АСУ как тип объекта КИИ. Проблемы, последствия и перспективы

Логотип компании
АСУ как тип объекта КИИ. Проблемы, последствия и перспективы
При буквальном выполнении требований ФСТЭК России к АСУ следует относить цифровые фотоаппараты (видеокамеры), многофункциональные устройства для печати (сетевые принтеры), ИБП, цифровые мультиметры, цифровые осциллографы и т. д.

В статье описываются практика применения требований законодательства в области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ) в отношении отдельного типа объекта КИИ – автоматизированной системы управления (далее – АСУ).

В отличие от других типов объектов КИИ, таких как информационная система и информационно-телекоммуникационная сеть, определение которых задано в уже действующем законодательстве страны [1], для АСУ сформулировано новое определение: «автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами» [2].

Как видим, определение сформулировано очень широко. Дополнительные сложности для субъектов КИИ появились после опубликования Правил категорирования объектов КИИ [3], в которых к объектам КИИ отнесены только АСУ, обеспечивающие выполнение критических процессов субъекта КИИ.

Представители ФСТЭК России, подводя итоги рассмотрения результатов категорирования субъектами КИИ в своих докладах, неоднократно указывали на типовую ошибку: к объектам КИИ отнесены не все АСУ субъекта КИИ [4, 5]. Субъектам КИИ рекомендовано относить к объектам КИИ типа АСУ следующие изделия: станки с числовым программным управлением (далее – станки ЧПУ), аппараты магнитно-резонансной томографии (далее – аппараты МРТ), аппараты компьютерной томографии (далее – аппараты КТ) и т. д.

В рабочем порядке представители ФСТЭК России дают следующие признаки для отнесения устройства к объектам КИИ:

  1. выход из строя устройства несет последствия по показателям значимости [3];

  2. есть компьютерный (сетевой) порт управления устройством;

  3. нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства.

Но под такие критерии отбора подпадает множество устройств и приборов субъекта КИИ, если в них реализованы функции автоматического контроля функционирования и мониторинга. Данные устройства обеспечивают выполнение критических процессов субъекта КИИ в автоматическом режиме, а не в автоматизированном. Ни производитель устройств, ни их поставщик не заявляют, что устройства являются АСУ. Субъект КИИ также не закупает эти устройства с целью автоматизации своих процессов.

При буквальном выполнении подобных требований ФСТЭК России к АСУ следует относить цифровые фотоаппараты (видеокамеры), многофункциональные устройства для печати (сетевые принтеры), источники бесперебойного питания, цифровые мультиметры, цифровые осциллографы и т. д.

Отдельный вопрос возникает со специальными техническими средствами, работающими в автоматическом режиме, имеющими функции фотофиксации и предназначенными для обеспечения контроля за дорожным движением. Речь идет о комплексах фиксации нарушений правил дорожного движения в автоматическом режиме. Отметим, что не только производитель относит такие комплексы к автоматическим, а не автоматизированным, но и государственный стандарт Российской Федерации [6]. Более того, Верховный суд РФ прямо указывает на ключевое отличие автоматизированной системы от автоматической: работа соответствующего технического средства без какого-либо непосредственного воздействия на него человека в процессе работы [7]. В техническом плане комплексы автоматического контроля дорожной обстановки не имеют принципиальных отличий от аппаратов КТ или станков ЧПУ.

Применение подхода, предложенного ФСТЭК России, к оборудованию медицинских учреждений привело к появлению парадоксальных отраслевых рекомендаций [8]: к объектам КИИ не следует относить АСУ, функционирующие в сфере здравоохранения, если не осуществляется непосредственное взаимодействие с пациентом (циклотроны, доз-калибраторы и т. д.). Аппараты и оборудование, принцип функционирования которых не предусматривает вредного воздействия на организм человека и использование которых осуществляется под контролем медицинского персонала, не рассматриваются в качестве объектов КИИ, поскольку при соблюдении норм и правил эксплуатации в случае возникновения нарушений их функционирования в рамках медицинских процедур они не приводят к дополнительному риску нанесения вреда жизни и здоровью пациентов [8].

Таким образом, в сфере здравоохранения задан основной критерий отнесения компьютеризированного медицинского оборудования к объектам КИИ – возможность вредного воздействия на организм человека. Рассмотрим, к каким последствиям это приводит для субъекта КИИ на примере мобильного аппарата КТ, размещаемого на транспортной базе (передвижной кабинет цифровой рентгенографии):

  • необходимо дополнительно включить в состав бригады специалиста безопасности, который не имеет права исполнять любые другие обязанности, кроме обеспечения информационной безопасности [9];

  • при каждой смене медицинской бригады, направлять в ФСТЭК России сведения о лице, эксплуатирующем аппарат КТ [10];

  • при закупке аппарата КТ предъявлять требования к производителю по подтверждению условий безопасной разработки программного обеспечения и подтверждение соответствия для встроенных функций защиты информации [11].

