ФЗ № 187-ФЗ от 26 июля 2017 г.

Сообщение **Jackson** » 19 сен 2022, 11:13

Доброе время!

В свете Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", под его действие попадают системы автоматики электростанций и системы мониторинга ими, включая СКАДА и WEB-мониторинга. В частности, наши заказчики уже столкнулись с тем что с них требуют сертификаты ФСТЭК на системы мониторинга (СКАДА и WEB).

Речь идёт о т.н. малой энергетике, т.е. генераторы 15, 50, 100, 300 кВт, редко когда 1МВт и больше.

Вопрос: кто ещё столкнулся с этим вопросом и как решается вопрос?

Сообщение **kirillio** » 19 сен 2022, 11:27

Jackson писал(а): ↑19 сен 2022, 11:13 Вопрос: кто ещё столкнулся с этим вопросом и как решается вопрос?

Люди на местах "премного удивлены" и не могут пройти фазу отрицания, не веря глазам своим. :)
Например вот так (процедура).

[+]: https://rtmtech.ru/articles/kategorirov ... i-primery/

А в части подбора оборудования для АСУ - жупел.

Сообщение **Jackson** » 19 сен 2022, 11:36

kirillio писал(а): ↑19 сен 2022, 11:27 Люди на местах "премного удивлены" и не могут пройти фазу отрицания, не веря глазам своим. :)

Букв много, почитаем. "Премного удивлены" - это мягко сказано, когда на резервную станцию при фельдшерском пункте в посёлке где-то в тайге, с людей требуют (именно требуют) сертификат ФСТЭК на генератор 30 кВт. Причём годами всё работало, а теперь вдруг сертификат им подавай.

Отправлено спустя 13 минут 47 секунд:
Вот конкретные примеры.
Контора занимается по договору обслуживанием и ремонтом парка дизель-генераторов, разбросанных по огромной территории. Резервные станции в посёлках. Оборудовали станции системой простейшего мониторинга, чтобы получать данные о наработке и об основных неисправностях - территории огромные, перед тем как ехать к агрегату неплохо бы предположить, что с собой может понадобиться взять, или вообще достаточно просто позвонить персоналу на место и сказать где топливо долить, где что подкрутить - чтобы не терять дни на дорогу в труднодоступные районы. Огромная страна же у нас.

И вот на этот мониторинг у наших заказчиков затребовали сертификат ФСТЭК, ибо положено. Можно сказать "не нравится - выключим". Но тогда посёлки останутся без электричества при малейшем чихе, потому что спеца ждать придется не один день пока доедет, а потом ещё за нужным болтом туда-обратно скатается. Бред же.

Есть у нас хоть одна СКАДА или система мониторинга, имеющая сертификат ФСТЭК?

Сообщение **alex45** » 19 сен 2022, 12:13

Jackson писал(а): ↑19 сен 2022, 11:50 Есть у нас хоть одна СКАДА или система мониторинга, имеющая сертификат ФСТЭК?

Есть и не одна.
Я проектирую АСУ ТП для тепловых электростанций. Тоже недавно столкнулся с этой проблемой.
Сейчас в ТЗ на проектирование заказчики везде включают требования к информационной безопасности, и требования о том, чтобы в проекте был раздел по информационной безопасности.
Я стал прорабатывать этот вопрос. Оказалось, что есть специализированные организации, которые могут разработать проект по информационной безопасности и поставить необходимое оборудование со всеми сертификатами. Запросили коммерческие предложения на разработку раздела проекта по информационной безопасности. Цена варьируется от 2 до 5 миллионов рублей.

Сообщение **kirillio** » 19 сен 2022, 12:30

Предположу, что вопрос вырулят в такое русло: "не сертифицировано?.. ладно, но потом сертифицируйте!.. а сейчас пока канал шифрованный хотябы сделайте!.. ну там шлюз криптоавнный или типа того... вот вам компания - у неё брать" :)

Сообщение **Jackson** » 19 сен 2022, 14:44

alex45 писал(а): ↑19 сен 2022, 12:13 Есть и не одна.

Например?

alex45 писал(а): ↑19 сен 2022, 12:13 Цена варьируется от 2 до 5 миллионов рублей.

Для описанных мной применений это смерть.

kirillio писал(а): ↑19 сен 2022, 12:30 Предположу, что вопрос вырулят в такое русло: "не сертифицировано?.. ладно, но потом сертифицируйте!.. а сейчас пока канал шифрованный хотябы сделайте!.. ну там шлюз криптоавнный или типа того... вот вам компания - у неё брать" :)

Предполагать-то да. Но если с локальных контроллеров выходит модбас - как я его зашифрую? :)

Сообщение **alex45** » 19 сен 2022, 15:23

Jackson писал(а): ↑19 сен 2022, 14:44Например?

Извиняюсь, я неправильно выразился. Я имел ввиду АСУ ТП в целом, которая соответствует требованиям 187-ФЗ. Такие системы в природе уже есть.
Сейчас поковырялся в законах. Там написано, что сертификации подлежат средства защиты информации. Сама по себе СКАДА не является средством защиты информации, у неё другое назначение, поэтому сертификации не подлежит.
В любом случае, я думаю, начинать надо с проекта по информационно безопасности, в котором будут предусмотрены технические и программные средства информационной безопасности. И вот эти средства уже должны иметь сертификаты. И, как я уже писал выше, проекты такие делают специализированные конторы, у которых есть лицензии ФСТЭК и ФСБ.

Jackson писал(а): ↑19 сен 2022, 14:44 Для описанных мной применений это смерть.

Возможно для ваших применений дешевле будет. Указанная мной цена для АСУ ТП в масштабе парового энергетического котла.

Сообщение **Jackson** » 19 сен 2022, 17:22

alex45 писал(а): ↑19 сен 2022, 15:23 Сейчас поковырялся в законах. Там написано, что сертификации подлежат средства защиты информации. Сама по себе СКАДА не является средством защиты информации, у неё другое назначение, поэтому сертификации не подлежит.

Это конкретно где сказано? С точностьюдо закона, если можно (страницу и пункт найдём).

Отправлено спустя 2 минуты 16 секунд:

alex45 писал(а): ↑19 сен 2022, 15:23 В любом случае, я думаю, начинать надо с проекта по информационно безопасности, в котором будут предусмотрены технические и программные средства информационной безопасности.

Я полагаю, сначала лучше начать с определения необходимости это всё делать. И дело в том что я не вижу, чтобы где-то было прямо сказано что "вот для таких систем это нужно обязательно, а для этаких - нет", что даёт огромный простор для творчества всяким надзорным органам, которым нечем заняться.

Сообщение **alex45** » 19 сен 2022, 17:44

Jackson писал(а): ↑19 сен 2022, 17:24 Это конкретно где сказано?

Пункт 3 Положения о системе сертификации средств защиты информации (утв. приказом ФСТЭК от 03.04.2018 № 55).

Jackson писал(а): ↑19 сен 2022, 17:24 Я полагаю, сначала лучше начать с определения необходимости это всё делать.

Согласен. Тогда начинать надо с категорирования. На это есть Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства РФ от 08.02.2018 № 127). Обратите внимание на интересный пункт 2, в котором говорится, что категорированием должны заниматься владельцы объектов критической информационной инфраструктуры.

Сообщение **Jackson** » 19 сен 2022, 20:06

Огромное спасибо! Исчерпывающе, хоть в FAQ включай.

alex45 писал(а): ↑19 сен 2022, 17:44 Обратите внимание на интересный пункт 2, в котором говорится, что категорированием должны заниматься владельцы объектов критической информационной инфраструктуры.

То есть в случае с системой мониторинга электростанции, сам владелец системы мониторинга (не электростанции) должен определить категорию своей системы и, при необходимости, включить её в некий реестр подобных систем - верно?

И при этом электростанция может быть критическим объектом энергетики (например резервная/аварийная станция), а система её мониторинга может и не быть объектом критической информационной инфраструктуры - категория электроснабжения и категория критической информационной инфраструктуры - это ведь разные вещи. Так? Например если электростанция выполняет свои функции и без мониторинга вообще (а как правило так и есть, мониторинг - это сервис). Т.е. когда наличие или отсутствие мониторинга никак не влияет на функции электростанции.

Сообщение **kirillio** » 19 сен 2022, 21:20

alex45 писал(а): ↑19 сен 2022, 15:23 В любом случае, я думаю, начинать надо с проекта по информационно безопасности, в котором будут предусмотрены технические и программные средства информационной безопасности.

Мой коллега транслировали то же самое сегодня на совещании, "пасьянс сошёлся". :)

Отправлено спустя 1 минуту 20 секунд:

Jackson писал(а): ↑19 сен 2022, 14:44 Но если с локальных контроллеров выходит модбас - как я его зашифрую? :)

Только крипто-шлюзом... с обратной дешифровкой крипто-шлюзом "на той стороне".

Отправлено спустя 3 минуты 25 секунд:

alex45 писал(а): ↑19 сен 2022, 15:23 начинать надо с проекта по информационно безопасности

К этому автоматом цепляются СКУД, ОС и СВН - ограничение физического доступа к узлам и контроль + паспорт безопасности объекта.

3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Выход есть - без категории.

Отправлено спустя 7 минут 29 секунд:
3-я категория (самая легкая) - это электроснабжение муниципального образования.

Так что для малой энергетики смело надо утверждать статус "без категории".

Сообщение **alex45** » 20 сен 2022, 09:00

Jackson писал(а): ↑19 сен 2022, 20:06 категория электроснабжения и категория критической информационной инфраструктуры - это ведь разные вещи. Так?

Совершенно верно!

[+]: А ещё категорируют по вредному воздействию на окружающую среду, по антитеррористической защищённости, по 116-фз и много ещё по каким параметрам.

Сообщение **Jackson** » 20 сен 2022, 10:48

alex45 писал(а): ↑20 сен 2022, 09:00 Совершенно верно!

