Проект требований по защите АСУ ТП и рекомендаций по обновлению СЗИ

ФСТЭК опубликовал информационное сообщение о подготовке проектов двух нормативных актов - "Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни" и "Рекомендации по обновлению сертифицированных средств защиты информации". 

Указанные проекты предлагается изучить экспертам и направить свои замечания до 20 февраля, контактные данные приведены в конце информационного сообщения. Давайте разберем представленные проекты.

Проект требований по защите АСУ ТП выполнен по аналогии с 17 и 21 приказами - есть общая часть, есть таблица с базовыми мерами защиты. Важные тезисы, представленные в общей части:

1. Требования не распространяются на защиту гостайны в АСУ ТП.
2. Могут быть установлены дополнительные требования регуляторами в других областях, в чьем ведении находится конкретные функции АСУ ТП.
3. Система защиты строит самостоятельно без лицензии или с привлечением организаций, имеющих лицензию на деятельность по ТЗИ.
4. Средства защиты должны быть сертифицированы.
5. Устанавливаются 3 класса защищенности в зависимости от уровня значимости (УЗ). УЗ определяется степенью ущерба при нарушении трех свойств информации - целостности, конфиденциальности и доступности. Степень возможного ущерба определяется заказчиком или оператором. УЗ 1 (К1) - возможно возникновение чрезвычайной ситуации федерального или межрегионального характера, УЗ 2 (К2) - регионального или межмуниципального характера, УЗ 3 (К3) - муниципального (локального) характера.
6. Заданы и описаны все этапы создания системы защиты АСУ ТП.
7. Для К1 должны использоваться СЗИ, сертифицированные по 5 СВТ, 3 СОВ, 3 САВЗ, 3 МЭ (4 МЭ - без доступа в Интернет), для К2 - 5 СВТ, 4 СОВ, 4 САВЗ, 3 МЭ (4 МЭ), для К3 - 5 СВТ, 5 СОВ, 5 САВЗ, 4 МЭ.

В отличии от 17 и 21 приказов появились меры с индексом 0, требующие разработки правил и процедур (политик) по всем группам меры защиты. Добавлены новые группы мер, которых не было в 17 и 21 приказах:

• Обеспечение безопасной разработки прикладного (специального) программного обеспечения разработчиком (ОБР), 
• Управление обновлениями программного обеспечения (ОПО), 
• Планирование мероприятий по обеспечению защиты информации (ПЛН), 
• Обеспечение действий в нештатных(непредвиденных) ситуациях (ДНС), 
• Информирование и обучение пользователей (ИПО),
• Анализ угроз безопасности информациии рисков от их реализации (УБИ).

Так же, как и в 21 приказе, есть меры по выявлению и реагированию на инциденты и управлению конфигурацией, напомню, что в 17 приказе таких мер нет.

В целом, документ мало чем отличается от вышеупомянутых 17 и 21 приказов, серьезных замечаний по проекту у меня не нашлось. 

Перейдем ко второму документу - рекомендациям по обновлению сертифицированных СЗИ.

Данный документ остро обсуждался в кругах экспертов еще несколько месяцев назад, когда появилась его первая, не публичная, версия. С тех пор документ практически не изменился. Как и раньше, предлагается выделить четыре типа обновлений - обновления баз данных (для антивирусов, СОВ и т.п.), исправление уязвимостей, добавление защитных механизмов и изменения, не связанные с функциями защиты. Для каждого типа устанавливается порядок передачи обновлений пользователям и их инспекционный контроль.

Документ, безусловно, нужный, важный и полезный. Однако вопросов по нему очень много. Например, устанавливаются требования по гарантированному доведению информации об обновлениях пользователям, но не описываются критерии этого процесса. Выставлено требование по обеспечению доверенного канала обновления, но не описаны конкретные параметры, определяющие маршрут доверенным. Не описаны спорные моменты взаимодействия вендора и испытательной лаборатории. Почему-то все материалы после испытательной лаборатории должны передаваться сразу во ФСТЭК, органы по сертификации исключены из процесса, хотя в вводной части указано, что документ предназначен для них в том числе. 

Как видите, вопросов к документы очень много, все они в ближайшее время будут направлены во ФСТЭК и, я надеюсь, окончательная редакция будет исправлена.