В чьем ведении находится фстэк

I. Общие положения

1. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

1) обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее — критическая информационная инфраструктура);

(пп. 1 в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

2) противодействия иностранным техническим разведкам на территории Российской Федерации (далее — противодействие техническим разведкам);

3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее — техническая защита информации);

4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

5) осуществления экспортного контроля.

2. ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

(в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну.

ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.

Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации.

3. ФСТЭК России подведомственна Минобороны России.

4. Основными задачами ФСТЭК России являются:

1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

(в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

2) осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

2.1) обеспечение проведения единой государственной политики в области засекречивания сведений при подготовке развернутых перечней сведений, подлежащих засекречиванию;

(пп. 2.1 введен Указом Президента РФ от 08.12.2021 N 698)

3) организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;

4) осуществление самостоятельного нормативно-правового регулирования вопросов:

обеспечения безопасности значимых объектов критической информационной инфраструктуры;

(в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

противодействия техническим разведкам;

технической защиты информации;

размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров Российской Федерации, иных программ и проектов на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации;

координации деятельности государственных органов и организаций по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;

(в ред. Указа Президента РФ от 08.12.2021 N 698)

(см. текст в предыдущей редакции)

осуществления экспортного контроля;

5) обеспечение в пределах своей компетенции безопасности значимых объектов критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

(в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

6) прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;

7) противодействие добыванию информации техническими средствами разведки, техническая защита информации;

8) осуществление координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и организаций по государственному регулированию размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров Российской Федерации, иных программ и проектов на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации;

9) осуществление в пределах своей компетенции контроля деятельности по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

(в ред. Указа Президента РФ от 25.11.2017 N 569)

(см. текст в предыдущей редакции)

9.1) осуществление государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

(пп. 9.1 введен Указом Президента РФ от 25.11.2017 N 569)

10) реализация государственной политики и организация межведомственного взаимодействия в области экспортного контроля;

11) осуществление государственного контроля за соблюдением российскими участниками внешнеэкономической деятельности законодательства Российской Федерации в области экспортного контроля;

(пп. 11 в ред. Указа Президента РФ от 22.05.2023 N 366)

(см. текст в предыдущей редакции)

12) осуществление центральным аппаратом ФСТЭК России организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны и Комиссии по экспортному контролю Российской Федерации.

5. ФСТЭК России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации, приказами и директивами Министра обороны Российской Федерации в части, касающейся ФСТЭК России, настоящим Положением, а также другими нормативными правовыми актами Российской Федерации, касающимися деятельности ФСТЭК России.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

6. ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы.

ФСТЭК России и ее территориальные органы входят в состав государственных органов обеспечения безопасности.

Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (далее — головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации.

6(1). ФСТЭК России обеспечивает в пределах своей компетенции создание информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов критической информационной инфраструктуры и функционирование этой системы.

(п. 6(1) введен Указом Президента РФ от 08.11.2023 N 846)

7. ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России)

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

Утверждено
Указом Президента
Российской Федерации
от 16 августа 2004 г. N 1085

ПОЛОЖЕНИЕ
О ФЕДЕРАЛЬНОЙ СЛУЖБЕ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(в ред. Указов Президента РФ от 30.11.2006 N 1321, от 23.10.2008 N 1517, от 17.11.2008 N 1625, от 08.02.2012 N 146)

I. Общие положения

1) обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (далее — ключевые системы информационной инфраструктуры), в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям (далее — безопасность информации в ключевых системах информационной инфраструктуры);

(пп. 1 в ред. Указа Президента РФ от 30.11.2006 N 1321)

5) осуществления экспортного контроля.

2. ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

(в ред. Указа Президента РФ от 30.11.2006 N 1321)

Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации.

3. ФСТЭК России подведомственна Минобороны России.

4. Основными задачами ФСТЭК России являются:

1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

4) осуществление самостоятельного нормативно-правового регулирования вопросов:

обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

противодействия техническим разведкам;

технической защиты информации;

координации деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;

осуществления экспортного контроля;

5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

7) противодействие добыванию информации техническими средствами разведки, техническая защита информации;

9) осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

11) осуществление контроля за соблюдением российскими участниками внешнеэкономической деятельности законодательных и иных нормативных правовых актов Российской Федерации в области экспортного контроля;

6. ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы.

ФСТЭК России и ее территориальные органы входят в состав государственных органов обеспечения безопасности.

8. ФСТЭК России осуществляет следующие полномочия:

1) разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий, обрабатывающих информацию ограниченного доступа (далее — информационные системы, созданные с использованием суперкомпьютерных и грид-технологий), по противодействию техническим разведкам и по технической защите информации;

(пп. 1 в ред. Указа Президента РФ от 08.02.2012 N 146)

2) разрабатывает и вносит в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации проекты законодательных и иных нормативных правовых актов Российской Федерации по вопросам своей деятельности;

3) издает нормативные правовые акты по вопросам своей деятельности;

4) разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание за счет средств, выделяемых из федерального бюджета ФСТЭК России на эти цели;

5) организует и финансирует работы по изучению излучений различной физической природы, возникающих при использовании неинформационных излучающих комплексов, систем и устройств;

6) осуществляет межотраслевую координацию деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

7) осуществляет в пределах своей компетенции контроль за состоянием работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий по противодействию техническим разведкам и по технической защите информации;

(в ред. Указа Президента РФ от 08.02.2012 N 146)

8) осуществляет в пределах своей компетенции межведомственный контроль за обеспечением защиты государственной тайны, контроль за соблюдением лицензионных требований и условий, а также рассмотрение дел об административных правонарушениях;

9) вносит в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам своей деятельности;

10) выдает предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;

11) организует радиоконтроль за соблюдением установленного порядка передачи служебной информации должностными лицами организаций, выполняющих работы, связанные со сведениями, составляющими государственную и (или) служебную тайну, при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки, подготавливает предложения, направленные на предотвращение утечки информации по указанным каналам;

12) организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации;

13) организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры;

(в ред. Указа Президента РФ от 30.11.2006 N 1321)

13.1) разрабатывает и устанавливает в пределах своей компетенции обязательные требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, к продукции (работам, услугам), сведения о которой составляют государственную тайну, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, издает по данному вопросу нормативные правовые акты; разрабатывает и утверждает методические документы;

(пп. 13.1 введен Указом Президента РФ от 17.11.2008 N 1625)

14) выполняет в установленном порядке специальные работы по противодействию техническим разведкам и по технической защите информации;

15) организует использование активных средств противодействия техническим разведкам;

