Организация защиты ключевых систем информационной инфраструктуры (КСИИ),
приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП
Место для поздравлений, выраженных в виде заслуженных премий труженикам невидимого фронта.
Следующий шаг - выбор адекватных угрозам АС защитных мер в соответствии с определенным классом защищенности по таблице (Приложение 2 к приказу №31).
При внимательном анализе нормативных документов «всплывают» некоторые существенные детали, относящиеся к объектам оценки и порядку их дальнейшей эксплуатации. П.2 .информационного сообщения ФСТЭК гласит:
«По вопросам вступления в силу Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, а также необходимости модернизации систем защиты автоматизированных систем управления производственными и технологическими процессами, введенных в эксплуатацию до вступления в силу указанных Требований.
И, далее:
АСУ ТП, «.,введенные в эксплуатацию до вступления в силу Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, могут эксплуатироваться без доработки их системы защиты. В случае принятия решения владельцем автоматизированной системы управления производственными и технологическими процессами о ее плановой модернизации, такие мероприятия проводятся с учетом указанных Требований».
Этот айсберг таит несколько сюрпризов:
- АС должны соответствовать проектной документации.
- АС, введенные в эксплуатацию до момента публикации приказа №31, могут оставаться в неизменном состоянии.
- АС, модернизированные до момента публикации приказа №31, также могут оставаться в прежнем состоянии, если изменения внесены в проектную документацию.
- При модернизации АС после публикации приказа №31 ТЗ должно отвечать требованиям приказа №31.
П.3 сразу напрягает дирекцию по финансам. Избежать проблему можно единственным способом – откатить назад все невнесенные в проектную документацию изменения, вплоть до полной изоляции АС от корпоративной сети и любых, не предусмотренных проектом связей и улучшений, даже защитных, в т.ч. отключение от AD, удаление АВЗ и т.д.
П.4 – судьба. Следует подумать о терминологии и, с калькулятором в руках, о предпочтениях – обновление системы или модернизация? Замена контроллера, как и простого предохранителя, на аналогичный не изменяет функционирование АС и не является модернизацией(!) в отличие от замены пары-другой контроллеров каким-нибудь более продвинутым или промышленным компьютером. Не стоит увлекаться гонкой за прогрессом – в этой сфере здравый смысл и умеренный консерватизм может обеспечить заданный проектом уровень защищенности систем на всем их жизненном цикле.
И на десерт:
«Вместе с тем ФСТЭК России рекомендует владельцам автоматизированных систем управления производственными и технологическими процессами спланировать (в случае технической возможности) поэтапное приведение своих систем управления в соответствие с Требованиями, утвержденными приказом ФСТЭК России от 14 марта 2014 г. N 31.»
Нечего добавить.
Итак, формальная часть по проведению оценки защищенности выполнена – приступаем к выбору требований в соответствии с классом АС, разработке рекомендаций, технических заданий, планам их реализации и готовим документы для внесения в реестр КСИИ.
Не будет лишне напомнить, что значительная часть защитных мер уже могла быть ранее реализована в рамках защиты информационных ресурсов компании.
В.Б.
© Центр Сетевой Безопасности Арнис, 2014