руководителем объекта, согласовывается с главными управлениями МЧС России, ФСБ России и МВД России по субъекту РФ (по месту расположения объекта). План разрабатывается в четырех экземплярах. Первый экземпляр остается на объекте, остальные представляются в главные управления МЧС России, ФСБ России и МВД России по субъекту РФ (по месту расположения объекта).

Консультант+

ФСТЭК России про КСИИ (ДСП) 1

• «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержден ФСТЭК России от 18.05.2007 г.

• «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержден ФСТЭК России от 18.05.2007 г.

• «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержден ФСТЭК России от 18.05.2007 г.

• «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержден ФСТЭК России от 19.11.2007 г.

ФСТЭК России про КСИИ 2

• «Положение о Реестре ключевых систем информационной инфраструктуры, утверждено приказом ФСТЭК России от 04.03.2009 г. № 74 (ДСП)

• «Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры РФ» (18.11.2008 г.) (ДСП)

• «Методические рекомендации по формированию аналитического прогноза по комплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период» (23.04.2011)

ФСТЭК России про АСУ

• Приказ ФСТЭК России от 14.03.2014 N31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (Зарегистрировано в Минюсте России 30.06.2014 N 32919)

• Информационное сообщение ФСТЭК России от 25.07.2014 N240/22/2748 "По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. N 31 "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды"

Сводная таблица мер по приказам ФСТЭК России №17, 21, 31: http://80na20.blogspot.ru/2014/07/17-21-31.html

Отличия в наборе мер1

• Меры по Приказу №31 включают в себя все меры Приказов №17 (ГосИС) и №21 (ПДн) + новые

• Новые группы (есть только в Приказе №31): – XIV. Обеспечение безопасной разработки прикладного

(специального) программного обеспечения разработчиком (ОБР)

– XV. Управление обновлениями программного обеспечения (ОПО)

– XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)

– XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)

– XVIII. Информирование и обучение пользователей (ИПО) – XIX. Анализ угроз безопасности информации и рисков от

их реализации (УБИ)

Отличия в наборе мер2

• В Приказе №31 есть меры ХХХ.0 «Разработка правил и процедур (политик) …» для каждой группы

• Новая мера: – УКФ.5 Регламентация и контроль технического

обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления

• Группы мер, которые есть в Приказе №21, но нет в №17 (прописаны в тексте Приказа №17): – XX. Выявление инцидентов и реагирование на них (ИНЦ) – XXI. Управление конфигурацией автоматизированной

системы управления и ее системы защиты (УКФ)

• Меры, которые есть в Приказе №17, но нет в №21: – ИАФ.7, РСБ.8, ОДТ.6, ОДТ.7, ЗИС 21-30

Про ФСБ России

Информация о документах отсутствует

Прочие документы (комплекты)

«Древний» ГОСТ 24.104-85 «Единая система стандартов АСУ. АСУ. Общие требования» действует до сих пор…

ГОСТ РО 0043-… (ДСП)

• ГОСТ РО 0043-001-2010 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения»

• ГОСТ РО 0043-002-2012 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов»

• ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»

• ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»

СТО Газпром

Журнал регистрации стандартов и рекомендаций ОАО «Газпром» по состоянию на 01.04.2014 http://www.gazprom.ru/f/posts/82/926153/zhurnal_regisrazii_01.04.2014_1.pdf

СТО Газпром 1

• СТО Газпром 4.2-0-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Общие положения

• СТО Газпром 4.2-0-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Базовая модель информационной безопасности корпоративных информационно-управляющих систем

• СТО Газпром 4.2-2-001-2010 Система обеспечения информационной безопасности ОАО «Газпром». Требования к информационно-управляющим системам предприятия

• СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами

• …

СТО Газпром 2

• СТО Газпром 4.2-3-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Руководство по разработке требований к объектам защиты

• СТО Газпром 4.2-3-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования по технической защите информации при использовании информационных технологий

• СТО Газпром 4.2-3-003-2009. Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков.

• СТО Газпром 4.2-3-004-2009. Система обеспечения информационной безопасности ОАО «Газпром». Классификация объектов защиты.

• ...

Р Газпром

• Р Газпром 4.2-0-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Типовая политика информационной безопасности информационно-управляющей системы производственно-хозяйственной деятельности

• Р Газпром 4.2-0-003-2009 Система обеспечения информационной безопасности ОАО «Газпром» Типовая политика информационной безопасности автоматизированной системы управления технологическими процессами

• Р Газпром 4.2-5-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Методика сертификационных испытаний информационно-управляющих систем предприятия

• Р Газпром 4.2-5-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Методика сертификационных испытаний автоматизированных систем управления технологическими процессами

• …

ОАО «Мосводоканал» Система стандартов на АСУ

• Общие положения • Термины и определения • Основные принципы построения

АСУ • Требования к надежности

функционирования АСУ • Требования к оформлению

нормативной и технической документации

• Требования к система производственной связи

• Требования к системам жизнеобеспечения технических средств АСУ

• Требования к КИП и исполнительным механизмам

• Требования к системам и средствам охраны

• Технологические защиты и блокировки

• Требования к техническим и программным средствам АСУ

• Требования к человеко-машинному интерфейсу

• Информационная безопасность • Требования к испытаниям и

техническому обслуживанию

Предположительно серия СТП-42439-02-ХХ-АК-09, информация требует проверки (единый перечень стандартов не найден)

УК РФ и КоАП

УК РФ

• УК РФ "Статья 217.1. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса

…лишение свободы на срок до 7 лет

КоАП

• КоАП "Статья 20.30. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса

если не содержат уголовно наказуемого деяния

…штраф на граждан 3 000 – 5 000 рублей, должностные лица 30 000 -50 000 рублей

Международный опыт

US-CERT / ICS-CERT

https://www.us-cert.gov

The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) –

https://ics-cert.us-cert.gov

!!! Огромное количество материалов по теме !!!

NIST

http://nist.gov

Документы: • NIST SP 800-82 Rev. 1 (Apr 2013) «Guide to Industrial

Control Systems (ICS) Security», 170 стр. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r1.pdf

• NIST SP 800-82 Rev.2 (Draft, May 14, 2014) «DRAFT Guide to Industrial Control Systems (ICS) Security», 255 стр. http://csrc.nist.gov/publications/drafts/800-82r2/sp800_82_r2_draft.pdf

IEC 62443 (ISA-99)

http://isa.org и http://isa99.isa.org

Опубликованные стандарты: • ANSI/ISA-62443-1-1 (99.01.01)-2007 - Security for Industrial

Automation and Control Systems Part 1: Terminology, Concepts, and Models

• ANSI/ISA-62443-2-1 (99.02.01)-2009 - Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program

• ANSI/ISA-62443-3-3 (99.03.03)-2013 - Security for industrial automation and control systems Part 3-3: System security requirements and security levels

«NIST Cybersecurity Framework. ISA99 Response to Request for Information» - http://csrc.nist.gov/cyberframework/rfi_comments/040513_international_society_automation.pdf

Серия стандартов IEC 62443

Требований и рекомендаций много, но их необходимо знать…

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22

Андрей Прозоров, CISM Мой твиттер: twitter.com/3dwave

Мой блог: 80na20.blogspot.com