Контакты
Подписка 2025
Статьи по информационной безопасности

Частые ошибки при проектировании системы защиты ОКИИ

Редакция журнала "Информационная безопасность", 19/02/25

В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

ris2_w-Feb-19-2025-04-21-30-7690-PM

Эксперты:

  • Алексей Воробьев, руководитель отдела внедрения АО "ЭЛВИС-ПЛЮС"
  • Максим Добряков, руководитель отдела консалтинга и аудита АО "ЭЛВИС-ПЛЮС"
  • Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING
  • Владимир Макеев, руководитель отдела проектирования АО "ЭЛВИС-ПЛЮС"
  • Михаил Молчанов, руководитель группы систем защиты АСУ ТП, "Газинформсервис"
  • Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
  • Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
  • Евгения Поташова, руководитель направления обеспечения безопасности критической информационной инфраструктуры АО "ЭЛВИС-ПЛЮС"
  • Максим Таланов, эксперт по информационной безопасности, "Инфосистемы Джет"

Каковы основные риски для объектов КИИ в 2025 году?

Владимир Макеев, ЭЛВИС-ПЛЮС:

Основным риском остается использование ПО производителей из недружественных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обновление несут в себе риски с добавлением недекларированных возможностей.

Владислав Крылов, AKTIV.CONSULTING:

Следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.

Еще один аспект: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса.

Константин Саматов, АРСИБ:

По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит.

Вячеслав Половинко, АМТ-ГРУП:

Основными рисками остаются разрозненность применяемых СЗИ, отсутствие экосистемного подхода и высокая скорость изменений, часто сопровождающаяся потерей качества при проектировании новых систем защиты информации. Кроме того, сохраняется и кадровый голод, который проявляется как в недостатке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда.

Михаил Молчанов, Газинформсервис:

Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рисков для субъекта КИИ может стать значительное расширение перечня объектов КИИ, а как следствие, не исключены ошибки при прочтении типовых перечней, при формировании новых объектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рисками для бизнеса.

Максим Таланов, Инфосистемы Джет:

Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих злоумышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе.

Есть проблема и с выполнением требований законодательства: понятие "объекты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиальной.

Какие ошибки чаще всего допускают организации при проектировании системы защиты ОКИИ?

Вячеслав Половинко, АМТ-ГРУП:

Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдельным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуация, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего комплекса запроектированных средств невозможно.

Максим Таланов, Инфосистемы Джет:

Если проектирование ведется системно, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выделил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обязательным по закону. Отмечу, что, к сожалению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к проектированию.

Константин Саматов, АРСИБ:

Распространенная ошибка – отсутствие комплексного подхода к архитектуре безопасности. Проектировщики часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаимодействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабостям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответвлением данной проблемы является закладывание в проектные решения зарубежных решений, что категорически недопустимо делать в текущих условиях.

Владислав Крылов, AKTIV.CONSULTING:

Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:

  • Недостаточная оценка негативных последствий от компьютерных атак.
  • Некорректная оценка уязвимостей в системах и последующее составление некорректного перечня актуальных угроз безопасности информации.
  • Занижение категории значимости, так как зачастую субъекты КИИ проводят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии с пунктом 14.1 Правил категорирования объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.

Михаил Молчанов, Газинформсервис:

Ошибки при проектировании возникают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учитываются особенности оргштатной структуры субъекта КИИ в части распределения зон ответственности по администрированию и эксплуатации объекта КИИ, не учитываются существующие у субъекта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архитектуры системы защиты могут возникнуть сложности при назначении ответственных за обеспечение ИБ объектов КИИ.

Владимир Макеев, ЭЛВИС-ПЛЮС:

Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компонентов СЗИ. Используемые при построении систем безопасности программно-аппаратные комплексы часто имеют устаревшие прошивки, предустановленные пароли, ненастроенные ОС, усугубленные отсутствием антивирусной защиты. Надо всегда учитывать, что любой сервер управления СЗИ является критичным компонентом, способным нарушить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь.

Алексей Воробьев, ЭЛВИС-ПЛЮС:

Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была присвоена ни одна из категорий значимости в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при создании системы защиты применяют приказ ФСТЭК России 31, который не является подзаконным актом Федерального закона 187. В данном случае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется данными приказами и остается на усмотрение организации, которой принадлежат ОКИИ.
Темы:КИИКруглый столЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"