16) участвует совместно с ФСБ России в проведении специальных экспертиз по допуску организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, а также принимает участие в проведении государственной аттестации руководителей организаций, ответственных за защиту указанных сведений;

17) координирует деятельность федеральных органов исполнительной власти по организации технической защиты информации, по предотвращению ее утечки при использовании неинформационных излучающих комплексов, систем и устройств;

18) осуществляет методическое руководство деятельностью аппаратов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий противодействия техническим разведкам и технической защиты информации;

(в ред. Указа Президента РФ от 08.02.2012 N 146)

19) осуществляет методическое руководство деятельностью федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации по созданию и совершенствованию систем противодействия техническим разведкам и технической защиты информации;

20) организует работы по изучению влияния неинформационных излучающих комплексов, систем и устройств на организм человека и окружающую среду;

21) проводит работы по прогнозированию развития сил, средств и возможностей технических разведок, по выявлению угроз безопасности информации, по оценке предполагаемой осведомленности технических разведок о сведениях, составляющих государственную тайну, и формирует банк данных по этим вопросам, а также определяет порядок доступа к указанному банку данных заинтересованных федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и организаций;

22) организует совместно с заинтересованными федеральными органами исполнительной власти разработку и согласование в установленном порядке федеральных целевых программ (государственных программ) обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам, технической защиты информации, защиты государственной тайны;

23) организует разработку программ стандартизации, технических регламентов и национальных стандартов в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, обеспечения безопасности применяемых информационных технологий, а также в области противодействия техническим разведкам и технической защиты информации;

24) определяет основные направления научных исследований и в пределах своей компетенции является государственным заказчиком общесистемных научных исследований в области защиты государственной тайны, обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам, технической защиты информации и экспортного контроля, государственным заказчиком федеральных целевых программ (государственных программ) в данных областях, а также государственным заказчиком по разработке и производству технических средств противодействия техническим разведкам и технической защиты информации общего применения, средств контроля за эффективностью проводимых мероприятий по противодействию техническим разведкам и по технической защите информации;

25) разрабатывает предложения по развитию научной, экспериментальной и производственной базы, организует проведение научно-исследовательских и опытно-конструкторских работ в целях повышения эффективности решения вопросов, касающихся деятельности ФСТЭК России;

26) разрабатывает и вносит в установленном порядке в Правительство Российской Федерации согласованные с заинтересованными федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации предложения о внесении изменений в перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан;

27) осуществляет выдачу заключений о возможностях размещения и использования на сухопутной территории Российской Федерации иностранных технических средств наблюдения и контроля, поставляемых иностранной стороной в ходе реализации международных научных и научно-технических программ и проектов, организует и осуществляет контроль за соблюдением организациями-заявителями установленных дополнительных условий и требований, организует проведение необходимых экспертиз;

28) участвует в пределах своей компетенции в согласовании вопросов выдачи соответствующими федеральными органами исполнительной власти разрешений на проведение морских научных или ресурсных исследований во внутренних морских водах, в территориальном море, на континентальном шельфе и в исключительной экономической зоне Российской Федерации;

29) участвует в разработке и проведении мероприятий по противодействию техническим разведкам и по технической защите информации в федеральных органах исполнительной власти и органах исполнительной власти субъектов Российской Федерации;

30) организует разработку системы критериев отнесения функционирующих в составе критически важных объектов Российской Федерации информационных систем и телекоммуникационных сетей к числу защищаемых от деструктивных информационных воздействий, а также требований к обеспечению безопасности информации в ключевых системах информационной инфраструктуры и представляет на утверждение в установленном порядке указанные систему критериев и требования;

(пп. 30 в ред. Указа Президента РФ от 30.11.2006 N 1321)

31) организует и осуществляет экспертизу тактико-технических и технических заданий на создание ключевых систем информационной инфраструктуры, научно-техническое сопровождение и экспертизу работ по обеспечению безопасности информации в указанных системах в ходе их проектирования, строительства и эксплуатации;

31.1) организует разработку и осуществляет учет перечней функционирующих в составе критически важных объектов Российской Федерации информационных систем и телекоммуникационных сетей, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям (за исключением функционирующих в составе критически важных объектов Российской Федерации информационно-телекоммуникационных систем и сетей Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПа);

(пп. 31.1 введен Указом Президента РФ от 30.11.2006 N 1321)

31.2) согласовывает в установленном порядке разрешения на ввод в эксплуатацию ключевых систем информационной инфраструктуры;

(пп. 31.2 введен Указом Президента РФ от 30.11.2006 N 1321)

31.3) организует совместно с заинтересованными федеральными органами исполнительной власти проведение межведомственных экспертиз реального уровня безопасности информации в ключевых системах информационной инфраструктуры;

(пп. 31.3 введен Указом Президента РФ от 30.11.2006 N 1321)

31.4) проводит совместно с заинтересованными федеральными органами исполнительной власти мониторинг безопасности информации в ключевых системах информационной инфраструктуры;

(пп. 31.4 введен Указом Президента РФ от 30.11.2006 N 1321)

31.5) участвует в пределах своей компетенции в разработке и реализации мер по обеспечению безопасности информации при подключении ключевых систем информационной инфраструктуры к информационным системам и телекоммуникационным сетям общего пользования;

(пп. 31.5 введен Указом Президента РФ от 30.11.2006 N 1321)

31.6) осуществляет анализ и прогноз ситуаций в сфере безопасности информации в ключевых системах информационной инфраструктуры;

(пп. 31.6 введен Указом Президента РФ от 30.11.2006 N 1321)

31.7) разрабатывает и устанавливает в пределах своей компетенции требования по обеспечению безопасности информации в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий;

(пп. 31.7 введен Указом Президента РФ от 08.02.2012 N 146)

32) участвует в решении вопросов организации противодействия техническим разведкам и технической защиты информации в процессе осуществления военно-технического сотрудничества Российской Федерации с иностранными государствами;

33) участвует в согласовании проектов решений по комплектации экспортируемой продукции военного назначения, организует и проводит необходимые экспертизы;

34) участвует в согласовании вопросов размещения на территории Российской Федерации дипломатических представительств и консульских учреждений иностранных государств;

35) участвует в пределах своей компетенции в разработке и реализации мероприятий по обеспечению информационной безопасности Российской Федерации;

36) осуществляет методическое руководство работами по противодействию техническим разведкам и по технической защите информации в ходе подготовки и реализации международных договоров Российской Федерации в сфере укрепления мер доверия, сокращения (ограничения) вооруженных сил и вооружений, а также при функционировании на территории Российской Федерации предприятий с иностранными инвестициями и при введении режимов открытости;

37) рассматривает (разрабатывает) предложения в целях определения позиции государственных делегаций Российской Федерации при проведении международных переговоров, обеспечивающие создание условий для противодействия техническим разведкам и для технической защиты информации;

38) участвует в осуществлении контроля за проведением мероприятий по предотвращению утечки по техническим каналам информации, составляющей государственную тайну, и конфиденциальной информации, не относящейся к выполнению обязательств Российской Федерации по Конвенции о запрещении разработки, производства, накопления и применения химического оружия и о его уничтожении;

39) участвует в обеспечении контроля за сертификацией и аттестацией автоматизированных систем, используемых в управлении технологическим процессом по уничтожению химического оружия, в том числе автоматизированных линий расснаряжения химических боеприпасов, с учетом требований информационной безопасности;

40) участвует совместно с заинтересованными федеральными органами исполнительной власти в досмотре инспекционного оборудования Организации по запрещению химического оружия в пункте въезда в Российскую Федерацию (выезда из Российской Федерации);

41) осуществляет методическое руководство подготовкой, переподготовкой и повышением квалификации специалистов, работающих в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

42) осуществляет координацию деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, и методическое руководство этой деятельностью, согласовывает проекты развернутых перечней сведений, подлежащих засекречиванию, осуществляет контроль за своевременностью пересмотра утвержденных развернутых перечней сведений, подлежащих засекречиванию;

43) организует работы по рассекречиванию документов КПСС и рассмотрению архивных документов Правительства СССР в целях их рассекречивания или продления установленных сроков засекречивания;

44) осуществляет в пределах своей компетенции координацию деятельности по реализации программ обеспечения защиты государственной тайны, организует выполнение мероприятий, предусмотренных указанными программами;

45) обеспечивает проведение экспортного контроля в соответствии с законодательством Российской Федерации и приказами Министра обороны Российской Федерации;

46) разрабатывает с участием заинтересованных федеральных органов исполнительной власти и организаций для представления в установленном порядке проекты списков (перечней) товаров (работ, услуг), информации, результатов интеллектуальной деятельности, подлежащих экспортному контролю;

47) организует и проводит в установленном порядке государственную экспертизу внешнеэкономических сделок в отношении товаров (работ, услуг), информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники;

48) участвует в реализации государственной политики в области нераспространения оружия массового поражения и иных наиболее опасных видов оружия, а также в области контроля за экспортом товаров (работ, услуг), информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники;

49) организует с участием заинтересованных федеральных органов исполнительной власти и организаций создание единой информационной системы экспортного контроля и обмен информацией между ФСТЭК России и заинтересованными федеральными органами исполнительной власти;

50) обеспечивает в пределах своей компетенции участие Российской Федерации в международных режимах экспортного контроля;

51) осуществляет мероприятия, направленные на предупреждение нарушений законодательства Российской Федерации об экспортном контроле и международных обязательств Российской Федерации в этой области;

52) организует работу по информированию российских участников внешнеэкономической деятельности о целях, процедурах и правилах осуществления экспортного контроля;

53) участвует в рассмотрении вопросов торгово-экономического и научно-технического сотрудничества Российской Федерации с иностранными государствами в части, касающейся осуществления экспортного контроля;

54) организует в соответствии с законодательством Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации;

55) участвует в пределах своей компетенции в подготовке предложений о введении ограничений и (или) запретов на экспорт и (или) импорт товаров (работ, услуг), информации, результатов интеллектуальной деятельности, исходя из национальных интересов и международных обязательств Российской Федерации;

56) осуществляет в пределах своей компетенции нетарифное регулирование внешнеторговой деятельности, в том числе выдает лицензии на осуществление операций по экспорту и (или) импорту товаров (работ, услуг), информации, результатов интеллектуальной деятельности в случаях, предусмотренных законодательством Российской Федерации;

57) определяет порядок и форму учета внешнеэкономических сделок в целях осуществления экспортного контроля;

58) участвует в подготовке и реализации мероприятий по гармонизации и унификации национальных законодательств в области экспортного контроля государств — участников Содружества Независимых Государств и государств — членов Евразийского экономического сообщества на основе общепризнанных принципов и норм международного права;

59) участвует в рассмотрении вопросов, касающихся присоединения Российской Федерации к международным экономическим санкциям в отношении одного государства или ряда государств;

60) осуществляет в пределах своей компетенции контроль за экспортом и (или) импортом товаров (работ, услуг), информации, результатов интеллектуальной деятельности, в отношении которых применяются меры нетарифного регулирования, выдает заключения о применении мер нетарифного регулирования при осуществлении внешнеэкономической деятельности;

61) ведет федеральную базу данных о выданных экспортных и импортных разрешительных документах в отношении продукции, подпадающей под экспортный контроль;

62) участвует в деятельности по предотвращению несанкционированного реэкспорта из Российской Федерации товаров двойного назначения, ввезенных в Российскую Федерацию с предоставлением государственных гарантий их использования в заявленных целях, выдает в установленном порядке российские импортные сертификаты;

63) осуществляет методическое руководство проведением независимой идентификационной экспертизы товаров и технологий и контроль за ее проведением, ведет реестр организаций, получивших специальные разрешения на проведение такой экспертизы;

64) осуществляет в пределах своей компетенции международное сотрудничество, участвует в проведении мероприятий по международному информационному обмену, а также в разработке и реализации программ международного сотрудничества в области защиты информации, а также в области экспортного контроля;

65) организует и обеспечивает проведение мероприятий по мобилизационной подготовке и мобилизации в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации;

66) осуществляет иные функции в установленной сфере деятельности в соответствии с федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации.

