В своем крайнем посте Защита АСУ ТП по-американски я сетовал на тот факт, что в России теме защиты промышленных систем уделено очень небольшое внимание. Глупо было бы полагать, что именно этот пост повлиял на наших регуляторов в области ИБ, но 4 июля на сайте Совета Безопасности появился очень обнадеживающий документ «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации», разработанный в рамках стратегии национальной безопасности до 2020 года. Разработчиком выступило ФСБ.
Документ, судя по всему, написан с учетом уже имеющихся заграничных документов по аналогичным темам, и включает в себя даже такой пункт, как «Требования к разработчикам ПО», что не часто встречается в документах регуляторов. Особо хочется отметить, что документ получился на удивление всеохватывающий, в нем учтены все ключевые направления защиты АСУ ТП.
Т.к. документ носит не столько рекомендательный, сколько «экскурсионно-ознакомительный» характер, особо хочется отметить желание создать регуляторами единую систему обнаружения вторжений для государственных структур, а также критических промышленных объектов, наподобие американской IDSNet.
Также в документе признается зависимость нашей инфраструктуры от иностранных поставщиков комплектующих и ПО, в том числе и практика удаленной настройки критических узлов иностранными фирмами, а также использование этими фирмами типизированных решений для нескольких объектов, с целью сокращения издержек.
Мероприятия по улучшению ситуации запланированы в 3 этапа до 2020 года. Мероприятия включают в себя как госрегулирование и совершенствование нормативно-правовой базы, так и довольно умозрительные «совершенствование фундаментальной и прикладной науки» и «формировании в общественном сознании нетерпимости к лицам, совершающим противоправные действия с использованием информационных технологий».
Как в действительности все это будет реализовано, покажет время. Надеюсь, что специалисты по информационной безопасности, занимающиеся защитой АСУ ТП, ознакомятся с данным документом и сочтут его для себя полезным. Радует, что и в России озаботились такой важной темой, надеюсь что регуляторы продолжат совершенствовать базу документов по защите АСУ ТП, и в скором времени она станет не хуже американской.
Автор: IrkDesigner