В рубрику "События" | К списку рубрик | К списку авторов | К списку публикаций
Разговор о проблемах защиты критически важных объектов (КВО) хотелось бы начать с определения термина "критически важный объект", и, хотя оно дается в документе "Основы государственной политики в области обеспечения безопасности населения РФ и защищенности критически важных и потенциально опасных объектов от угроз техногенного, природного характера и террористических актов", оно носит общий понятийный характер.
Федеральные и ведомственные документы оперируют также терминами "опасный производственный объект", "потенциально опасный объект", "особо опасные и технически сложные объекты", "стратегические объекты", "особо важные объекты", "режимные объекты" и т.д. Отсутствие единой терминологии, за которым стоит, как правило, отсутствие единства понимания – не единственная и не самая большая проблема в вопросе обеспечения антитеррористической и про-тивокриминальной защиты КВО. Гораздо важнее, что отсутствует единый документ, определяющий критерии отнесения объектов государственной и негосударственной собственности к критически важным и процедуры их включения в перечень критически важных объектов, а имеющееся многообразие ведомственных определений, требований и критериев способно скорее помешать защите объектов от террористической и других видов угроз, нежели помочь. Сложившаяся ситуация приводит к тому, что вопросы защиты критически важных объектов рассматриваются не единообразно. Различные ведомства, которым государство поручило защиту КВО, не имея в качестве основы единой нормативной базы, определяют необходимые им организационные и технические меры безопасности самостоятельно, в меру специализации и квалификации своих сотрудников. Зачастую они осуществляются как придется.
Совершенно необходимо создание единой государственной нормативной базы по вопросу обеспечения безопасности критически важных объектов, которая должна включать в себя документ уровня как минимум постановления правительства (а лучше – федерального закона), содержащий критерии отнесения объекта к критически важным и обязательные требования по их защите, который будет обязателен для всех предприятий страны (не только государственных, но и коммерческих) и для всех отраслей. Документ должен быть концептуальным и быть обязательным и для силовиков, и для всех служб безопасности. Все термины, используемые в нем, должны пониматься единообразно. Имея в качестве основы единую нормативную базу, каждая отрасль или даже конкретное предприятие вполне сможет дополнить, расширить и конкретизировать обязательные требования с учетом своей специфики, если сочтет нужным. Но наличие единого документа устранит существующий диссонанс требований. Должен также быть разработан общий перечень критически важных объектов.
В нынешнем году мы стали свидетелями целого ряда терактов, и вопрос антитеррористической защиты зазвучал особенно остро. Теракты, которые у всех на слуху, были совершены с использованием взрывных устройств. Защита от подобных терактов на критически важных объектах осуществляется при помощи физической охраны, которую обеспечивают вневедомственная охрана МВД России, внутренние войска МВД России, сотрудники ЧОП. В качестве инженерно-технических средств защиты используются заграждения, сигнализация, видеонаблюдение и пр. Но эти меры решают вопрос лишь частично.
Хотя время "диверсантов с бомбой" и "постовых с винтовкой" еще не прошло, на первый план начинают выходить новые угрозы, связанные с использованием информационных технологий. Как не велик возможный ущерб от взрыва на объекте, гораздо более опасный теракт может быть проведен посредством вмешательства в работу автоматизированной системы управления технологическими процессами предприятия (АСУ ТП). Ведь взрывное устройство способно вывести из строя лишь часть крупного объекта, а злонамеренное вмешательство в работу АСУ ТП может полностью вывести его из строя, да еще с катастрофическими последствиями.
Первое, что хочется подчеркнуть в связи с этим, – вопросы физической защиты критически важных объектов и их информационной защиты необходимо решать в комплексе. Как не обойтись без средств инженерно-технической защиты, так и нельзя игнорировать средства информационной безопасности систем АСУ ТП. То есть необходим комплексный подход к проблеме антитеррористической защиты.
Второе – нужно заниматься разработкой и реализацией мер защиты АСУ ТП. Рано или поздно эти системы будут выходить за периметр производственного объекта – без этого интегрировать АСУ ТП в систему управления предприятием невозможно. На многих западных предприятиях это уже произошло, будет происходить и в России – к этому вплотную подошли некоторые компании, в частности "Роснефть". Соответственно особое значение приобретают вопросы защиты каналов связи с АСУ ТП. Но на деле в рамках существующих требований к защите критически важных объектов вопросы защиты таких каналов не рассматриваются. Более того, уязвимость АСУ ТП вводится искусственно. Так, стандарт, подготовленный МЧС, говорит о том, что предприятия, попадающие в перечень критически важных объектов, должны предоставить МЧС выделенный канал для подключения к АСУ ТП для осуществления мониторинга технологических процессов и процессов обеспечения функционирования оборудования предприятия. Такое решение министерства представляется крайне непродуманным. Во-первых, вновь внедряемые АСУ ТП предприятий включают в себя комплекс измерительных средств, средств автоматизации и исполнительных механизмов. Системы противоаварийной защиты обеспечивают безопасную работу, сертифицированы по уровню безопасности SIL3 по IEC 61508 (ГОСТ 61508) с показателями надежности 99,9–99,99%. При этом помимо дублирования функций систем АСУ ТП и противоаварийной защиты функциями системы мониторинга инженерных систем (СМИС) возникает ряд рисков, связанных с не-декларированными возможностями взаимодействия АСУ ТП и программного ядра СМИС; одновременным использованием датчиков, подключенных к АСУ ТП и СМИС; возможностью блокирования каналов взаимодействия между удаленным диспетчерским центром и программным ядром СМИС, а также возможностью их использования как каналов проникновения на защищенный периметр локальной вычислительной сети предприятия.
Третье – несмотря на риск навлечь на себя жесткую критику, не могу не сказать, что сигнал об аварии дежурный пост МЧС получит и без личного мониторинга работы АСУ ТП, а такой канал подключения к АСУ ТП – это, по сути, потенциальный канал для вмешательства извне. Потому что нет требований к защищенности данного канала и нет ответственного за такую защиту. Следующий серьезный вопрос, способ решения которого нуждается в пересмотре, – это проверка систем антитеррористической защищенности предприятий. Сегодня имеется практика проверки эффективности работы служб безопасности предприятий с помощью поиска наиболее уязвимых мест на периметре и скрытой закладки муляжей взрывных устройств. Хорошо подготовленный физически и вооруженный "боец СОБР" с муляжом взрывного устройства проникает на территорию предприятия с целью найти "слабое место" и заложить "взрывное устройство". Причем обе стороны – сотрудники проверяющего органа и охрана предприятия – вооружены. Метод, мягко скажем, провокационный, чреватый самыми серьезными последствиями, вплоть до гибели людей. При этом нет никаких документов, регламентирующих подобные мероприятия.
Методики проверок уровня защищенности предприятия существовали во времена Советского Союза, существуют они и сейчас. Есть такое понятие, как учения – мероприятие, имеющее руководителя, ответственных лиц, штаб учений, комплекс мер по обеспечению безопасности учений и т.д. Проверка антитеррористической защищенности предприятия должна быть четко спланирована и организована. Ее правила должны быть известны ответственным лицам предприятия – достаточно того, что об учебном характере мероприятия не будет знать дежурная смена охраны. Существуют разработанные методики проверки подготовленности сотрудников охраны, проверки ограждений, инженерно-технических средств. Но их нужно извлечь из ведомственных архивов и систематизировать. Убежден, что крайне необходимо уменьшить само количество проверяющих. Сейчас стало "модно" заниматься антитерроризмом, и в этот процесс вовлечено множество структур. Государством должен быть определен единый орган, осуществляющий проверки на критически важных объектах, а не несколько, как сейчас.
Как уже было отмечено, на сегодняшний день контроль антитеррористической и противокри-минальной защиты критически важных объектов в стране поручен нескольким ведомствам. Поскольку требования у каждого ведомства свои, результатом проводимых ими проверок становится не повышение антитеррористической защищенности объектов, а издерганность сотрудников проверяемых предприятий, которые не понимают, что важно, а что нет и на что им тратить свое рабочее время. Исправить положение может только наличие единой проверяющей структуры и единых требований к обеспечению безопасности критически важных объектов.
Другая сторона вопроса – распределение ответственности в рамках самого предприятия. На абсолютном большинстве отечественных предприятий инженерно-техническая защита и информационная безопасность разделены: первая находится в ведении либо специально созданного управления, либо привлеченной специализированной структуры (полностью согласен с мнением первого заместителя главы МВД России М.И. Суходольского о том, что охрану особо важных объектов должна обеспечивать ведомственная охрана МВД, а не сотрудники ЧОП), вторая – в лучшем случае в ведении службы безопасности предприятия, а то и в ведении ИТ-департамента. Каждая служба действует независимо от другой и преследует свои цели. Скоординировать их действия очень сложно. Между тем безопасность – это проблема комплексная, и решаться она должна комплексно. Поэтому службы инженерно-технической защиты и службы информационной безопасности следует объединить. Причем не просто путем передачи обеих сфер ответственности в ведение одного "топ-менеджера", а на уровне рабочей структуры, на уровне руководителей подразделений, которые непосредственно занимаются разработкой внутриведомственных нормативов и контролем их реализации. Для такой объединенной службы безопасности должен быть разработан единый комплект документов. Такая концепция построения службы безопасности реализована в компании "Роснефть", по этому же пути идет ОАО "Газпром".
В компании "Роснефть" направления деятельности инженерно-технической и информационной безопасности предприятия объединены в одной структуре – Управлении информационно-технической безопасности. Сейчас их разделять уже нельзя – вспомните пример АСУ ТП, который я приводил выше. В компании "Роснефть" создана концепция информационно-технической безопасности, благодаря которой вопросы инженерно-технической укрепленности и защиты информации "замыкаются" в одном подразделении и рассматриваются в комплексе, сквозь призму общей идеи.
Можно назвать наиболее яркие достижения реализации этой концепции.
1. Грамотное применение технических средств приводит к тому, что количество "людей с ружьем" увеличивается медленнее, чем растет сама организация. Относительная численность охранников на один объект снизилась.
2. Единая техническая политика, на организацию которой ушло 2 года, позволяет нашей быстро растущей компании привести в порядок политику безопасности для всех наших более чем 500 разнородных дочерних обществ.
3. Удалось донести важность уделения внимания информационно-технической безопасности до руководителей предприятия. В результате появляются технические средства, специалисты и штатные должности. Безопасность уже не стоит у руководителя на последнем месте. Помог и кризис: люди стали задумываться о том, как сберечь то, что есть.
Чтобы реализовать задачи по обеспечению безопасности, необходимо немалое финансирование. С нормативной базой мы более или менее разобрались – ее, естественно, нужно регулярно дорабатывать и актуализировать. В настоящее время приоритетными вопросами для нас являются модернизация существующих технических средств, а также привлечение и содержание квалифицированных специалистов на местах. Если решить проблему кадров – проще решаются проблемы рационального использования финансовых средств. Когда есть люди, которые профессионально подготовлены, то и решения на местах готовятся быстро и компетентно. И нам работы меньше, и деньги тратятся разумно.
Подводя итог сказанному, хотелось бы еще раз заострить внимание на принципиальных проблемных вопросах.
1. Необходим единый документ федерального уровня, в котором будет прописан обязательный минимум требований по обеспечению безопасности критически важных объектов. Должны быть определены единая головная структура, которая будет контролировать защищенность всех КВО, и единый для всех отраслей набор критериев отнесения объекта к особо важным или критически важным (имеет значение не сам термин, а отсутствие расхождений в терминологии).
2. Следует помнить, что в современном мире риску террористической атаки подвергаются не только физические объекты, но и информационные системы, причем последствия такой атаки могут быть даже более тяжелыми. Поэтому необходимо уделять особое внимание защите информационных систем предприятия, в частности АСУ ТП.
3. Службы инженерно-технической защиты и службы информационной безопасности предприятия необходимо объединять в единые службы информационно-технической безопасности.
4. Должны быть подготовлены единые методики проверки антитеррористической, противокримиальной и других видов защищенности КВО – с четко прописанными регламентами и зонами ответственности.
Пока эти вопросы не будут решены, мы, тратя большие усилия и средства на защиту критически важных объектов, по сути, будем двигаться в тупик.
Опубликовано: Журнал "Системы безопасности" #4, 2010
Посещений: 22425
Автор
| |||
В рубрику "События" | К списку рубрик | К списку авторов | К списку публикаций