9. ФСТЭК России в целях реализации своих полномочий имеет право:

1) вносить в установленном порядке Президенту Российской Федерации, в Правительство Российской Федерации и Совет Безопасности Российской Федерации предложения по нормативно-правовому регулированию в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также в области экспортного контроля;

2) осуществлять контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти (в Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПе — по согласованию с руководителями указанных органов), в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях, определять порядок, формы и методы осуществляемого в пределах своей компетенции контроля;

(в ред. Указа Президента РФ от 30.11.2006 N 1321)

3) контролировать с применением технических средств эффективность защиты:

объектов, на которых выполняются работы, связанные со сведениями, составляющими государственную и (или) служебную тайну;

образцов вооружения и военной техники при их разработке, производстве и полигонных испытаниях (военных объектов, образцов вооружения и военной техники при испытаниях на полигонах Минобороны России — по согласованию с Минобороны России, а на полигонах, находящихся в иностранных государствах, — и по согласованию с СВР России);

информации в ключевых системах информационной инфраструктуры, в информационных системах, в средствах и системах связи и управления, в том числе от специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней (в отношении технических средств и систем Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПа, а также объектов и технических средств федеральных органов государственной власти, защита которых входит в их компетенцию, — по согласованию с руководителями указанных органов);

4) осуществлять радиоконтроль за соблюдением установленного порядка передачи служебной информации должностными лицами организаций, выполняющих работы, связанные со сведениями, составляющими государственную и (или) служебную тайну, при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки;

5) контролировать размещение и использование иностранных технических средств наблюдения и контроля в ходе реализации международных договоров Российской Федерации, иных программ и проектов на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации;

5.1) осуществлять мониторинг безопасности информации в ключевых системах информационной инфраструктуры;

(пп. 5.1 введен Указом Президента РФ от 30.11.2006 N 1321)

6) осуществлять контроль за организацией противодействия техническим разведкам и технической защиты информации при проведении мероприятий по мобилизационной подготовке и мобилизации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

7) выдавать предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;

8) запрашивать и получать от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также от организаций и должностных лиц необходимые для осуществления деятельности ФСТЭК России информацию, документы и материалы, в том числе добытые по специальным каналам;

9) приостанавливать или отменять действие выданных сертификатов;

10) вносить в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам ее деятельности;

11) рассматривать в пределах своей компетенции дела об административных правонарушениях;

12) издавать в пределах своей компетенции нормативные правовые акты, методические документы и индивидуальные правовые акты;

13) проводить работы с использованием активных средств противодействия техническим разведкам;

14) отказывать при наличии соответствующих оснований в выдаче лицензий, осуществлять контроль за соблюдением соответствующих лицензионных требований и условий организациями, имеющими лицензии ФСТЭК России, при осуществлении ими лицензируемых видов деятельности, приостанавливать в установленном порядке действие выданных лицензий;

15) разрабатывать и вносить в установленном порядке в Правительство Российской Федерации согласованные с заинтересованными федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации предложения о внесении изменений в перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан;

16) заслушивать на заседаниях коллегии ФСТЭК России должностных лиц, уполномоченных руководителями федеральных органов исполнительной власти, по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также должностных лиц, ответственных за организацию противодействия техническим разведкам и технической защиты информации в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

17) утверждать квалификационные требования к специалистам, работающим в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, согласовывать учебные программы подготовки, переподготовки и повышения квалификации указанных специалистов;

18) назначать и (или) проводить в случаях и в порядке, предусмотренных законодательством Российской Федерации, проверки финансово-хозяйственной деятельности лиц, осуществляющих внешнеэкономические операции с товарами (работами, услугами), информацией и результатами интеллектуальной деятельности;

19) создавать, реорганизовывать и ликвидировать в установленном порядке свои территориальные органы и подведомственные организации;

20) вести соответствующие реестры;

21) заключать гражданско-правовые договоры;

22) организовывать и проводить в пределах своей компетенции семинары, конференции и симпозиумы, в том числе международные.

III. Организация деятельности

10. ФСТЭК России возглавляет директор Федеральной службы по техническому и экспортному контролю (далее — директор), назначаемый на должность и освобождаемый от должности Президентом Российской Федерации по представлению Председателя Правительства Российской Федерации.

Директор несет персональную ответственность за осуществление возложенных на ФСТЭК России полномочий.

Директор имеет заместителей, назначаемых на должность и освобождаемых от должности Президентом Российской Федерации по представлению Председателя Правительства Российской Федерации.

Количество заместителей директора устанавливается Президентом Российской Федерации.

1) осуществляет общее руководство деятельностью ФСТЭК России;

2) организует работу ФСТЭК России, распределяет обязанности между своими заместителями, определяет полномочия других должностных лиц;

3) организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации;

4) по согласованию с Министром обороны Российской Федерации докладывает Президенту Российской Федерации по вопросам, отнесенным к компетенции ФСТЭК России;

5) докладывает Министру обороны Российской Федерации об исполнении поручений, отданных им во исполнение поручений Президента Российской Федерации и Председателя Правительства Российской Федерации;

6) вносит в установленном порядке на рассмотрение Президента Российской Федерации и в Правительство Российской Федерации проекты нормативных правовых актов и предложения по совершенствованию законодательства Российской Федерации в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также в области экспортного контроля;

7) издает нормативные правовые акты, методические документы и индивидуальные правовые акты, контролирует их исполнение;

8) представляет ФСТЭК России во взаимоотношениях с федеральными органами государственной власти, иными государственными органами и организациями;

9) запрашивает и получает в установленном порядке от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, а также организаций и должностных лиц необходимые для осуществления деятельности ФСТЭК России информацию, документы и материалы, в том числе добытые по специальным каналам;

10) образовывает в установленном порядке межведомственные рабочие и экспертные группы, привлекает для осуществления экспертных работ и проведения экспертиз в установленной сфере деятельности научные и иные организации, ученых и специалистов, в том числе на договорной основе;

11) организует в ФСТЭК России рассмотрение дел об административных правонарушениях, определяет порядок рассмотрения указанных дел;

12) подписывает в установленном порядке международные договоры межведомственного характера по вопросам, касающимся деятельности ФСТЭК России;

13) решает в установленном порядке вопросы, связанные с приемом в ФСТЭК России иностранных делегаций (представителей) и командированием делегаций (работников) ФСТЭК России в иностранные государства;

14) представляет на утверждение Министра обороны Российской Федерации ежегодный план деятельности ФСТЭК России, а также отчет о его исполнении;

15) представляет Министру обороны Российской Федерации для последующего внесения в Правительство Российской Федерации проект положения о ФСТЭК России, а также предложения о предельной штатной численности центрального аппарата и территориальных органов ФСТЭК России и фонде оплаты труда их работников;

16) утверждает структуру и штатное расписание центрального аппарата ФСТЭК России в пределах установленных численности и фонда оплаты труда работников, а также смету центрального аппарата ФСТЭК России в пределах утвержденных на соответствующий период ассигнований, предусмотренных в федеральном бюджете;

17) утверждает в пределах установленных численности и фонда оплаты труда работников структуру и штатное расписание территориальных органов ФСТЭК России, а также их сметы в пределах утвержденных на соответствующий период ассигнований, предусмотренных в федеральном бюджете;

18) утверждает положения о структурных подразделениях центрального аппарата ФСТЭК России и положения о территориальных органах ФСТЭК России;

19) утверждает в установленном порядке устав головной научной организации по проблемам защиты информации, принимает решения об изменении ее устава, о создании ее филиалов и открытии представительств, о реорганизации указанной организации;

20) утверждает в установленном порядке уставы организаций, подведомственных ФСТЭК России;

21) назначает в установленном порядке на должность и освобождает от должности работников центрального аппарата ФСТЭК России, военнослужащих, прикомандированных к ФСТЭК России, руководителей и заместителей руководителей территориальных органов ФСТЭК России, руководителей подведомственных ей организаций;

22) заключает, изменяет, расторгает в соответствии с законодательством Российской Федерации трудовые договоры с работниками центрального аппарата ФСТЭК России, руководителями и заместителями руководителей территориальных органов ФСТЭК России, руководителями подведомственных ей организаций;

23) ходатайствует о заключении нового контракта о прохождении военной службы с военнослужащими, прикомандированными к ФСТЭК России, по окончании срока предыдущего контракта;

24) определяет приоритетные направления деятельности головной научной организации по проблемам защиты информации, принципы формирования и использования ее имущества;

25) вносит в установленном порядке предложения по формированию федерального бюджета и финансированию ФСТЭК России;

26) является главным распорядителем средств, получаемых ФСТЭК России из федерального бюджета, распределяет средства, поступающие в соответствии с законодательством Российской Федерации из иных источников финансирования;

27) вносит в установленном порядке предложения об изменении предельной штатной численности центрального аппарата ФСТЭК России и ее территориальных органов, а также фонда оплаты труда их работников;

28) решает в соответствии с законодательством Российской Федерации о государственной службе и трудовым законодательством Российской Федерации вопросы, связанные с прохождением федеральной государственной службы и осуществлением трудовой деятельности в ФСТЭК России, издает в пределах своей компетенции нормативные правовые акты по указанным вопросам;

29) определяет порядок и условия выплаты работникам центрального аппарата ФСТЭК России, ее территориальных органов и головной научной организации по проблемам защиты информации доплат, надбавок, премий и других видов вознаграждения, предусмотренных законодательством Российской Федерации;

30) заключает в установленном порядке договоры с научными организациями на выполнение научно-исследовательских и опытно-конструкторских работ в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам, технической защиты информации, защиты государственной тайны, экспортного контроля, а также договоры на разработку и производство средств противодействия техническим разведкам и технической защиты информации общего применения и средств контроля;

31) организует проверки деятельности территориальных органов ФСТЭК России и подведомственных ей организаций, в том числе осуществляет контроль их финансовой и хозяйственной деятельности;

32) утверждает документы на списание с учета пришедших в негодное (предельное) состояние или утраченных материальных ценностей и денежных средств, а также материально-технических средств, отслуживших установленные сроки эксплуатации, независимо от их стоимости;

33) использует государственные, в том числе правительственные, системы связи и телекоммуникаций;

34) утверждает в соответствии с законодательством Российской Федерации перечень сведений, подлежащих засекречиванию ФСТЭК России;

35) определяет порядок формирования, использования, предоставления и защиты федеральных информационных ресурсов в пределах полномочий ФСТЭК России;

36) представляет в установленном порядке особо отличившихся работников центрального аппарата ФСТЭК России, территориальных органов ФСТЭК России, головной научной организации по проблемам защиты информации, других подведомственных ФСТЭК России организаций к награждению государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, присвоению почетных званий, а также к поощрению в виде объявления им благодарности Президента Российской Федерации;

(пп. 36 в ред. Указа Президента РФ от 23.10.2008 N 1517)

37) ходатайствует перед Министром обороны Российской Федерации о награждении в установленном порядке работников ФСТЭК России именным огнестрельным и холодным оружием;

38) утверждает образцы и определяет порядок выдачи служебных удостоверений работникам ФСТЭК России;

39) учреждает ведомственные награды: почетные звания, ведомственные знаки отличия, почетные грамоты — для награждения работников ФСТЭК России, а также лиц, оказывающих содействие в решении возложенных на нее задач, утверждает положения об этих наградах, их описания и рисунки, определяет порядок награждения;

40) имеет наградной и подарочный фонды для награждения работников ФСТЭК России, а также других лиц, оказывающих содействие в решении возложенных на нее задач;

41) принимает в соответствии с законодательством Российской Федерации решения о выезде за пределы Российской Федерации работников ФСТЭК России и подведомственных ей организаций;

42) руководит осуществлением мобилизационной подготовки и мобилизации в ФСТЭК России, ее территориальных органах и подведомственных ей организациях;

43) осуществляет другие полномочия в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами Российской Федерации.

12. В ФСТЭК России образуется коллегия, членами которой по должности являются руководящие работники федеральных органов исполнительной власти, государственных органов и организаций Российской Федерации в соответствии с перечнем, утверждаемым Президентом Российской Федерации по представлению Министра обороны Российской Федерации.

Персональный состав коллегии ФСТЭК России утверждается Правительством Российской Федерации, регламент работы — директором ФСТЭК России.

На заседания коллегии ФСТЭК России выносятся наиболее важные вопросы в установленной сфере деятельности, имеющие межведомственный характер.

13. Финансирование расходов на обеспечение деятельности центрального аппарата ФСТЭК России и ее территориальных органов осуществляется за счет средств федерального бюджета, предусмотренных на национальную безопасность и правоохранительную деятельность.

14. ФСТЭК России, ее территориальные органы, головная научная организация по проблемам защиты информации и подведомственные ФСТЭК России организации являются юридическими лицами, имеют действительные и условные наименования, печати с изображением Государственного герба Российской Федерации и со своими наименованиями, иные печати, штампы и бланки установленного образца, а также счета, открываемые в соответствии с законодательством Российской Федерации.

ФСТЭК России имеет геральдический знак — эмблему и флаг.

15. Местонахождение ФСТЭК России — г. Москва.

Информационная безопасность АСУ ТП КВО

Сложно переоценить безопасность автоматизированных систем управления технологическими процессами критически важных объектов (АСУ ТП КВО). Нарушения в их работе могут повлечь за собой не только нарушение или полный отказ технологического процесса и экономические убытки, но и другие катастрофические последствия, связанные с безопасностью людей и серьезным ущербом для окружающей среды. В этой связи важно понимать, что обеспечение безопасности АСУ ТП КВО (как физической, так и информационной) — приоритетная задача для любого производства

Технологические аспекты

Если физическая безопасность критически важных объектов может быть решена на самом высоком уровне, то некоторые проблемы информационной безопасности (ИБ) вызывают ряд вопросов. Эти проблемы не являются уникальными для АСУ ТП КВО — они встречаются и в корпоративных сетях. Но несмотря на разную степень критичности, их распространенность в первом и втором случае несопоставима: в корпоративных сетях такие проблемы чаще бывают решены, в АСУ ТП КВО — гораздо реже. Это обусловлено несколькими заблуждениями:

будто бы достаточно обеспечить защиту периметра АСУ ТП на логическом и физическом уровнях (межсетевое экранирование, пропускной и внутриобъектовый режим);
якобы АСУ ТП безопасна, потому что взломщик никогда не поймет, как она работает;
считается, что `наши АСУ ТП` не интересны для атак.

