Контакты
Подписка 2025
Статьи по информационной безопасности

Частые ошибки при проектировании системы защиты ОКИИ

Редакция журнала "Информационная безопасность", 19/02/25

В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

ris2_w-Feb-19-2025-04-21-30-7690-PM

Эксперты:

  • Алексей Воробьев, руководитель отдела внедрения АО "ЭЛВИС-ПЛЮС"
  • Максим Добряков, руководитель отдела консалтинга и аудита АО "ЭЛВИС-ПЛЮС"
  • Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING
  • Владимир Макеев, руководитель отдела проектирования АО "ЭЛВИС-ПЛЮС"
  • Михаил Молчанов, руководитель группы систем защиты АСУ ТП, "Газинформсервис"
  • Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
  • Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
  • Евгения Поташова, руководитель направления обеспечения безопасности критической информационной инфраструктуры АО "ЭЛВИС-ПЛЮС"
  • Максим Таланов, эксперт по информационной безопасности, "Инфосистемы Джет"

Каковы основные риски для объектов КИИ в 2025 году?

Владимир Макеев, ЭЛВИС-ПЛЮС:

Основным риском остается использование ПО производителей из недружественных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обновление несут в себе риски с добавлением недекларированных возможностей.

Владислав Крылов, AKTIV.CONSULTING:

Следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.

Еще один аспект: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса.

Константин Саматов, АРСИБ:

По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит.

Вячеслав Половинко, АМТ-ГРУП:

Основными рисками остаются разрозненность применяемых СЗИ, отсутствие экосистемного подхода и высокая скорость изменений, часто сопровождающаяся потерей качества при проектировании новых систем защиты информации. Кроме того, сохраняется и кадровый голод, который проявляется как в недостатке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда.

Михаил Молчанов, Газинформсервис:

Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рисков для субъекта КИИ может стать значительное расширение перечня объектов КИИ, а как следствие, не исключены ошибки при прочтении типовых перечней, при формировании новых объектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рисками для бизнеса.

Максим Таланов, Инфосистемы Джет:

Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих злоумышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе.

Есть проблема и с выполнением требований законодательства: понятие "объекты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиальной.

Какие ошибки чаще всего допускают организации при проектировании системы защиты ОКИИ?

Вячеслав Половинко, АМТ-ГРУП:

Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдельным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуация, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего комплекса запроектированных средств невозможно.

Максим Таланов, Инфосистемы Джет:

Если проектирование ведется системно, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выделил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обязательным по закону. Отмечу, что, к сожалению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к проектированию.

Константин Саматов, АРСИБ:

Распространенная ошибка – отсутствие комплексного подхода к архитектуре безопасности. Проектировщики часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаимодействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабостям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответвлением данной проблемы является закладывание в проектные решения зарубежных решений, что категорически недопустимо делать в текущих условиях.

Владислав Крылов, AKTIV.CONSULTING:

Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:

  • Недостаточная оценка негативных последствий от компьютерных атак.
  • Некорректная оценка уязвимостей в системах и последующее составление некорректного перечня актуальных угроз безопасности информации.
  • Занижение категории значимости, так как зачастую субъекты КИИ проводят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии с пунктом 14.1 Правил категорирования объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.

Михаил Молчанов, Газинформсервис:

Ошибки при проектировании возникают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учитываются особенности оргштатной структуры субъекта КИИ в части распределения зон ответственности по администрированию и эксплуатации объекта КИИ, не учитываются существующие у субъекта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архитектуры системы защиты могут возникнуть сложности при назначении ответственных за обеспечение ИБ объектов КИИ.

Владимир Макеев, ЭЛВИС-ПЛЮС:

Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компонентов СЗИ. Используемые при построении систем безопасности программно-аппаратные комплексы часто имеют устаревшие прошивки, предустановленные пароли, ненастроенные ОС, усугубленные отсутствием антивирусной защиты. Надо всегда учитывать, что любой сервер управления СЗИ является критичным компонентом, способным нарушить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь.

Алексей Воробьев, ЭЛВИС-ПЛЮС:

Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была присвоена ни одна из категорий значимости в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при создании системы защиты применяют приказ ФСТЭК России 31, который не является подзаконным актом Федерального закона 187. В данном случае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется данными приказами и остается на усмотрение организации, которой принадлежат ОКИИ.
Темы:КИИКруглый столЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"