Частые ошибки при проектировании системы защиты ОКИИ
Редакция журнала "Информационная безопасность", 19/02/25
В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
Эксперты:
- Алексей Воробьев, руководитель отдела внедрения АО "ЭЛВИС-ПЛЮС"
- Максим Добряков, руководитель отдела консалтинга и аудита АО "ЭЛВИС-ПЛЮС"
- Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING
- Владимир Макеев, руководитель отдела проектирования АО "ЭЛВИС-ПЛЮС"
- Михаил Молчанов, руководитель группы систем защиты АСУ ТП, "Газинформсервис"
- Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
- Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
- Евгения Поташова, руководитель направления обеспечения безопасности критической информационной инфраструктуры АО "ЭЛВИС-ПЛЮС"
- Максим Таланов, эксперт по информационной безопасности, "Инфосистемы Джет"
Каковы основные риски для объектов КИИ в 2025 году?
Владимир Макеев, ЭЛВИС-ПЛЮС:
Основным риском остается использование ПО производителей из недружественных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обновление несут в себе риски с добавлением недекларированных возможностей.
Владислав Крылов, AKTIV.CONSULTING:
Следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.
Еще один аспект: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса.
Константин Саматов, АРСИБ:
По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит.
Вячеслав Половинко, АМТ-ГРУП:
Основными рисками остаются разрозненность применяемых СЗИ, отсутствие экосистемного подхода и высокая скорость изменений, часто сопровождающаяся потерей качества при проектировании новых систем защиты информации. Кроме того, сохраняется и кадровый голод, который проявляется как в недостатке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда.
Михаил Молчанов, Газинформсервис:
Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рисков для субъекта КИИ может стать значительное расширение перечня объектов КИИ, а как следствие, не исключены ошибки при прочтении типовых перечней, при формировании новых объектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рисками для бизнеса.
Максим Таланов, Инфосистемы Джет:
Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих злоумышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе.
Есть проблема и с выполнением требований законодательства: понятие "объекты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиальной.
Какие ошибки чаще всего допускают организации при проектировании системы защиты ОКИИ?
Вячеслав Половинко, АМТ-ГРУП:
Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдельным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуация, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего комплекса запроектированных средств невозможно.
Максим Таланов, Инфосистемы Джет:
Если проектирование ведется системно, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выделил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обязательным по закону. Отмечу, что, к сожалению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к проектированию.
Константин Саматов, АРСИБ:
Распространенная ошибка – отсутствие комплексного подхода к архитектуре безопасности. Проектировщики часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаимодействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабостям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответвлением данной проблемы является закладывание в проектные решения зарубежных решений, что категорически недопустимо делать в текущих условиях.
Владислав Крылов, AKTIV.CONSULTING:
Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:
- Недостаточная оценка негативных последствий от компьютерных атак.
- Некорректная оценка уязвимостей в системах и последующее составление некорректного перечня актуальных угроз безопасности информации.
- Занижение категории значимости, так как зачастую субъекты КИИ проводят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии с пунктом 14.1 Правил категорирования объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
Михаил Молчанов, Газинформсервис:
Ошибки при проектировании возникают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учитываются особенности оргштатной структуры субъекта КИИ в части распределения зон ответственности по администрированию и эксплуатации объекта КИИ, не учитываются существующие у субъекта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архитектуры системы защиты могут возникнуть сложности при назначении ответственных за обеспечение ИБ объектов КИИ.
Владимир Макеев, ЭЛВИС-ПЛЮС:
Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компонентов СЗИ. Используемые при построении систем безопасности программно-аппаратные комплексы часто имеют устаревшие прошивки, предустановленные пароли, ненастроенные ОС, усугубленные отсутствием антивирусной защиты. Надо всегда учитывать, что любой сервер управления СЗИ является критичным компонентом, способным нарушить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь.
Алексей Воробьев, ЭЛВИС-ПЛЮС:
Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была присвоена ни одна из категорий значимости в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при создании системы защиты применяют приказ ФСТЭК России № 31, который не является подзаконным актом Федерального закона № 187. В данном случае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется данными приказами и остается на усмотрение организации, которой принадлежат ОКИИ.