По статистике NIST (National Institute of Standards and Technology), опубликованной в `Руководстве по безопасности автоматизированных систем управления` (Guide to Industrial Control Systems (ICS) Security, Special publication 800-82), самыми опасными являются нацеленные внешние атаки. Хотя при этом они и самые малочисленные. Наиболее вероятными считаются непреднамеренные угрозы и рассерженные сотрудники, в том числе и бывшие [1] .

Обновление программного обеспечения

Как правило, установка обновлений безопасности на компоненты АСУ ТП осуществляется очень редко. Обусловлено это несколькими факторами:

необходимость непрерывности технологического процесса (для установки обновления может потребоваться перезагрузка/выключение АСУ ТП);
недопустимость автоматического обновления и необходимость предварительного тестирования обновлений в силу критичности АСУ ТП КВО;
зависимость от разработчика программного обеспечения АСУ ТП.

Отсутствие своевременных обновлений позволяет злоумышленникам нанести вред системе, используя известные уязвимости ПО. Для всех системных компонентов и ПО должны быть установлены самые последние обновления безопасности, предоставленные производителями.

Управление доступом и парольная политика

Для работы на операторских/диспетчерских рабочих станциях часто используются административные учетные записи с легкими для перебора или угадывания паролями. При этом они могут быть `зашиты` весьма небезопасным способом и храниться (передаваться) в открытом виде. А иногда этих паролей может и вовсе не быть.

Таким образом, достаточно получить физический доступ к данному компоненту АСУ ТП, чтобы в дальнейшем скомпрометировать всю систему. В качестве оправдания владельцы АСУ ТП КВО обычно указывают на требование непрерывности технологического (производственного) процесса или мониторинга. По их мнению, процедуры идентификации и аутентификации пользователей (операторов и диспетчеров), которым сложно запоминать длинные пароли, могут этой непрерывности помешать. В качестве компенсационной меры они считают достаточной организацию строгого пропускного и внутриобъектового режима. Максут Шадаев на TAdviser SummIT — о вызовах в цифровизации госсектора, давлении китайских ИТ-поставщиков и перспективах ИИ

Но действительно ли этого достаточно? Чтобы ответить на данный вопрос, можно вспомнить внутренних нарушителей, социальную инженерию, а также обычные вирусные заражения, которые могут привести к плачевным результатам.

Управление инцидентами

Процессы управления инцидентами ИБ, как правило, не документированы и не осуществляются должным образом. Между тем предприятию необходимо определить, какие события и на каких компонентах АСУ ТП должны отслеживаться, а также кто и как часто должен осуществлять их мониторинг и анализ.

Характерный пример: по результатам оценки рисков установка ограничений по количеству попыток ввода пароля может быть признана опасной с точки зрения обеспечения непрерывности технологического процесса. Но в таком случае в качестве компенсационной меры обязательно должен вестись мониторинг событий неправильного ввода пароля. Эта мера может помочь своевременно выявить заражение компонентов АСУ ТП вредоносным ПО, которое часто сопровождается попытками подбора паролей для дальнейшего заражения и распространения.

Отсутствие системы мониторинга ИБ-событий и реагирования на инциденты не позволяет оперативно отслеживать возникающие критические события и деструктивные действия злоумышленников, чтобы своевременно принять необходимые и адекватные меры противодействия. Вместе с тем организацию системы централизованного сбора и анализа событий ИБ сложно отнести к дорогостоящим процедурам. По крайней мере, она не требует покупки программно-аппаратных комплексов, которые стоят больших денег.

Мониторинг сетевой инфраструктуры АСУ ТП

Мониторинг сетевой инфраструктуры АСУ ТП КВО часто ограничивается выявлением неисправностей или сбоев сетевого оборудования. В отсутствие средств обнаружения вторжений невозможно определять атаки на сетевые ресурсы и своевременно противодействовать им. Это особенно критично, если технологическая сеть подключена к корпоративной, а корпоративная — к Интернету.

С учетом требований к непрерывности технологических процессов рекомендуется использовать системы пассивного обнаружения вторжений, которые будут осуществлять анализ сетевого трафика без вмешательства в процессы передачи данных.

Осведомленность сотрудников в области ИБ

Еще одной существенной проблемой для безопасности АСУ ТП КВО является неосведомленность в области ИБ персонала, обслуживающего АСУ ТП. Знание и соблюдение простейших правил информационной безопасности может предотвратить как минимум реализацию непреднамеренных угроз безопасности АСУ ТП. А осознание того, что служба безопасности отслеживает и контролирует действия обслуживающего персонала, может снизить вероятность реализации преднамеренных угроз.

Отмеченные выше ИБ-проблемы не исчерпывают весь перечень. Вместе с тем нужно отметить, что владельцы АСУ ТП КВО, отечественные и зарубежные регуляторы, ИБ-интеграторы все чаще правильно оценивают их критичность и необходимость решать их.

Вопросы регулирования

Роль ФСТЭК в обеспечении ИБ

ФСТЭК России в соответствии с положением о федеральной службе осуществляет полномочия по обеспечению безопасности ключевых систем информационной инфраструктуры, в том числе – обеспечение безопасности в АСУ ТП критически важных объектов.

Первоочередное внимание в этом уделяется безопасности систем управления организаций ОПК, систем управления объектами атомной и гидроэнергетики, добычи и транспортировки нефти и газа, управления транспорта. В ФСТЭК отмечают, что объекты таких организаций находятся не только под пристальным вниманием террористических организаций, но также под вниманием иностранных спецслужб. Нарушение работы автоматизированных систем на этих объектах может привести к гибели людей, к технологическим и экологическим катастрофам, потере госуправления и к другим чрезвычайным ситуациям.

Критически важные объекты атомной отрасли — в приоритетах по обеспечению ИБ

Нормативно-правовые акты ФСТЭК

В числе мер по обеспечению информационной безопасности (ИБ) автоматизированных систем критически важных объектов – разработка нормативно-правовых актов, методических документов, национальных стандартов. Основными документами ФСТЭК для обеспечения ИБ критически важных объектов, действующими по состоянию на середину 2015 года, является группа документов, изданных службой в 2007 году. В их числе — базовая модель угроз безопасности и методика определения актуальных угроз безопасности в ключевых системах информационной инфраструктуры.

Рассказывая о нормативно-правовой базе обеспечения безопасности АСУ ТП критических объектов в рамках конференции «Безопасность критически важных объектов ТЭК» в июне 2015 года, заместитель начальника управления ФСТЭК Дмитрий Шевцов в своем докладе отметил, что наиболее важным документом, выпущенным их службой в части обеспечения ИБ АСУ ТП критически важных объектов, является приказ №31. Документ был издан в марте 2014 года, а в 2015 году был зарегистрирован Минюстом России.

Данный приказ утверждает требования к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, а также на объектах повышенной опасности для жизни и здоровья людей и природной среды. По словам Шевцова, к разработке этих требований привлекались специалисты ФСБ, Минэнерго, Минпромторга, Минтранса, Роскосмоса, «Росатома», «Газпрома» и ряда других государственных и частных организаций, в ведении которых находятся критически важные объекты. При разработке документа был учтен не только российский опыт, но и передовой опыт иностранных государств.

Представитель ФСТЭК также пояснил, что приказом определен гибкий подход по заданию требований к обеспечению защиты информации в автоматизированных системах управления, который позволяет учитывать и нейтрализовывать все актуальные угрозы для владельца объекта, а также позволяет учитывать все структурно-функциональные характеристики и нюансы этого объекта.

В 2016-2017 гг. в развитие приказа №31 ФСТЭК планирует выпустить методический документ, определяющий меры защиты информации в автоматизированных системах управления. Еще одним документом станет методика определения угроз безопасности информации в автоматизированных системах управления и целый ряд моделей типовых угроз ИБ для различных видов систем управления. Также планируется выпустить методические документы, описывающие порядок выявления и устранения уязвимостей в автоматизированных системах управления и порядок реагирования на инциденты.

Уровень ИБ АСУ ТП: результаты проверок

В ФСТЭК отмечают, что в большинстве государственных и частных компаний, у которых имеются критически важные объекты, вопросам обеспечения безопасности АСУ ТП уделяется значительное внимание. В госкорпорации «Росатом», в «Газпроме», «Роснефти», «РусГидро», ФСК ЕЭС и ряде других интегрированных структур введены отраслевые корпоративные стандарты, регламентирующие вопросы обеспечения безопасности АСУ ТП. Данные стандарты в основе своей полагаются на нормативно-правовые акты и методические документы. По словам Дмитрия Шевцова, его служба считает разработку таких стандартов положительной практикой и готова поддерживать эту работу, проводимую компаниями.

Вместе с тем, есть и отрицательные моменты относительно обеспечения безопасности информации в АСУ ТП в компаниях, которые выявляются по итогам проверок, проводимых службой, отмечает Дмитрий Шевцов. Так, в отдельных АСУ ТП практически отсутствуют механизмы, обеспечивающие защиту систем от внешних информационных угроз. Недостаточное внимание уделяется вопросам защиты от несанкционированного доступа и угрозам от внутреннего нарушителя, не принимаются меры по безопасному межсетевому взаимодействию.

«Анализ выявленных недостатков показывает, что большинство проблем в этой области связаны с попыткой реализации мер по защите информации уже на стадии приема АСУ ТП в эксплуатацию, а не на ранних стадиях их создания. По нашим оценкам, недостатки в защите АСУ ТП критически важных объектов в большинстве случаев вызваны отсутствием должного внимания со стороны руководителей, в ведении которых находятся объекты», — говорит Дмитрий Шевцов.

Еще одной важной проблемой, которую видят в ФСТЭК, является нежелание разработчиков АСУ внедрять меры защиты на этапе их разработки. В результате вся ответственность ложится на плечи тех, кто эти системы эксплуатирует, и зачастую на стадии эксплуатации принять эти меры невозможно, отметил Шевцов: система уже работает, ее невозможно остановить и сложно заменить какие-то ее элементы.

«В связи с этим мы считаем исключительно необходимым принимать меры по информационной безопасности на всех стадиях жизненного цикла АСУ ТП», — резюмировал Дмитрий Шевцов.

Вопросы обеспечения безопасности критически важных объектов регламентируются целым рядом отраслевых законодательных актов: это и ФЗ о безопасности объектов ТЭК, о транспортной безопасности, о промышленной безопасности производственных объектов, об использовании атомной энергии и др. Данными законодательными актами установлены нормы, согласно которым на критически важных объектах и потенциально опасных объектах должны приниматься меры по обеспечению их безопасного функционирования.

Дмитрий Шевцов отмечает, что в целом такие меры принимаются, однако в большинстве своем носят организационный характер, а вопросам технической защиты АСУ ТП от угроз ИБ уделяется мало внимания. Вместе с тем, автоматизация большинства критически важных объектов достигла такого уровня, что безопасность их функционирования неразрывно связана с информационной безопасностью АСУ ТП, добавил он.

«Лебедь, рак и щука»: другие регуляторы

Важно отметить, что приказ №31 ФСТЭК хоть и является важным документом в обеспечении ИБ АСУ ТП критически важных объектов, но, по сути, не носит обязательного характера к применению для организаций, в чьем ведении такие объекты находятся. Данный документ применяется при принятии владельцем АСУ решения о необходимости защиты информации, и в ФСТЭК считают его применение необходимым для этой цели.

Помимо ФСТЭК регулирование вопросов безопасности информационной инфраструктуры критически важных объектов осуществляют и другие организации – ФСБ и Ростехнадзор. Однако по состоянию на середину 2015 года еще не сформирован перечень в полной мере дополняющих друг друга нормативно-правовых актов от всех регуляторов, которые предписывали бы общие обязательные стандарты обеспечения ИБ АСУ ТП критически важных объектов.

По ожиданиям участников рынка, с которыми пообщался TAdviser, точки над «и» в этом вопросе должен расставить федеральный закон о безопасности критически важной информационной инфраструктуры, разработанный ФСБ. В августе 2013 года ФСБ опубликовала [2] два законопроекта, регулирующих эту область. Первый из них определяет, за счет чего в России обеспечивается безопасность критической информационной инфраструктуры и устанавливает принципы обеспечения такой деятельности, а также полномочия госорганов в данной области.

Второй законопроект определяет меры ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры. При этом наравне с дисциплинарной, гражданско-правовой и административной за нарушение разработанного ФСБ закона предусматривается и уголовная ответственность.

В 2014 году ожидалось, что данные законопроекты будут приняты в 2015 году, однако в уже наступившем году, по данным участников рынка, ФСБ теперь обозначает сроки принятия закона 2016 годом. Дмитрий Шевцов из ФСТЭК отметил, что после появления данного федерального закона должно стать ясно, обязательным ли является ключевой приказ их службы в области обеспечения ИБ АСУ ТП критически важных объектов или нет.

Смотрите также

Примечания

↑Информационная безопасность АСУ ТП КВО. Основные проблемы
↑Защита критической информационной инфраструктуры России

О системе защиты национальных информационных ресурсов

Кибербезопасность

В 2014 году на сайты и информационные ресурсы государственных организаций совершено 74 миллиона кибератак – более чем две в каждую секунду. Задача защиты IT-систем страны и обрабатываемых ими данных чрезвычайно актуальна, она стала важным элементом обеспечения национальной безопасности. «Экспертный центр электронного государства» предлагает материал, анализирующий задачу защиты национальных информационных ресурсов и намечающий пути её решения. Эта задача должна быть решена на практике при создании Государственная система обнаружения и предупреждения компьютерных атак (ГосСОПКА), разрабатываемой в соответствии с указом президента РФ.

Технические проблемы ГосСОПКА

К числу таковых относятся:

отсутствие собственного ПО многих классов, как общесистемного (операционных систем, систем управления базами данных), так и прикладного (например, софта для моделирования месторождений), так, например, в системе ЦБ РФ используется 40% прикладного ПО зарубежного производства, зарубежных баз данных, ОС, аппаратно-программного обеспечения – 95%;
отсутствие собственной элементной базы;
практическое отсутствие отечественного телекоммуникационного оборудования на всей территории страны;
топология транспортной сети страны с точки зрения обеспечения её живучести требует улучшений.

Возможные подходы к проектированию ГосСОПКА

Возможен подход на основе классификации информационных активов организаций по степени их ценности, важности для обеспечения управления государством и сохранения знаний, необходимых для развития страны. Дифференцированные требования к защите классифицированных таким образом информационных активов можно установить законом, возложив ответственность на сами ведомства, в чьём ведении информационные ресурсы находятся – без привлечения организаций, аккредитованными ФСТЭК России.

В этом случае появится возможность создания произвольной структуры ГосСОПКА (сегменты системы по министерствам. ведомствам, организациям, субъектам РФ) и существенно удешевить разработку стоимость работ (не потребуется создавать свои программно-технические средства). Надёжность не пострадает – изоляция важнейших элементов IT-инфраструктуры будет безопаснее, чем подключение через доверенные средства.

Органический недостаток такого подхода – изоляция части системы, что влечёт снижение оперативности работы системы и неудобства для пользователей.

Альтернативный подход состоит в поиске критических мест инфраструктуры и их защите доверенными средствами. В этом случае классификация информационных ресурсов по степени их важности неактуальна, но необходима (или, как минимум, крайне желательна) отечественная программно-техническая платформа.

Преимущества второго подхода значительны. Во-первых, отсутствует необходимость изоляции сегментов системы и создаётся единое защищённое информационное пространство с «прозрачным» администрированием. Как следствие, повышается оперативность, улучшается контроль всех процессов. Во-вторых, защита всей инфраструктуры страны обеспечивается отечественными программно-техническими средствами с максимально высоким уровнем защиты.

Расплата за эти преимущества – высокая стоимость проекта и большое время разработки.

Каким угрозам должна противостоять ГосСОПКА

Наиболее опасны кибератаки, за которыми стоят хорошо организованные группировки киберпреступников и (или) государства. Но и совокупный вред, наносимый экономике многочисленными менее опасными нападениями, со временем может рассматриваться как серьёзная угроза стране.

Разговоры о целенаправленных атаках (Advanced Persistent Threat, APT) начались всего несколько лет назад. Впервые термин APT был использован ВВС США в 2006 году, адекватного перевода термина на русский язык нет до сих пор, специалисты называют такие атаки и таргетированными, и целенаправленными, и целевыми, и скрытыми. Примеры целенаправленных атак: «Лунный лабиринт», «Титановый дождь», «Аврора», GhostNet, Stuxnet, Duqu, Flame, Gauss, Red October, «Маска».

Что предпринято к настоящему времени

15 января 2013 года президент России подписал указ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах информационной безопасности, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ. В совокупности с «Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации», выпущенными Советом безопасности летом 2012 года, это означает реализацию целенаправленной программы по защите отечественных критических информационных инфраструктур от атак из киберпространства.

Опыт США

Почти одновременно, 12 февраля 2013 года, президент США Барак Обама также подписал указ, который получил название «Усиление кибербезопасности критических инфраструктур». Он продолжил последовательно реализуемую последние годы стратегию американских ведомств по повышению уровня защищенности американских критических инфраструктур. Указ Обамы назвал шесть направлений, которые будут реализовываться различными агентствами и федеральными структурами, одним из этих направлений стал обмен информацией о киберугрозах.

В США инструментом, облегчающим решение данной задачи, может стать протокол STIX (Structured Threat Information eXpression). Инициатором его разработки стала американская корпорация MITRE (тесно связанная со спецслужбами, специализация – обеспечение информационной безопасности). Именно она является автором широко известного и ставшего стандартом де-факто механизма именования и оценки уязвимостей CVE (Common Vulnerability Evaluation). MITRE «шефствует» и над другими стандартами, которые предназначены для решения актуальных задач, стоящих перед специалистами по информационной безопасности – обмен информацией об уязвимостях, оценка рисков уязвимостей, язык описания уязвимостей и т.д. (OVAL, CCE, CEE, CME, CWE, CPE, CRF, CAPEC, SCAP, CVSS и XCCDF). Но если все эти стандарты были ориентированы в первую очередь на управление уязвимостями, то STIX направлен на обмен информацией об угрозах.

В каком состоянии находится разработка ГосСОПКА

Информации о ходе работ над аналогичной российской государственной системой в открытой печати немного.

Известно, что к 2017 году Минобороны России создаст специальную структуру для защиты военных объектов от компьютерных атак. Заявление министра обороны РФ 30 марта о том, что IT – фактор военной силы, свидетельствует о фактическом признании киберпространства театром военных действий.

На VII Уральском форуме «Информационная безопасность банков» 25 февраля 2015 года представитель ФСБ России сообщил, что «ГосСОПКА строится в виде территориально распределенных центров. Главный и региональный центры создаются силами ФСБ России, ведомственные центры создаются заинтересованными органами государственной власти. Корпоративные центры могут создаваться госкорпорациями, операторами связи и другими организациями, имеющими лицензии в области защиты информации».

На базе ГосСОПКА будет действовать уже созданный в ФСБ России Национальный координационный центр по компьютерным инцидентам.

В чьем ведении находится фстэк