Страницы

понедельник, 19 октября 2020 г.

Автоматический или автоматизированный?Все равно ОКИИ!





    К сожалению, вопрос с определением объектов КИИ среди имущества субъекта КИИ за почти три года исполнения 187-ФЗ  не прояснился. И проблема не только в определении сфер функционирования ИС/АСУ/ИТКС. Остро встает вопрос об определении самих сущностей - ИС/АСУ/ИТКС. В этом цикле заметок попробуем разобраться с АСУ

автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами; (187-ФЗ)

   Многие субъекты КИИ столкнулись с требованиями ФСТЭК/Прокуратуры по отнесению различных приборов/изделий/программно-аппаратных комплексов (станки ЧПУ, САПР, аппараты МРТ, аппараты КТ, рентгеновские аппараты, аппараты ИВЛ и т.д.) к объектам КИИ типа АСУ.         Представители ФСТЭК озвучивают следующие  признаки/критерии:

  1. Выход из строя устройства несет последствия по показателям ПП127

  2. Есть компьютерный порт управления устройством 

  3. Нарушитель имеет возможность изменить "вшитое" ПО, влияющее на работоспособность устройства.

   Так, Методические рекомендации  по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области (согласованны ФСТЭК России) указывают.

   В качестве автоматизированных систем управления необходимо рассмотреть медицинское оборудование следующих классов:

  аппаратура и оборудование общего профиля;   аппараты и оборудование для лучевой диагностики;   аппараты и оборудование отделений (кабинетов) лучевой терапии;   лабораторное оборудование, используемое для выполнения неотложных и экстренных лабораторных исследований с последующей постановкой диагноза без дополнительной перепроверки результатов.

  В качестве автоматизированных систем управления рекомендуется не рассматривать медицинское оборудование следующих видов:

  лабораторное оборудование, не используемое для выполнения неотложных и экстренных лабораторных исследований с последующей постановкой диагноза без дополнительной перепроверки результатов;   оборудование патологоанатомического бюро (отделения).

  "В качестве потенциальных объектов КИИ рассматривается только компьютеризированное оборудование, т.е. оборудование имеющее комплекс средств управления на базе персонального компьютера и (или) возможность программирования и (или) подключенные к сети передачи данных."

  Наглядное указание о применении в комплексе вышеназванных критериев .

  Получается парадоксальная ситуация: изделие считается АСУ, если его выход из строя несет последствия для жизни и здоровья человека. 

   Проект методики категорирования федерального Минздрава для сферы здравоохранения

45. Автоматизированная система управления (АСУ) считается задействованной в реализации критичного бизнес-процесса организации сферы здравоохранения, если она предназначена для поддержания установленных режимов технологического процесса, реализуемого бизнес-процессом, за счет контроля и изменения технологических параметров, выдачи команд на исполнительные механизмы и визуального отображения данных о производственном процессе и состоянии технологического оборудования, предупреждения аварийных ситуаций, анализа контролируемых значений, стабилизации режимных параметров и технологических показателей и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию контроля параметров технологического процесса, реализуемого бизнес-процессом;

- функцию мониторинга соответствия параметров процесса допустимым значениям, информирования персонала при возникновении несоответствий и сигнализации наступления предаварийных и аварийных ситуаций, фиксации времени отклонения параметров процесса за допустимые пределы (автоматическая), регистрации параметров и записи аварийных и предаварийных ситуаций;

- функцию диагностики оборудования, в том числе, диагностики исправности функционирования самой АСУ;

- функцию управления, контроля или мониторинга технологического или производственного оборудования (исполнительными устройствами) и производимых им процессов, исключения рисков простоев и сбоев работы оборудования.

  54. ИС, ИТКС, АСУ, не задействованная в реализации критичного бизнес-процесса, не является объектом КИИ организации сферы здравоохранения.

  Под эти определения подходит вообще все. Особенно при наличии встроенной в прибор системы проверки работоспособности самого прибора. 
  По сфере связи есть упоминания АСУ в методике для операторов связи (согласована с ФСТЭК России)

  Принимая во внимание, что сеть электросвязи не является ИТКС, а также с учетом определения термина КИИ, введенного Федеральным законом N 187-ФЗ [2], сети электросвязи (т.е. средства и линии связи, предназначенные для электросвязи) не являются объектами КИИ и в составе типовых ИС, ИТКС и АСУ операторов связи не рассматриваются.
Средства связи: Технические и программные средства, используемые при формировании, приеме, обработке, хранении, передаче, доставке сообщений электросвязи или почтовых отправлений.
  Опять же парадокс, одно и то же программно-техническое средство может быть объектом КИИ, если используется для обеспечения медицинского оборудования, но не будет при использовании на оборудовании связи.

  Для остальных 11 сфер никаких разъяснений от отраслевых регуляторов нет.
  Позиция ФСТЭК по станкам ЧПУ  озвучивается давно. Однозначно относят к ОКИИ.


  

  Все это порождает вопросы в работе комиссий по категорированию субъектов КИИ, особенно в части готовых технических устройств, в которых реализованы системы АВТОМАТИЧЕСКОГО управления. То есть, оператор только задает начальные параметры и более в работе данного устройства участия не принимает. И это устройство полностью подходит под все три критерия ФСТЭК.
   Рассмотрим примеры подобных программно-аппаратных комплексов (устройств), используемых субъектами КИИ различных сфер из 187-ФЗ для выполнения основных функций. И приводящие к применимости показателей ПП127.
   1. Источник бесперебойного питания. (Только не для СВТ, когда они входят в состав более крупного объекта КИИ)
   На объектах транспорта, горнорудной промышленности, металлургической и химической промышленности очень распространены  автономные электромеханические электромагнитные, электрогидравлические и электропневматические исполнительные устройства (переключатели, запиратели и т.д.). Сами по себе они не подвержены компьютерным атакам и являются простейшими механизмами, под определение ОКИИ не подпадают вообще. Но их роль очень важна для субъекта КИИ. Выход из строя может привести к гибели людей или существенному экономическому удару по предприятию, может нарушиться транспортная доступность регионов. Для таких устройств обеспечивается первая категория электропитания, с использованием ИБП. 
   Практически все ИБП имеют встроенный контроллер и программное обеспечение, в наличии сетевые порты. Автоматически поддерживаются заданные пользователем параметры по напряжению, частоте, фазовым искажениям электросети и т.д. Производитель ИБП предусмотрел возможность удаленного управления параметрами ИБП и диагностики состояния. И надо отметить, что производитель понимает последствия от НСД - часто используется "ролевая модель" (Поддерживает четыре уровня доступа - администратор, пользователь устройства, пользователь с доступом только для чтения и пользователь с доступом только через сеть - с вводом имени пользователя и пароля.), парольная защита и шифрование соединений с управляющим компьютером.
    Относить ли ИБП к ЗОКИИ  при таком использовании? Есть функции автоматического управления технологическим процессом внутри изделия - есть. Показатель ПП127 применим - да, компьютерный порт есть -да, имеет возможность нарушитель удалено изменить настройки или поменять прошивку -да. Если кто не верит в возможность последствий от неправильной настройки ИБП, то лично был свидетелем, когда новый ИБП выключался в условиях нестабильной частоты электросети автономного энергоузла, так как был настроен и протестирован в условиях единой энергосистемы европейской части страны. Приводило это к отключению оборудования, обеспечивающего безопасность особо важного государственного объекта. 
    Аналогично ИБП используются для энергоснабжения медицинского оборудования в учреждениях здравоохранения, которые по утвержденным методикам не будут относиться к ОКИИ.
    Получается, что ИБП сам по себе ЗОКИИ типа АСУ? В сфере энергетике? Или при использовании на транспорте = в сфере транспорта?
    2. Электронный теодолит/нивелир и другие геодезические приборы с АВТОМАТИЧЕСКИМИ функциями. Широко применяются в горнорудной промышленности и транспорте. Имеются функции смены прошивки через удаленные сетевые подключения. Выход из строя самого прибора уже существенный убыток, а еще и задержка в реализации основного процесса субъекта КИИ. Если же преступник изменит настройки прибора, то возможно использование ошибочных показаний с последующими негативными последствиями, вплоть до гибели людей.
    3. Контрольно-измерительные приборы с функциями АРУ, АПЧ и т.д. Относить ли цифровые осциллографы в лаборатории НИИ к ОКИИ по типу АСУ? А лаборатории ОТК на предприятии ВПК или атомщиков?
   Примеры можно приводить очень долго. Почему цифровой рентгеновский аппарат у медиков это ЗОКИИ, а приборы неразрушающего контроля в ТЭК нет? Почему медицинский томограф это ЗОКИИ, а промышленный томограф у химиков нет? 

   Почему наличие автоматических функций в самом приборе приводит к отнесению всего прибора к АСУ?
   Читаю руководство к станкам ЧПУ, в большинстве указано "Автоматическая работа.
Станки с ЧПУ ..предназначены для безлюдной эксплуатации". 
   Они не автоматизированные, а автоматические. Автоматически свои функции выполняет и аппарат МРТ или аппарат ИВЛ. Персонал только подготавливает исходное состояние (заготовку, пациента) и пользуется результатом.
    Какой смысл относить аппарат МРТ к ЗОКИИ, если он сам по себе не функционирует при использовании в медучреждении и почему его относят к типу "АСУ"? Смотрим приказ Приказ Министерства здравоохранения и социального развития РФ от 15 мая 2012 г. N 543н "Об утверждении Положения об организации оказания первичной медико-санитарной помощи взрослому населению"
   В кабинете МРТ обязательно должны быть:два АРМ (врач и лаборант)+принтер и сервер, кроме самого аппарата МРТ. Имеем классическую ИС в сфере здравоохранения. Вот она и будет ЗОКИИ. 
   Аналогично для рентгеновских аппаратов.
    Хорошо хоть для устройств связи исключили подобный квест. В станциях связи очень распространены автоматические регулировки радиочастотного оборудования для поддержания заданных параметров каналов связи, с возможностью удаленного управления ими. А их несанкционированное изменение может привести не только отключению этого канала связи, но и прекращению доступа к услугам связи целых регионов. 


Продолжение следует..

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий