Некоторые вопросы нормативного обеспечения безопасности АСУТП КВО Мелехин И.В. Директор департамента консалтинга и аудита

Потеря управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики? Аварии ? Нарушение процесса управления производством, которые могут вызвать экономические последствия? Нарушения технологического процесса, которые могут вызвать аварии или катастрофы? Риски Инциденты? Существенное ухудшение безопасности жизнедеятельности населения?

КВО Субъект регулирования

КВО 256-ФЗ ПП 411 Объект регулирования 116-ФЗ 16-ФЗ 117-ФЗ 170-ФЗ

Объект регулирования АСУ ТП АСУ П АСУ О персонал ИС ИКС

Связанность регулирования КСИИ (ФСТЭК) 1- Общие требования 2- Базовая модель угроз 3- Методика актуализации угроз 4- Рекомендации ФЗ 256 «О безопасности ТЭК» от Порядок классификации (ЧС и объектов ТЭК) Нет подзаконных актов Правительства с требованиями по ИБ

Текущая ситуация с требованиями по информационной безопасности

Выполняемость требований

Требования по ИБ АСУ ТП

Рекомендации USA Homeland Security Для разработчиков стандартов по ИБ АСУ ТП Содержит: рекомендуемых контролей - Перекрестный анализ 15 стандартов Зарубежные подходы

ISA99: Комитет по разработке стандартов безопасности АСУ ТП Один из 100+ Комитетов ISA 6 рабочих групп Разрабатывают 13 документов серии ISO/IEC Ранее – серия ANSI/ISA-99.**.** International organization for Standardization

Подходы к реализации проектов Приоритезация данных направлений: Назначение ответственных Определение критичных показателей Определение целевых значений критичных показателей Определение текущей ситуации Формирование принципов и порядка и формы предоставления отчетности Получение и анализ отчетности Разработка целевых программ Выделение ресурсов и средств Выделение в отдельную статью бюджетирования Контроль исполнения Привязка КПИ

Проектная программа ( гг.) Запуск и контроль программы классификации; Определение целевых показателей защищенности и уровней зрелости; Аудит состояния ИБ АСУ ТП в объектах выборки; Разработка нормативной документации по ИБ АСУ ТП Разработка программы контроля состояния ИБ Разработка типовых решений обеспечения ИБ АСУ ТП Разработка программ приведения в соответствие. Ожидаемые результаты: Классифицированы АСУ ТП; Определены требования к защите; Разработана нормативная документация и типовые технические решения; Сформирована программа контроля; Разработана АИС «Безопасность АСУ ТП» Разработана программа приведения объектов в соответствие

Проектная программа ( гг.) Реализация объектовых программ; Запуск и контроль программ для объектов, не попавших в выборку; Создание АИС «Безопасность АСУ ТП» Создание тестового стенда анализа внедряемых компонентов АСУ ТП. Ожидаемые результаты Объекты приведены в соответствие заданному уровню ИБ АСУ ТП Ввод в эксплуатацию АИС «Безопасность АСУ ТП» Запущен процесс проведения анализа предлагаемых компонентов АСУ ТП

Количество классов Основания классификации Степень негативных последствий Размер ЧС Критерии классификации Структура АС Функционал АС Автоматизируемые функции Что классифицировать Декомпозиция АС управляющие несколькими ТП Типовые АС Вопросы классификации АС

БЛАГОДАРЮ ЗА ВНИМАНИЕ!