АСУ как тип объекта КИИ. Проблемы, последствия и перспективы
В статье описываются практика применения требований законодательства в области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ) в отношении отдельного типа объекта КИИ – автоматизированной системы управления (далее – АСУ).
В отличие от других типов объектов КИИ, таких как информационная система и информационно-телекоммуникационная сеть, определение которых задано в уже действующем законодательстве страны [1], для АСУ сформулировано новое определение: «автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами» [2].
Как видим, определение сформулировано очень широко. Дополнительные сложности для субъектов КИИ появились после опубликования Правил категорирования объектов КИИ [3], в которых к объектам КИИ отнесены только АСУ, обеспечивающие выполнение критических процессов субъекта КИИ.
Представители ФСТЭК России, подводя итоги рассмотрения результатов категорирования субъектами КИИ в своих докладах, неоднократно указывали на типовую ошибку: к объектам КИИ отнесены не все АСУ субъекта КИИ [4, 5]. Субъектам КИИ рекомендовано относить к объектам КИИ типа АСУ следующие изделия: станки с числовым программным управлением (далее – станки ЧПУ), аппараты магнитно-резонансной томографии (далее – аппараты МРТ), аппараты компьютерной томографии (далее – аппараты КТ) и т. д.
В рабочем порядке представители ФСТЭК России дают следующие признаки для отнесения устройства к объектам КИИ:
-
выход из строя устройства несет последствия по показателям значимости [3];
-
есть компьютерный (сетевой) порт управления устройством;
-
нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства.
Но под такие критерии отбора подпадает множество устройств и приборов субъекта КИИ, если в них реализованы функции автоматического контроля функционирования и мониторинга. Данные устройства обеспечивают выполнение критических процессов субъекта КИИ в автоматическом режиме, а не в автоматизированном. Ни производитель устройств, ни их поставщик не заявляют, что устройства являются АСУ. Субъект КИИ также не закупает эти устройства с целью автоматизации своих процессов.
При буквальном выполнении подобных требований ФСТЭК России к АСУ следует относить цифровые фотоаппараты (видеокамеры), многофункциональные устройства для печати (сетевые принтеры), источники бесперебойного питания, цифровые мультиметры, цифровые осциллографы и т. д.
Отдельный вопрос возникает со специальными техническими средствами, работающими в автоматическом режиме, имеющими функции фотофиксации и предназначенными для обеспечения контроля за дорожным движением. Речь идет о комплексах фиксации нарушений правил дорожного движения в автоматическом режиме. Отметим, что не только производитель относит такие комплексы к автоматическим, а не автоматизированным, но и государственный стандарт Российской Федерации [6]. Более того, Верховный суд РФ прямо указывает на ключевое отличие автоматизированной системы от автоматической: работа соответствующего технического средства без какого-либо непосредственного воздействия на него человека в процессе работы [7]. В техническом плане комплексы автоматического контроля дорожной обстановки не имеют принципиальных отличий от аппаратов КТ или станков ЧПУ.
Применение подхода, предложенного ФСТЭК России, к оборудованию медицинских учреждений привело к появлению парадоксальных отраслевых рекомендаций [8]: к объектам КИИ не следует относить АСУ, функционирующие в сфере здравоохранения, если не осуществляется непосредственное взаимодействие с пациентом (циклотроны, доз-калибраторы и т. д.). Аппараты и оборудование, принцип функционирования которых не предусматривает вредного воздействия на организм человека и использование которых осуществляется под контролем медицинского персонала, не рассматриваются в качестве объектов КИИ, поскольку при соблюдении норм и правил эксплуатации в случае возникновения нарушений их функционирования в рамках медицинских процедур они не приводят к дополнительному риску нанесения вреда жизни и здоровью пациентов [8].