 Каким образом будут выполняться требования к безопасности значимых объектов КИИ в случаях проведения рентгенологических исследований вне медицинской организации (по месту вызова бригады скорой, в том числе скорой специализированной, медицинской помощи, а также в транспортном средстве при медицинской эвакуации) – сказать затруднительно [12].

Существенным негативным фактором станет риск привлечения эксплуатирующего персонала к уголовной ответственности за нарушение правил эксплуатации по статье 274.1. УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» [13].

Аналогичная ситуация складывается со станками ЧПУ, особенно с теми, что входят в оснащение подвижных ремонтных мастерских.

При работе медицинских или ремонтных бригад с использованием таких устройств на труднодоступной местности в условиях неустойчивой связи возможно нарушение установленных сроков информирования Национального координационного центра по компьютерным инцидентам [14]. С учетом запланированного изменения Кодекса об административных правонарушениях, это может повлечь существенные издержки субъекта КИИ [15].

Отдельные опасения вызывает реализуемость технических мер обеспечения безопасности устройств подобного типа [11]. Использование наложенных средств защиты информации станет проблематичным в силу специфики устройств, особенно в мобильном варианте исполнения. А разработка, внедрение и подтверждение соответствия встроенных механизмов защиты информации потребует серьезных целенаправленных усилий производителей устройств, что еще только предстоит обеспечить государственным регуляторам.

Читайте также
Кризис — это не только вызов, но и шанс. Вместо попыток скопировать прошлые решения, российские ИБ-разработчики фокусируются на том, что действительно нужно сегодня — на надежных и понятных инструментах для безопасности. Заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов рассказал, как вопреки уходу иностранных технологий и непрерывным кибератакам удается перестраивать цифровую оборону и создавать решения, которые отвечают реальным вызовам, а не формальным требованиям.

Итоги

Несомненно, что сложное современное компьютеризированное оборудование уязвимо для компьютерных атак и требует принятия мер обеспечения защиты от них. Однако, учитывая существенное негативное влияние на финансово-экономическое состояние субъекта КИИ и рост его уголовно-правовых рисков, считаем целесообразным внести следующие изменения в законодательство страны в области обеспечения безопасности КИИ:

  • наделить полномочиями ФСТЭК России по определению объектов КИИ и категорий их значимости, с возложением персональной ответственности за обоснованность принятых решений;

  • уточнить и конкретизировать определение АСУ;

  • обеспечить безопасность компьютеризированных устройств от компьютерных атак через отраслевое регулирование, с учетом специфики применения.

Литература

1.    Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

2.    Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

3.    Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

4.    Выступление заместителя начальника управления ФСТЭК России Е. Б. Торбенко на форуме «ИНФОБЕРЕГ-2020»

5.    Выступление заместителя начальника управления ФСТЭК России А. В. Кубарева на конференции «Кибербезопасность АСУ ТП критически важных объектов», сентябрь 2020 года.

6.    ГОСТ Р 57144-2016 «Специальные технические средства, работающие в автоматическом режиме и имеющие функции фото- и киносъемки, видеозаписи, для обеспечения контроля за дорожным движением. Общие технические требования».

7.    Постановление Пленума Верховного Суда РФ от 25.06.2019 № 20 «О некоторых вопросах, возникающих в судебной практике при рассмотрении дел об административных правонарушениях, предусмотренных главой 12 Кодекса Российской Федерации об административных правонарушениях».

8.    Методические рекомендации по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области (согласованны ФСТЭК России).

9.    Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

10.      Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

11. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

12. Приказ Министерства здравоохранения РФ от 9 июня 2020 г. № 560н «Об утверждении Правил проведения рентгенологических исследований».

13. «Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ.

14. Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».

15. Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

Читайте также
Когда ИИ в программировании — благо, а когда — вред, разбирался IT-World.

Смотреть все статьи по теме "Информационная безопасность"

 

 

 


Читайте также
Еще совсем недавно от западных облачных сервисов зависело 30% крупных российских компаний. Их отключение, порой внезапное, должно было поставить рынок перед сложными вызовами. Но оказалось, что российские облака готовы предложить рынку вполне зрелые решения. Это и многое другое обсудили участники круглого стола IT-World «Импортозамещение в облаках».

Опубликовано 18.11.2020

Похожие статьи