CC BY
53
Щ А.С. Ярош // A.S.Yaroch rosniigdbuh@mail.ru
Щ А.В. Житников//
A.V. Zhitnikov
канд. техн. наук, академик МАНЭБ, генеральный директор ООО "НИИ Горного Дела", 650002, Россия, г. Кемерово, Сосновый бульвар, 1 candidate of technical sciences, academician of MANEB, general director of LLC "Research Institute of Mining", 650002, Russia, Kemerovo, Sosnovy Boulevard, 1
ZhitnikovAV@mail.ru
i
vVv
Начальник отдела информационной безопасности АО «СУЭК-КУЗБАСС» г. Ленинск-Кузнецкий, ул. Васильева, 1 Head of the Information Security
Department of SUEK-KUZBASS JSC Leninsk-Kuznetsky, st. Vasilyeva, 1
УДК 622.831.322
ЦИФРОВАЯ ЭКОНОМИКА И БЕЗОПАСНОСТЬ КИИ ТЭК DIGITAL ECONOMY AND SECURITY KII TEK
В статье рассматривается актуальная тема информационной безопасности на объектах ТЭК, обладающих информационной инфраструктурой и использующих цифровые технологии в рамках "Цифровой экономики". Приведены основные направления в развитии информационного общества. Обобщены источники и нормативно-правовая база программы "Цифровая экономика". Расмотрены основные организации, осуществляющие деятельность в сфере практического развития цифровой экономики и бизнеса за рубежом. Указаны основные проблемы цифровизации - отсутствие достаточного количества материалов для проведения полноценного исследования взаимосвязи между данными технологиями и производством, а так же уязвимость для информационных угроз. Уязвимость цифровых технологий для информационных угроз, постоянное развитие преступных хакерский группировок, имеющих противоправные устремления в т.ч. в сфере ТЭК создают потребность в развитии информационной безопасности на производственных объектах. Особую уязвимость в РФ имеют объекты критической информационной инфраструктуры (КИИ). Актуальность вопроса по обеспечению безопасности «КИИ» подтверждается ужесточением законодательной (уголовной и административной) ответственности в данной сфере в текущем периоде. Изучены осовновые аспекты и проблемы законодательства обеспечение безопасности КИИ.
The article discusses the current topic of information security at fuel and energy facilities that have an information infrastructure and use digital technologies within the framework of the "Digital Economy". The main directions in the development of the information society are given. The sources and legal framework of the Digital Economy program are summarized. The main organizations involved in the practical development of the digital economy and business abroad are considered. The main problems of digitalization are indicated - the lack of a sufficient amount of materials to conduct a full study of the relationship between these technologies and production, as well as vulnerability to information threats. Vulnerability of digital technologies to information threats, the constant development of criminal hacker groups with illegal aspirations, incl. in the fuel and energy sector create a need for the development of information security at production facilities. Critical information infrastructure facilities (CII) have a particular vulnerability in the Russian Federation. The relevance of the issue of ensuring the security of CII is confirmed by the tightening of legislative (criminal and administrative) liability in this area in the current period. The main aspects and problems of legislation to ensure the safety of the CII have been studied.
Ключевые слова: ЦИФРОВАЯ ЭКОНОМИКА, ТЭК, КРИТИЧЕСКИЕ ОБЪЕКТЫ ИНФРАСТРУКТУРЫ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, КИИ
Key words: DIGITAL ECONOMY, FUEL AND ENERGY COMPLEX, CRITICAL INFRASTRUCTURE OBJECTS, INFORMATION SECURITY, CII
анная статья подготовлена для развития более точного представления о возможностях «цифровой экономики». Важности и актуальности инфор-
В 2020 произошло заметное увеличение использования «цифровых технологий» в различных сферах. Одним из самых популярных направлений стала «Цифровая экономика».
мационнвй безопасности на объектах ТЭК, обладающих информационной инфраструктурой и использующих цифровые технологии.
«Цифровая экономика» определяется, как экономическая деятельность, основанная на цифровых технологиях, связанная с электронным
бизнесом и электронной коммерцией, и производимых и сбываемых ими цифровыми товарами и услугами. Расчёты за услуги и товары цифровой экономики производятся зачастую цифровой валютой - «электронными деньгами». (Глоссарий. ги: Сетевая экономика)
Цифровая экономика изучается и развивается, как государственными, так частными организациями. Наиболее важная цель этого развития - «четвертая промышленная революция».
Основные составляющие четвертой промышленной революции:
- Развитие количества и качества цифровых технологий. Использование новых вычислительных технологии (в их числе облачных и туманных технологий, квантовых вычислений), интернет вещей, промышленный интернет («индустрия 4.0»), блокчейн, технологии поиска информации в больших массивах данных.
- Преобразование ноосферы, и т.н. «физического мира». Это - развитие искусственного интеллекта и робототехники, создание новых материалов с уникальными заданными свойствами, аддитивное производство, в т.ч. с использованием 3D печати.
- Усовершенствование человека. Это -развитие био- и нейротехнологий. Создание масштабной виртуальной и дополненной реальность.
- Организация высокотехнологичного взаимодействие с окружающей средой. Это - развитие энергетики, геоинженерии и космических технологий.
Развитие цифровой экономики в России осуществляется в соответствии с указом Президента РФ от 09.05.17 № 203 «О стратегии развития информационного общества в российской федерации на 2017 - 2030 годы»:
К основным направлениям в развитии информационного общества в соответствии с указанным документом относятся:
- цифровая экономика - хозяйственная деятельность, в которой ключевым фактором производства являются данные в цифровом виде, обработка больших объемов и использование результатов анализа которых по сравнению с традиционными формами хозяйствования позволяют существенно повысить эффективность различных видов производства, технологий, оборудования, хранения, продажи, доставки товаров и услуг;
- экосистема цифровой экономики - партнерство организаций, обеспечивающее постоянное взаимодействие принадлежащих им технологических платформ, прикладных интер-
нет-сервисов, аналитических систем, информационных систем органов гос. власти РФ, организаций и граждан.
- информационное общество - общество, в котором информация и уровень ее применения и доступности кардинальным образом влияют на экономические и социокультурные условия жизни граждан;
- индустриальный интернет - концепция построения информационных и коммуникационных инфраструктур на основе подключения к информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") промышленных устройств, оборудования, датчиков, сенсоров, систем управления технологическими процессами, а также интеграции данных программно-аппаратных средств между собой без участия человека;
- интернет вещей - концепция вычислительной сети, соединяющей вещи (физические предметы), оснащенные встроенными информационными технологиями для взаимодействия друг с другом или с внешней средой без участия человека;
- критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой;
Источники и нормативная база цифрового общества.
Источниками для развития цифрового общества в РФ являются:
«Окинавская хартия глобального информационного общества» (Окинава, 22.07.2000),
«Декларация принципов построения информационного общества - глобальная задача в новом тысячелетии. Утверждена Всемирной встречей на высшем уровне по вопросам информационного общества Женева 2003 - Тунис 2005 («Тунисское обязательство»),
Решения профильных организационных структур Всемирного экономического форума,
Постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 - 20 годы),
Указ Президента Российской Федерации от 09.05.17 № 203 «О стратегии развития информационного общества в российской федерации на 2017 - 2030 годы»,
Распоряжение Правительства РФ от
28.07.17 № 1632 «Об утверждении программы цифровая экономика РФ»,
Указ Президента Российской Федерации от 10.10.19 № 490 «О развитии искусственного интеллекта в Российской Федерации» и др.
Организации, осуществляющие развитие и популяризацию цифровой экономики.
К основным информационно-сетевым центрам, осуществляющим деятельность в сфере практического развития цифровой экономики и бизнеса за рубежом можно отнести следующие: www.stanford.edu/group/scforum, www. escf.net, www.sas.com,www.oracle.com, www. businessobjects.com и др.
В России развитие различных направлений цифровой экономики и искусственного интеллекта осуществляет ограниченное число организаций. Среди них: структурные подразделения «Газпрома», «Роснефти» и «Сбербанка», российское представительство «Luxoft, a DXC Technology Company», «IBS Group Holding Ltd», ООО «Медиалогия» и др. Данные организации развивают технологии, предназначенные преимущественно для отраслевого использования.
Развитие цифровых технологий, имеющих практическую ценность для реального сектора экономики (особенно для предприятий ТЭК, транспортно - логистических организаций и служб безопасности различного уровня) осуществляют: автономная некоммерческая организация «Кластер искусственного интеллекта», созданная и функционирующая при непосредственном участии учёных СО РАН (одно из направлений деятельности - разработка автоматизированных систем управления рисками на основе искусственного интеллекта), ООО «Ин-такт», занимающееся интегрированием цифровых технологий для предприятий производственной сферы под конкретные нужды, ООО «Фейсметрик» (разработчик систем интеллектуального видеонаблюдения для объектов повышенной опасности) и др.
Существующие проблемы: Новизна цифровых технологий обуславливает отсутствие достаточного количества материалов для проведения полноценного исследования взаимосвязи между данными технологиями и производством. Также, работающие с использованием цифровых технологий отрасли экономики является особо уязвимыми для информационных угроз.
В перспективе ожидается изучение влияния, которое «цифровизация» оказывает на производственные объекты (в т.ч. ТЭК) и разработка Стандартов обеспечения безопасности на дан-
ных объектах.
Важность и актуальность обеспечения Безопасности КИИ ТЭК.
Вопросы безопасности цифровой инфраструктуры в настоящее время являются одними из наиболее важных и актуальных не только в России, но и в мире в целом. Так, на прошедшем в 20 г. международном экономическом форуме в Давосе кибербезопасность общества и бизнеса вошла в тройку основных обсуждаемых вопросов.
Уязвимость цифровых технологий для информационных угроз, постоянное развитие преступных хакерский группировок, имеющих противоправные устремления в т.ч. в сфере ТЭК создают потребность в развитии информационной безопасности на производственных объектах.
Согласно экспертному мнению, в РФ к наиболее уязвимым относятся объекты критической информационной инфраструктуры. Эти объекты подлежат защите в соответствии с требованиями Российского законодательства.
В соответствии с ФЗ от 26.07.17 г. № 187-
ФЗ:
Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Безопасность КИИ - это комплекс мер по обеспечению устойчивого и бесперебойного функционирования критичных бизнес процессов предприятия. Включает в себя мероприятия по защите информации в информационных систе-
мах, автоматизированных системах управления технологическими процессами и информационно-телекоммуникационных сетях.
Вопросам обеспечения безопасности КИИ в РФ стали уделять большое внимание со 2 п. 19.
На 17 ежегодной «прямой линии с президентом» 20.06.19 теме «КИИ» было посвящено несколько вопросов. В обсуждении, которых принимали, как рядовые граждане, так и представили организаций, специализирующихся на обеспечении информационной безопасности (в частности руководитель «InfoWatch» Наталья Касперская). Актуальность вопроса по обеспечению безопасности «КИИ» подтверждается ужесточением законодательной (уголовной и административной) ответственности в данной сфере в текущем периоде.
В соответствии с действующим законодательством и мерами, принимаемыми государственными контролирующими органами создание эффективной системы безопасности ожидается в 2020 году.
Но фактически требования законодательства начнут эффективно исполняться не ранее 2021г.
Основные причины:
- Сложность самостоятельного выполнения требований по защите объектов КИИ.
В соответствии с требованиями законодательства обеспечение безопасности КИИ состоит из последовательных этапов:
оценка текущего состояния защищённости информационной инфраструктуры предприятия;
категорирование объектов критической информационной инфраструктуры во ФСТЭК;
СПИСОК ЛИТЕРАТУРЫ
разработка и внедрение комплексных систем защиты информации для значимых объектов КИИ предприятия;
сопровождение и эксплуатация программно-аппаратных средств защиты информации объектов КИИ;
обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации.
При этом, законодательно предусмотрена обязанность субъектов КИИ по обязательному информированию о компьютерных инцидентах федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак - («ГосСОПКА») ФСБ РФ.
- Ограничения деловой активности, в том числе в сфере ИБ в связи с режимом повышенной готовности и массовой дистанционной работой.
- Отсутствие квалифицированных специалистов. Ранее подготовка специалистов по КИИ не велась. Единицы специалистов получили необходимую подготовку в 2018-2019 годах. При этом, годовой фонд оплаты труда (время необходимое для проведения категорирования и проектирования системы ИБ КИИ) составляет значительную для предприятия сумму. Количество известных авторам организаций, способных квалифицированно выполнить данную работу, действующих в регионе не превышает четырех.
Вместе с тем, выполнение мероприятий по обеспечению безопасности объектов КИИ, является важным условием для безопасности предприятий ТЭК.
1. Федеральный Закон от 26.07.17 г. № 187-ФЗ «О безопасности КИИ РФ»
2. Федеральный З от 21.07.11 г № 256-ФЗ «О безопасности объектов ТЭК»
3. Приказ ФСТЭК России от 06.12.17 № 227 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ»
4. Приказ ФСТЭК России от 11.12.17 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»;
5. Приказ ФСТЭК России от 21.12.17 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
6. Приказ ФСТЭК России от 22.12.17 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий»
7. Приказ ФСТЭК России от 25.12.17 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
8. Постановление Правительства РФ от 21.05.17 № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»
9. Постановление Правительства от 08.02.18 РФ № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»
10. Постановление Правительства РФ № 162 от 17.02.18 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»
11. Постановление Правительства РФ от 13.04.19 № 452 «О внесении изменений в постановление Правительства РФ № 127 от 08.02.18»
12. Приказ ФСБ России № 366 от 24.07.18 «О НКЦКИ»
Проблемы и суждения
к
13. Приказ ФСБ России № 367 от 24.07.18 «Об утверждении Перечня информации, представляемой в «ГосСОПКА» и Порядка представления информации в «ГосСОПКА»
14. Приказ ФСБ России № 368 от 24.07.18 «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
15. Методические рекомендации Минэнерго/ФСТЭК (31.07.19 № ЧА-8630/15 от 26.08.19 № 240/25/4048)
16. Окинавская хартия глобального информационного общества» (Окинава, 22.07.2000)
17. «Декларация принципов построения информационного общества - глобальная задача в новом тысячелетии. Утверждена Всемирной встречей на высшем уровне по вопросам информационного общества Женева 2003 -Тунис 2005 («Тунисское обязательство»)
18. Решения профильных организационных структур Всемирного экономического форума
19. Постановление Правительства Российской Федерации от 15 апреля 2014 г N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 - 2020 годы)
20. Указ Президента Российской Федерации от 09.05.17 № 203 «О стратегии развития информационного общества в российской федерации на 2017 - 2030 годы»
21. Распоряжение Правительства РФ от 28.07.17 № 1632 «Об утверждении программы цифровая экономика РФ»
22. Указ Президента Российской Федерации от 10.10.19 № 490 «О развитии искусственного интеллекта в Российской Федерации»
REFERENCES
1. Federal Law of 26.07.17, No. 187-FZ "On the safety of the CII RF"
2. Federal Law of 21.07.11, No. 256-FZ "On the safety of fuel and energy facilities"
3. Order of the FSTEC of Russia dated 06.12.17 No. 227 "On approval of the Procedure for maintaining the register of significant objects of the CII RF"
4. Order of the FSTEC of Russia dated 11.12.17 No. 229 "On approval of the form of the inspection report drawn up following the results of state control in the field of ensuring the safety of significant facilities of the RF ClI";
5. Order of the FSTEC of Russia dated December 21, 17 No. 235 "On approval of the Requirements for the creation of security systems for significant facilities of the CII RF and ensuring their functioning"
6. Order of the FSTEC of Russia dated December 22, 17 No. 236 "On approval of the form for sending information on the results of assigning a critical information infrastructure to one of the categories of significance, or on the absence of the need to assign one of such categories to it"
7. Order of the FSTEC of Russia dated 25.12.17 No. 239 "On approval of the Requirements for ensuring the security of significant objects of the critical information infrastructure of the Russian Federation"
8. Decree of the Government of the Russian Federation of 05/21/17 No. 304 "On the classification of natural and man-made emergencies"
9. Decree of the Government of 08.02.18 RF No. 127 "On approval of the Rules for categorizing objects of the RF CII, as well as the list of indicators of criteria for the significance of the RF CII objects and their values"
10. Decree of the Government of the Russian Federation No. 162 dated 02.17.18 "On approval of the Rules for the implementation of state control in the field of ensuring the safety of significant facilities of the KII RF"
11. Decree of the Government of the Russian Federation of 13.04.19 No. 452 "On Amendments to the Decree of the Government of the Russian Federation No. 127 of 08.02.18"
12. Order of the FSB of Russia No. 366 of 07.24.18 "On NKTsKI"
13. Order of the FSB of Russia No. 367 of 07.24.18 "On Approval of the List of Information Submitted to GosSOPKA" and the Procedure for Submitting Information to GosSOPKA
14. Order of the FSB of Russia No. 368 of 07.24.18 "On Approval of the Procedure for the Exchange of Information on Computer Incidents and the Procedure for Obtaining Information on the Means and Methods of Computer Attacks by CII Subjects and on Methods of Their Prevention and Detection"
15. Methodical recommendations of the Ministry of Energy / FSTEC (31.07.19 No. ЧА-8630/15 dated 26.08.19 No. 240/25/4048)
16. Okinawa Charter of the Global Information Society "(Okinawa, 22.07.2000)
17. "Declaration of principles for building an information society is a global task in the new millennium. Approved by the World Summit on the Information Society Geneva 2003 - Tunis 2005 ("Tunis Commitment")
18. Decisions of the specialized organizational structures of the World Economic Forum
19. Resolution of the Government of the Russian Federation of April 15, 2014 N 313 "On approval of the state program of the Russian Federation" Information Society (2011 - 2020)
20. Decree of the President of the Russian Federation of 05/09/17 No. 203 "On the strategy for the development of the information society in the Russian Federation for 2017 - 2030"
21. Order of the Government of the Russian Federation of July 28, 17 No. 1632 "On the approval of the digital economy program of the Russian Federation"
22. Decree of the President of the Russian Federation dated 10.10.19 No. 490 "On the development of artificial intelligence in the Russian Federation"
72
