понедельник, 26 октября 2020 г.

Автоматический или автоматизированный?Все равно ОКИИ! Проблемы.

 

     Количество проголосовавших https://t.me/ruporsecurite/582 увеличилось в вдвое, но результат не меняется. Половина участников продолжает относить готовые автономные устройства с системой автоматического управления к автоматизированным системам управления. В таком случае, подобные изделия (станки ЧПУ, аппараты МРТ/КТ, лабораторные анализаторы, ИБП и т.д.) будут отнесены субъектами КИИ к объектам КИИ. ФСТЭК этого и требует в рабочем порядке. Посмотрим на последствия такого решения.

  Начало -https://valerykomarov.blogspot.com/2020/10/blog-post_19.html

  Продолжение - https://valerykomarov.blogspot.com/2020/10/blog-post_22.html

    И речь в заметке пойдет не об экономическом эффекте или оценке угроз ИБ. Все проще и от этого грустнее. Просто попробуем выполнить требования 187-ФЗ к таким устройствам.

   Так как в подзаконных актах  процедуры разделены для существующих объектов КИИ и вновь создаваемых, то и мы рассмотрим две ситуации.

    1. Существующие ОКИИ.

  Создали комиссию, провели инвентаризацию объектов КИИ, оформили акт категорирования и приступили к оформлению результатов категорирования по форме приказа № 236. Опаньки, а приказ то явно для стационарных объектов КИИ написан

п.1.2 Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта"

   И что мы будем указывать для мобильного устройства, отнесенного к АСУ? Что то ФСТЭК не учла, что МРТ и рентген часто делается в передвижных комплексах на базе транспортных средств



5. Рентгенологические исследования проводятся при оказании медицинской помощи в следующих условиях: амбулаторно, в том числе в передвижных медицинских комплексах, в дневном стационаре, стационарно, вне медицинской организации (по месту вызова бригады скорой, в том числе скорой специализированной, медицинской помощи, а также в транспортном средстве при медицинской эвакуации)Приказ Министерства здравоохранения РФ от 9 июня 2020 г. № 560н “Об утверждении Правил проведения рентгенологических исследований”

Например, МОБИЛЬНЫЙ РЕНТГЕНОВСКИЙ КОМПЛЕКС - ПМК «ЛУЧЕВАЯ ДИАГНОСТИКА» (ПЕРЕДВИЖНОЙ РЕНТГЕН И ФЛЮОРОГРАФИЧЕСКИЙ КАБИНЕТ)



   Достаточно компьютеризированный маммограф для отнесения к ЗОКИИ? И какой адрес у него указывать? Гаража или автопарка?

   Мобильные станки ЧПУ тоже существуют и аналогично используются в составе подвижных автомастерских или железнодорожных/судовых. 

   Про ИБП вообще молчу.

   Зато удобно для ЗОКИИ, пришла проверка ФСТЭК в рамках госконтроля, а машинка на выезде, очень дальнем выезде.И не посмотреть проверяющим на ЗОКИИ.

  С такими мобильными ЗОКИИ может возникнуть проблема с Реестром ЗОКИИ. В него вносится "г) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;" и "В случае изменения сведений о ЗОКИИ субъекты КИИ должны направить измененные сведения в ФСТЭК России". Субъекту КИИ надо сразу думать, когда раздел 4 заполняет в результатах категорирования. Иначе, при каждой смене бригады придется уведомлять ФСТЭК.

  Дальше у нас основные проблемы возникают при реализации требований к ЗОКИИ. Не факт, что при компьютерном инциденте "на бескрайних просторах тайги" субъект успеет сообщить за 24 часа в НКЦКИ, но шанс есть. Дальше только по ЗОКИИ.

  Думаю, что средства ГосСОПКА никто не будет ставить на станок ЧПУ или аппарат МРТ, проблема согласования места установки средств ГосСОПКА с ФСБ для мобильных устройств не существенна.

  Смотрим приказы ФСТЭК. Имеем подвижную рентгеновскую лабораторию. Отнесли бортовой аппарат к ЗОКИИ. В состав бригады надо вводить специалиста по безопасности, который ничего другого делать не имеет права. Это скорее всего потребует доработки транспортной, поскольку посадочные места делались под другой штат бригады. Про моральный климат  в бригаде молчу.

  Практически все устройства имеют парольную защиту от производителя, даже на ИБП. Хочешь использовать встроенный функционал парольной защиты ЗОКИИ, а ФСТЭК ставит это в приоритет, - доказывай соответствие требованиям по безопасности. 

 А с 23 года еще и требования к прикладному ПО появляются. 

 2. Новые объекты КИИ.

  Вот решил субъект КИИ прикупить себе станок ЧПУ или медучреждение заполучило аппарат МРТ. Его же еще нет. Продавец такого оборудования не субъект КИИ и для него эти аппараты -товар, а не объекты КИИ.

  Судя по логике пп127 и приказов ФСТЭК, это вновь создаваемые ОКИИ. Проблема в том, что я не создаю станок ЧПУ или аппарат МРТ. Я покупаю готовое заводское изделие.

  ПП127. 

     В отношении создаваемого ОКИИ, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к ОКИИ с учетом имеющихся исходных данных о критических процессах субъекта КИИ.

    По вновь создаваемым ОКИИ сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому ОКИИ, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода ОКИИ в эксплуатацию (принятия на снабжение).

  Получается, что субъект КИИ, перед покупкой станка ЧПУ или аппарата МРТ, созывает комиссию и решает, что будет это ЗОКИИ. 

  Идем в 239 приказ. 

   Обеспечение безопасности значимых объектов является составной частью работ по созданию, эксплуатации и вывода из эксплуатации значимых объектов.

   Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и (или) техническое задание (частное техническое задание) на создание подсистемы безопасности значимого объекта

  Но субъект просто покупает готовое изделие. Он ничего не создает. 

Разработка рабочей (эксплуатационной) документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта на основе проектной документации.

  Мне весь комплект эксплуатационной документации выдал производитель станка. Какая проектная документация?

    Хорошо, вот смотрю Техническое задание на поставку универсального токарного станка с ЧПУ, причем очень серьезному субъекту - «РОССИЙСКИЙ ФЕДЕРАЛЬНЫЙ ЯДЕРНЫЙ ЦЕНТР - Всероссийский научно-исследовательский институт экспериментальной физики».

Поставщик гарантирует, что поставляемое оборудование  не содержит в своем составе не предусмотренные техническим заданием приемо-передающие аналоговые и цифровые радиоэлектронные средства, в том числе поддерживающие стандарты Wi-Fi, DECT, Wi-MAX, GSM, Bluetooth, GPS, ГЛОНАСС и пр. Лица, выполняющие пуско-наладочные работы  должны иметь допуск к государственной тайне не ниже 3 формы.

   Все серьезно, явно для режимного предприятия. Все остальные требования -обычные технические к характеристикам станка. Никаких требований по ИБ.

   Берем Приказ Минздрава России от 15.10.2015 N 724н "Об утверждении типового контракта на поставку медицинских изделий, ввод в эксплуатацию медицинских изделий, обучение правилам эксплуатации специалистов, эксплуатирующих медицинские изделия, и специалистов, осуществляющих техническое обслуживание медицинских изделий". Нет никаких требований к ЗОКИИ, которые медорганизация может предъявить при закупке аппарата МРТ/КТ.

   Складывается ощущение, что решаются сиюминутные задачи без оценки последствий и подготовке к преодолению возникших у субъекта КИИ проблем.

   Типовая ситуация. Централизованная поставка аппаратов МРТ/КТ  "сверху" в медучреждения. Есть крупный госконтракт на поставку, на пуско-наладочные работы, на обучение персонала. Медучреждение в лучшем случае обеспечивает оборудование кабинета МРТ по санитарно-гигиеническим требованиям. Аппараты МРТ сначала поступают в медучреждение на ответственное хранение, потом выдаются в монтаж. Проводится пуско- наладка, опытная эксплуатация и сдача центральному Заказчику. И только потом, центральный Заказчик передает на баланс аппарат МРТ в медучреждение. Вопрос,а кто должен категорировать в таком случае аппарат МРТ? Центральный Заказчик? Так он запросто может оказаться не субъектом КИИ. Будем считать, что попался сознательный Заказчик и он провел категорирование закупаемых аппаратов МРТ и отнес их к незначимым ОКИИ.  Вполне имеет право на это. 

  Оборудование для лучевой диагностики, при использовании которого решение о диагнозе и методе лечения пациентов врач принимает по совокупности показаний и при сомнительных результатах диагностики назначается повторное исследование рекомендуется рассматривать в качестве объектов КИИ без присвоения категории значимости (далее — тип 2).

  Согласованная ФСТЭК России методика категорирования ОКИИ для учреждений здравоохранения Московской области вполне это допускает и рекомендует.

   И вот передали в медучреждение апппарат МРТ как незначимый ОКИИ. Теперь местная комиссия должна его категорировать?У субъекта КИИ появился новый объект КИИ? Замечу, что процедуры передачи ОКИИ между субъектами КИИ вообще не урегулирована законодательством.

    И вот что делать местной комиссии по категорованию, при наличии объективных показателей к присвоению категории значимости?  Брать на себя ответственность в случае "чего то нехорошего"? Или присваивать категорию и получать наказание за невыполнение 235/239 приказов ФСТЭК? Основания то для финансирования создания системы безопасности ЗОКИИ отсутствовали. Да  и непонятно как их теперь выполнять, если при закупке требования к подтверждению производителем безопасной разработки прикладного ПО аппарата МРТ не предъявлялись. И к подтверждению соответствия встроенных функций защиты информации тоже.

  Совершенно аналогичная ситуация будет с поставкой станков ЧПУ и подобной компьютеризированной  техникой.
   А ситуация, когда централизованно поставили  как ЗОКИИ, а местная комиссия решила что это будет незначимый ОКИИ - ничем не лучше.
   Ждем повторения ситуации с поставкой оборудования в рамках нацпроекта "Здоровье"? Когда сложное медицинское оборудование поставили в 1550 медучреждение, а потом выяснили что в 660 учреждениях поставленное оборудование вообще не используется из-за отсутствия требуемых законодательством условий. 
   Что будут делать в медучреждениях после выполнения  «Поставка медицинской техники (система рентгеновской компьютерной томографии) в рамках реализации национального проекта «Здравоохранение»» в регионе ....., которые сейчас играются полным ходом? Ввод в эксплуатацию запрещен из-за отсутствия СБ ЗОКИИ? Или массово переводим в незначимые ОКИИ, что бы пациенты не остались без медпомощи? 

  продолжение следует...

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий