ЖУРНАЛ «СТА» 4/2016

102 СТА 4/2016 www.cta.ru требования нормативных документов конкретной отрасли по защите информации в АСУ ТП позволяют применять СрЗИ, имеющие сертификат соответствующей системы доброволь- ной сертификации). Причины следующие: ● отсутствие чёткого толкования условий и результата прове- дения оценки соответствия в других формах; ● устоявшаяся практика применения сертифицированных СрЗИ; ● отсутствие практики применения СрЗИ, прошедших оцен- ку соответствия в других формах (следствие из предыдуще- го пункта). О ТВЕТСТВЕННЫЙ ЗА ИБ АСУ ТП Четвёртая особенность, вызывающая горячие споры в про- фессиональном сообществе специалистов по ИБ промыш- ленных систем автоматизации, – структурное подразделение или должностное лицо (работник), ответственное за защиту информации в АСУ ТП. Уйти от этого вопроса не удастся – ответственный должен быть назначен согласно приказу№31, а вот кто им должен быть, остаётся за кадром. Давайте раз- бираться. При рассмотрении предприятия через призму ИБ–АСУ ТП–ИТ обособление данных направлений в отдельные под- разделения, находящиеся на одном уровне организационной иерархии, на практике расценивается как самый эффектив- ный вариант, обеспечивающий равенство интересов трёх на- правлений или их обоснованную приоритезацию с учётом стратегии развития. Ответственный за ИБ промышленных си- стем автоматизации должен относиться к подразделению ИБ и обладать компетенциями в сфере автоматизации. Стоит учи- тывать также зарубежный опыт в данном вопросе: самым под- ходящим решением является создание по примеру NIST SP 800-82 [12] межфункциональной команды кибербезопасности, обеспечивающей плотное взаимодействие этих направлений. Таким образом, на примере рассмотренных особенностей обеспечения ИБ промышленных систем автоматизации в со- ответствии с приказом ФСТЭК№ 31 становится очевидным, что с одной стороны, есть сложность и неоднозначность при- менения в переходный период положений приказа ФСТЭК России № 31, предъявляющего специфичные требования к защите информации в АСУ ТП, а с другой стороны, предо- ставляется возможность адаптации, уточнения, дополнения защитных мер, позволяющая применять компенсирующие защитные меры и обеспечивать гибкий подход к построению системы защиты информации в АСУ ТП. ● Л ИТЕРАТУРА 1. Stuxnet [Электронный ресурс] // Википедия. – Режим доступа : https://ru.wikipedia.org/wiki/Stuxnet. 2. Хакеры случайно получили доступ к SCADA-системе водоочист- ной станции и ради интереса изменили её настройки [Электрон- ный ресурс] // SecurityLab.ru. – Режим доступа : http://www.securi - tylab.ru/news/480334.php. 3. ICS-CERT Fiscal Year 2015: Mid-Year Statistics [Электронный ресурс] // ICS-CERT MONITOR. – Режим доступа : https://ics-cert.us- cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_May- Jun2015.pdf. В ЗАПИСНУЮ КНИЖК У ИНЖЕ Н Е РА Таблица 3 Определение степени ущерба и характера чрезвычайной ситуации Характер чрезвычайной ситуации* Ущерб Наименование Значение Низкая степень ущерба Локальный характер Величина материального ущерба a) не более 100 тыс. рублей Число пострадавших a) не более 10 человек Зона чрезвычайной ситуации a) не выходит за пределы территории объекта Муниципальный характер Величина материального ущерба б) свыше 100 тыс. рублей, но не более 5 млн рублей Число пострадавших б) свыше 10 человек, но не более 50 человек Зона чрезвычайной ситуации б) не выходит за пределы территории одного поселения или внутригородской территории города федерального значения Дополнительное условие а также данная чрезвычайная ситуация не может быть отнесена к чрезвычайной ситуации локального характера Средняя степень ущерба Межмуниципальный характер Величина материального ущерба б) свыше 100 тыс. рублей, но не более 5 млн рублей Число пострадавших б) свыше 10 человек, но не более 50 человек Зона чрезвычайной ситуации в) затрагивает территорию двух и более поселений, внутригородских территорий города федерального значения или межселенную территорию Региональный характер Величина материального ущерба в) свыше 5 млн рублей, но не более 500 млн рублей Число пострадавших в) свыше 50 человек, но не более 500 человек Зона чрезвычайной ситуации г) не выходит за пределы территории одного субъекта Российской Федерации Высокая степень ущерба Межрегиональный характер Величина материального ущерба в) свыше 5 млн рублей, но не более 500 млн рублей Число пострадавших в) свыше 50 человек, но не более 500 человек Зона чрезвычайной ситуации д) затрагивает территорию двух и более субъектов Российской Федерации Федеральный характер Величина материального ущерба г) свыше 500 млн рублей Число пострадавших г) свыше 500 человек Зона чрезвычайной ситуации е) федерального характера *Характер ЧС определяется в соответствии с постановлением Правительства РФ № 304 [11]