Вот! Спасибо огромное! Отдал информацию нашим спецам по мониторингу - дальше разберутся (с заказчиком).

Сообщение **Jackson** » 20 сен 2022, 11:27

alex45 писал(а): ↑19 сен 2022, 12:13 Я стал прорабатывать этот вопрос. Оказалось, что есть специализированные организации, которые могут разработать проект по информационной безопасности и поставить необходимое оборудование со всеми сертификатами. Запросили коммерческие предложения на разработку раздела проекта по информационной безопасности. Цена варьируется от 2 до 5 миллионов рублей.

Так вот раз заказчик просит сам:

alex45 писал(а): ↑19 сен 2022, 12:13 Сейчас в ТЗ на проектирование заказчики везде включают требования к информационной безопасности, и требования о том, чтобы в проекте был раздел по информационной безопасности.

то пусть заказчик в том же ТЗ сначала сам определит категорию ИБ (как мы выше выяснили), запишет её в ТЗ, и только после этого можно приступать. Сказавши "А", пусть заказчик говорит и "Б". Ибо плюс-минус категория - это плюс-минус те самые 2...5 миллионов, что как бы не мелочь, и они за счёт заказчика. А коль эти требования появляются уже после поставки системы, то доработка системы до этих требований - опять за счёт заказчика, потому что в ТЗ оговорено не было.

И разговоры заказчика про то что "ну мы же не знали" - не прокатывают, потому что, как выше писали,

alex45 писал(а): ↑19 сен 2022, 17:44 На это есть Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства РФ от 08.02.2018 № 127). Обратите внимание на интересный пункт 2, в котором говорится, что категорированием должны заниматься владельцы объектов критической информационной инфраструктуры.

, и это можно было легко узнать - вот я меньше чем за сутки у Вас это взял и узнал. Значит и заказчик мог. Или пусть пишет "без категории" чтобы всё как есть оставить.

По-моему, "ну, вот так как-то". (с)

Сообщение **alex45** » 20 сен 2022, 12:44

Jackson писал(а): ↑20 сен 2022, 11:27 то пусть заказчик в том же ТЗ сначала сам определит категорию ИБ

Это идеальный вариант. У меня для примера есть ТЗ, в котором заказчик определил, что у него третья категория по ИБ и на основании этого просит разработать проект по информационной безопасности.
А ещё у меня есть другое ТЗ. Там заказчик сваливает на подрядчика определение категории и результат определения категории подрядчик должен представить заказчику в виде некоего проекта документа, который заказчик потом подпишет и утвердит.

Отправлено спустя 4 минуты 31 секунду:

Jackson писал(а): ↑20 сен 2022, 11:27 опять за счёт заказчика, потому что в ТЗ оговорено не было

Тут вопрос спорный. У нас же есть 187-ФЗ, т.е. все требования по ИБ оговорены в федеральном законе и его подзаконных актах. А значит, даже если требования по ИБ не оговорены в ТЗ, то всё равно их надо выполнять, постольку поскольку этого требует федеральный закон.
Вот если система была поставлена до принятия федерального закона, тогда да, доработка системы до требований 187-ФЗ за дополнительную плату.

Сообщение **Jackson** » 20 сен 2022, 13:46

alex45 писал(а): ↑20 сен 2022, 12:48 Там заказчик сваливает на подрядчика определение категории и результат определения категории подрядчик должен представить заказчику в виде некоего проекта документа, который заказчик потом подпишет и утвердит.

Да понятно что оно по разному бывает. Но ведь это противоречит Правилам категорирования объектов, оно есть федеральный закон (в отличие от ТЗ). Когда вопрос в плюс-минус таких деньгах, я б не стал такой договор подписывать до уточнения. А определение категории можно выполнить на стадии предпроектного обследования, выделив её в отдельный эта работ с отдельными деньгами.

Это я так, фантазирую. Понятно что по-разному по факту выкручиваемся.

alex45 писал(а): ↑20 сен 2022, 12:48 Тут вопрос спорный. У нас же есть 187-ФЗ, т.е. все требования по ИБ оговорены в федеральном законе и его подзаконных актах. А значит, даже если требования по ИБ не оговорены в ТЗ, то всё равно их надо выполнять, постольку поскольку этого требует федеральный закон.

Всё верно. А согласно в/у правилам, кто должен это определить? Владелец объекта. Пусть он сам не хочет, ну в лом ему - хорошо, исследовательскую работу можно кому угодно заказать на подряд. Но подпись под категорией должен ставить первым владелец объекта, а не кто-то другой. И ведь владелец и заказчик - это разные конторы бывают, тоже факт.

Это как с получением ТУ на присоединение к ФСКшным сетям. Его ведь владелец объекта получает, несмотря на то что бумажную работу может выполнять подрядная фирма. Так и здесь - нет?

Сообщение **alex45** » 20 сен 2022, 14:40

Jackson писал(а): ↑20 сен 2022, 13:46 Так и здесь - нет?

Вроде как всё верно сказано.