Статус КВО

России появляются объекты, об информационной безопасности которых будет заботиться государство. Это касается в первую очередь так называемых критически важных объектов (КВО), нарушение работы которых может повлечь за собой серьезные экономические или человеческие потери государства. Правительство РФ разработало и утвердило программу для построения системы защиты КВО, куда как компонент входит и информационная безопасность. Статус «критически важного объекта» позволяет достаточно точно определить понятие информационной безопасности как обеспечение защиты системы управления КВО от внешних деструктивных воздействий.

Поскольку работа КВО напрямую зависит от работоспособности ее системы управления, то программное обеспечение, управляющее работой КВО, должно отвечать требованиям отказоустойчивости, управляемости и безопасности. Это фактически и является основанием для того, чтобы при построении системы управления КВО потребовать использования только проверенных (сертифицированных) продуктов защиты. Предъявляя требования для построения защищенных систем управления, государство намерено использовать весь тот багаж руководящих документов, которые уже были разработаны ранее для систем информационной безопасности. Общие вопросы защиты систем управления КВО обсуждались на семинаре «Защита информационных и телекоммуникационных сетей и систем критически важных объектов», который провела компания «Информзащита» в рамках выставки «Ведомственные и корпоративные информационные системы, сети и средства связи».

Для реализации правительственной программы по созданию системы защиты КВО сейчас разрабатываются требования к программному обеспечению важных объектов. Они будут выпущены в виде документа под названием «Об особенностях обеспечения информационной безопасности на критически важных объектах». В этом документе будут сформулированы требования к защите систем управления КВО. На соответствие этим требованиям и будут проверяться все продукты, устанавливаемые на объектах. В концепции построения защиты КВО есть также понятие о так называемых критических сегментах инфраструктуры. К ним относятся сети государственных банков, силовых структур, энергетиков, предприятий нефтегазового комплекса, транспорта, водоочистных сооружений, связи и опасных производств. Список КВО для каждого региона свой: он утверждается на уровне руководства региона. До подготовки российских требований к информационной защите КВО можно использовать международные стандарты безопасности.

Статус КВО, присвоенный какому-либо предприятию, налагает определенные требования не только на программное обеспечение самого предприятия, но и на связанную с ним инфраструктуру. Так, в дополнение к требованиям по инфобезопасности КВО, Мининформсвязи готовит еще один руководящий документ для операторов связи, которые будут предоставлять свои услуги для КВО. К таким операторам будут предъявляться повышенные требования по обеспечению безопасности, поскольку предполагается, что системы связи сотрудники КВО будут использовать в том числе и для обеспечения его защиты. Список требований к операторам сейчас разрабатывается. Соблюдение этих требований будет обязательно для тех операторов, которые будут предоставлять услуги связи для КВО в рамках государственных контрактов. Таким образом, вокруг статуса КВО формируется набор требований и сертификационных органов, под действие которых будет подпадать достаточно большой кусок рынка информационной безопасности.