Весной 2011 года в ФСК был создан Департамент информационной безопасности и специальных проектов (ДИБСП). О целях, задачах и итогах первого года работы новой структуры корреспонденту «ЕС» Сергею Арсеньеву рассказал начальник департамента Николай Егоров.
Сергей Арсеньев
– Николай Алексеевич, с какой целью создавался возглавляемый вами департамент?
– С целью повышения уровня информационной безопасности при обеспечении функционирования ЕНЭС, а также уровня физической безопасности объектов ФСК. Бурное развитие информационных технологий предъявляет новые требования в этом плане. С учетом масштабности задач, которые решает наша компания, мы просто обязаны максимально им соответствовать.
– Такая работа требует системного подхода. С чего вы начинали?
– На первом этапе мы уделили самое серьезное внимание кадровому вопросу. В результате сегодня я с уверенностью могу сказать: в нашем департаменте работает команда настоящих профессионалов – и в плане знаний, и в плане ответственного отношения к делу. Под новые цели и задачи была актуализирована и имеющаяся правовая база компании, в частности организационно-распорядительные документы (ОРД), регламентирующие защиту информации, содержащей коммерческую тайну и персональные данные, организована работа по контролю их выполнения на всех уровнях. Кроме того, внутри департамента был создан корпоративный удостоверяющий центр ФСК, получены соответствующие лицензии ФСБ России.
Летом 2011 года мы провели аудит информационной безопасности информационно-телекоммуникационных и технологических инфраструктур ФСК, включая все МЭС, были выработаны и реализованы первоочередные меры по повышению их защищенности.
Результаты этой деятельности были подвергнуты тщательному анализу, итоги которого нашли отражение в утвержденной в феврале текущего года приказом Председателя Правления ФСК Концепции информационной безопасности компании, а также в Программе обеспечения информационной безопасности ОАО «ФСК ЕЭС» на 2012–2020 годы, которая недавно одобрена Правлением Общества.
– Расскажите о практических наработках по повышению физической безопасности объектов ФСК, реализуемых вашим департаментом?
– Одно из главных направлений, на котором сосредоточены наши усилия, – это внедрение в ФСК комплексной автоматизированной системы управления безопасностью (КАСУБ). Она формирует единое информационноуправляющее пространство, дает возможность осуществлять по защищенным каналам связи из ПМЭС, МЭС и исполнительного аппарата компании мониторинг обстановки на подстанциях. Кроме того, за счет интеллектуальной составляющей поддержки принятия решений система позволяет повысить своевременность реагирования и качество принимаемых управленческих решений при локализации и ликвидации нештатных ситуаций на всех уровнях. Сегодня КАСУБ уже функционирует на ряде объектов МЭС Юга, завершается ее проектирование в масштабе всей ФСК.
– В работе над повышением информационной безопасности ФСК вы ориентируетесь на зарубежный или отечественный опыт?
– Главный критерий, которым мы руководствуемся при принятии на вооружение той или иной разработки, – ее эффективность. Автоматизация и информатизация процессов корпоративного и технологического управления электроэнергетикой на Западе начались раньше, соответственно, раньше была начата и проработка вопросов информационной безопасности. Например, еще в 2002 году Правительство США выпустило буклет «21 шаг для повышения кибербезопасности SCADA-систем», который по сей день является методической базой для работ в этом направлении по всему миру. Мы не можем не учитывать этот опыт в своей деятельности.
Однако при этом мы строго выполняем требования российского законодательства, регламентирующие этот процесс. В 2011 году был принят Федеральный закон Российской Федерации «О безопасности объектов ТЭК», прямо указывающий на необходимость комплексного обеспечения безопасности информационных систем ТЭК. Сейчас идет разработка соответствующих подзаконных актов. И сегодня перед нами стоит задача правильно адаптировать лучшие мировые практики для России, с тем чтобы не повторить тех ошибок, которые порой допускались при автоматизации технологического управления в других странах. В частности, для этого важно использовать отечественное криптографическое обеспечение, проводить аттестацию оборудования и систем. Эту работу мы сейчас активно проводим совместно с НТЦ ФСК. В перспективе необходим переход на доверенное оборудование с гарантированным отсутствием недекларированных возможностей – в энергетике это вопрос национальной безопасности.
– Задачи, решаемые вами, глобальны. Однако согласитесь, успех вашей деятельности во многом зависит от того, насколько четко будет соблюдать правила информационной безопасности каждый сотрудник ФСК. Какие рекомендации в связи с этим вы им можете дать?
– Важно строго выполнять действующие ОРД ФСК в этой области. Никому не сообщать свои пароли: в наших корпоративных системах сейчас возможно оформить замещение и дать легальный доступ со своими полномочиями. Переходить на использование для авторизации электронных ключей, что необходимо, в частности, для работы с коммерческой тайной компании. Только такой подход, подразумевающий ответственное отношение к вопросам соблюдения правил информационной безопасности всех без исключения сотрудников компании, позволит нам достичь всех планируемых результатов и поставленных целей.