Таким образом, в сфере здравоохранения задан основной критерий отнесения компьютеризированного медицинского оборудования к объектам КИИ – возможность вредного воздействия на организм человека. Рассмотрим, к каким последствиям это приводит для субъекта КИИ на примере мобильного аппарата КТ, размещаемого на транспортной базе (передвижной кабинет цифровой рентгенографии):
-
необходимо дополнительно включить в состав бригады специалиста безопасности, который не имеет права исполнять любые другие обязанности, кроме обеспечения информационной безопасности [9];
-
при каждой смене медицинской бригады, направлять в ФСТЭК России сведения о лице, эксплуатирующем аппарат КТ [10];
-
при закупке аппарата КТ предъявлять требования к производителю по подтверждению условий безопасной разработки программного обеспечения и подтверждение соответствия для встроенных функций защиты информации [11].
Каким образом будут выполняться требования к безопасности значимых объектов КИИ в случаях проведения рентгенологических исследований вне медицинской организации (по месту вызова бригады скорой, в том числе скорой специализированной, медицинской помощи, а также в транспортном средстве при медицинской эвакуации) – сказать затруднительно [12].
Существенным негативным фактором станет риск привлечения эксплуатирующего персонала к уголовной ответственности за нарушение правил эксплуатации по статье 274.1. УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» [13].
Аналогичная ситуация складывается со станками ЧПУ, особенно с теми, что входят в оснащение подвижных ремонтных мастерских.
При работе медицинских или ремонтных бригад с использованием таких устройств на труднодоступной местности в условиях неустойчивой связи возможно нарушение установленных сроков информирования Национального координационного центра по компьютерным инцидентам [14]. С учетом запланированного изменения Кодекса об административных правонарушениях, это может повлечь существенные издержки субъекта КИИ [15].
Отдельные опасения вызывает реализуемость технических мер обеспечения безопасности устройств подобного типа [11]. Использование наложенных средств защиты информации станет проблематичным в силу специфики устройств, особенно в мобильном варианте исполнения. А разработка, внедрение и подтверждение соответствия встроенных механизмов защиты информации потребует серьезных целенаправленных усилий производителей устройств, что еще только предстоит обеспечить государственным регуляторам.
Итоги
Несомненно, что сложное современное компьютеризированное оборудование уязвимо для компьютерных атак и требует принятия мер обеспечения защиты от них. Однако, учитывая существенное негативное влияние на финансово-экономическое состояние субъекта КИИ и рост его уголовно-правовых рисков, считаем целесообразным внести следующие изменения в законодательство страны в области обеспечения безопасности КИИ:
-
наделить полномочиями ФСТЭК России по определению объектов КИИ и категорий их значимости, с возложением персональной ответственности за обоснованность принятых решений;
-
уточнить и конкретизировать определение АСУ;
-
обеспечить безопасность компьютеризированных устройств от компьютерных атак через отраслевое регулирование, с учетом специфики применения.
Литература
1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
3. Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
4. Выступление заместителя начальника управления ФСТЭК России Е. Б. Торбенко на форуме «ИНФОБЕРЕГ-2020»
5. Выступление заместителя начальника управления ФСТЭК России А. В. Кубарева на конференции «Кибербезопасность АСУ ТП критически важных объектов», сентябрь 2020 года.
6. ГОСТ Р 57144-2016 «Специальные технические средства, работающие в автоматическом режиме и имеющие функции фото- и киносъемки, видеозаписи, для обеспечения контроля за дорожным движением. Общие технические требования».
7. Постановление Пленума Верховного Суда РФ от 25.06.2019 № 20 «О некоторых вопросах, возникающих в судебной практике при рассмотрении дел об административных правонарушениях, предусмотренных главой 12 Кодекса Российской Федерации об административных правонарушениях».
8. Методические рекомендации по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области (согласованны ФСТЭК России).
9. Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
10. Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
11. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
12. Приказ Министерства здравоохранения РФ от 9 июня 2020 г. № 560н «Об утверждении Правил проведения рентгенологических исследований».
13. «Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ.
14. Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
15. Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 18.11.2020