Промышленная безопасность != информационная безопасность?

Промышленная безопасность != информационная безопасность?
Есть такой Федеральный Закон "О промышленной безопасности опасных производственных объектов" (116-ФЗ). Очень нужный закон, который устанавливает "правовые, экономические и социальные основы обеспечения безопасной эксплуатации опасных производственных объектов и направлен на предупреждение аварий на опасных производственных объектах и обеспечение готовности эксплуатирующих опасные производственные объекты юридических лиц и индивидуальных предпринимателей к локализации и ликвидации последствий указанных аварий". При этом "промышленная безопасность опасных производственных объектов - это состояние защищенности жизненно важных интересов личности и общества от аварий на опасных производственных объектах и последствий указанных аварий". Правда, далее по тексту термин "авария" применяется в связке с "инцидентом", под которым понимается "отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений настоящего Федерального закона, других федеральных законов, принимаемых в соответствии с ними нормативных правовых актов Президента Российской Федерации, нормативных правовых актов Правительства Российской Федерации, а также федеральных норм и правил в области промышленной безопасности" (выделение мое).

А теперь вспомним пресловутый Stuxnet, работа которого заключалась в изменении работы центрифуг, отвечающих за обогащение урана. Иными словами, Stuxnet как раз и привел к отклонению от режима технологического процесса. А значит, если вдруг Stuxnet проявит себя у нас в России (а он сидит много где на отечественных критически важных объектах), то мы будем иметь дело с инцидентом, подпадающим под действие 116-ФЗ о промышленной безопасности. Но это в теории. На практике так уж сложилось, что промышленная безопасность и информационная безопасность никак не связаны; как не связаны  информационная безопасность и безопасность объектов ТЭК из 256-ФЗ; как не связаны информационная безопасность и транспортная безопасность; как не связаны информационная безопасность и безопасность гидротехнических сооружений.

Вроде как причиной инцидентов на всех этих объектах может стать вредоносная программа или иная направленная или случайнай атака (до сих пор ходят слухи о том, что веерное отключение электроэнергии в США несколько лет назад было связано с червем Slammer, а причиной "слепоты" центров управления авиаполетами во время событий 11-го сентября послужила направленная атака), но под действие указанных законов все эти события не попадают.

А куда ж они попадают? А вот фиг знает ;-) Теоретически ими будут заниматься сотрудники ФСБ. Опять же в теории, т.к. нигде сие не прописано и не регламентировано. По промышленной безопасности существует огромное количество различных документов, регламентов, инструкций, выпущенных Ростехнадзором или Росатомнадзором. По безопасности объектов ТЭК также есть документы Минэнерго. А вот по информационной безопасности на этих объектах кроме рекомендательного четверокнижия ФСТЭК по КСИИ 2006-го года и прошлогодних неконкретных " основных направлений ..." от СовБеза у нас нет ничего. Абсолютно ничего . Хотя нет, есть Указ Президента №31с.

Может все-таки пора объединять? Примерно вот так:


Очень высокоуровневая картинка, но объединяющая воедино различные аспекты безопасности критически важных объектов (опасных производств). Тут вам и физическая и технологическая (включая информационную) безопасность; и ликвидация последствия и ранее прогнозирование атак; и государственно-частное партнерство; и надзорные органы и собственники; и риски, ведущие к ущербу...

Или будем ждать когда бахнет?.. И тогда бюджеты можно будет попросить увеличенные.
законодательство SCADA
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь