Rambler's Top100
Все новости Новости отрасли

В России разработали государственную политику киберзащиты

13 июля 2012

Совет безопасности России представил документ, определяющий политику в области защиты систем управления критически важной инфраструктурой в России. Он предполагает создание к 2020 г. единой государственной системы обнаружения и предупреждения компьютерных атак, а основные функции реализации политики возлагает на ФСБ.

Совет безопасности России опубликовал основные направления госполитики «в области обеспечения безопасности систем управления производственными и технологическими процессами критически важных объектов инфраструктуры» страны. В документе указано, что создан он был в целях реализации основных положений стратегии национальной безопасности России до 2020 г., которая предполагает и совершенствование ИТ-инфраструктуры критически важных объектов в целях защиты их от угроз.

К критически важным составители относят объекты, нарушение или прекращение функционирования которых может привести к потере управления инфраструктурой, ее разрушению и негативному изменению экономики страны или региона, где объект располагается. Целью разработки политики является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования ИТ-систем, а также минимизация негативных последствий такого вмешательства.

Слабые места. Что делать?

Среди негативных факторов, влияющих на формирование ИБ-госполитики авторы документа упоминают «вынужденное» привлечение при создании систем управления иностранных поставщиков ПО и аппаратных средств обработки, хранения и передачи информации, тенденцию среди владельцев и операторов критически важных объектов скрывать факты нарушения их работы, недостаточный уровень образования и профподготовки персонала, обслуживающего системы управления критически важными объектами, отсутствие достаточного нормативно-правового регулирования в данной области.

Решать задачи обеспечения безопасности систем управления критическими объектами авторы предлагают по пяти основным направлениям: в области нормативно-правовой базы, госрегулирования, промышленной и научно-технической политики, технологий и средств обеспечения ИБ, а также повышения квалификации кадров.

Власти всерьез озаботились ИТ-защитой критически важных объектов в России

В области нормативно-правового регулирования стоит отметить инициативы авторов документа по необходимости определения и закрепления прав и обязанностей собственников ИТ-систем управления объектов критической инфраструктуры, регламентацию порядка ввода в действие, эксплуатации и модернизации таких систем, а также введение ответственности за нарушения в процессе этого, усиление ответственности за создание и применение средств компьютерных атак.

Среди задач госрегулирования авторы документа выделяют создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру, создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в ней, создание хранилища эталонного ПО, использующегося в ИТ-системах критической инфраструктуры, создание условий, стимулирующих развитие в России производства телеком-оборудования, устойчивого к компьютерным атакам. На государство же авторы документа возлагают и выделение (привлечение) необходимых источников и объемов финансовых ресурсов.

В научно-технологической области значительная часть определенных авторами документа задач касается необходимости различных разработок в области систем управления критической инфраструктурой и ИБ.

«Дорожная карта»

Реализовывать политику предлагается в три этапа: 2012-2013 гг., 2014-2016 гг. и 2017-2020 гг. Первый этап предполагает разработку плана мероприятий по реализации основных направлений политики, разработку концепции использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре, подготовку предложений по внесению изменений в утвержденные госпрограммы и корректировке планируемых программ, и др.

На второй этап приходится серьезная работа в области нормативно-правового регулирования, касающаяся регламентирования различных процессов и разграничения ответственности, разработок в области ИБ, а также ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру. На этот же этап приходится создание сил и средств ликвидации последствий компьютерных инцидентов.

Третий этап, в числе прочего, предполагает внедрение комплексных систем защиты на объектах, ввод в действие первой очереди хранилища эталонного ПО, ввод в эксплуатацию единой государственной системы обнаружения и предупреждения компьютерных атак на критическую инфраструктуру и ситуационного центра.

Эксперты и участники рынка в целом положительно оценивают документ и говорят о том, что его содержание (да и сам факт его появления) соответствует мировой практике. Хотя, говорят опрошенные CNews эксперты, у документа есть и ряд проблемных мест, например, отсутствие исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в России, а также отсутствие упоминаний в документе  ФСТЭК России, не смотря на то что именно у ФСТЭК есть важные и ценные документы по безопасности критических инфраструктур.

Источник: CNews

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.