Контакты
Подписка 2025

Частые ошибки при проектировании системы защиты ОКИИ

Редакция журнала "Информационная безопасность", 19/02/25

В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

ris2_w-Feb-19-2025-04-21-30-7690-PM

Эксперты:

  • Алексей Воробьев, руководитель отдела внедрения АО "ЭЛВИС-ПЛЮС"
  • Максим Добряков, руководитель отдела консалтинга и аудита АО "ЭЛВИС-ПЛЮС"
  • Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING
  • Владимир Макеев, руководитель отдела проектирования АО "ЭЛВИС-ПЛЮС"
  • Михаил Молчанов, руководитель группы систем защиты АСУ ТП, "Газинформсервис"
  • Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
  • Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
  • Евгения Поташова, руководитель направления обеспечения безопасности критической информационной инфраструктуры АО "ЭЛВИС-ПЛЮС"
  • Максим Таланов, эксперт по информационной безопасности, "Инфосистемы Джет"

Каковы основные риски для объектов КИИ в 2025 году?

Владимир Макеев, ЭЛВИС-ПЛЮС:

Основным риском остается использование ПО производителей из недружественных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обновление несут в себе риски с добавлением недекларированных возможностей.

Владислав Крылов, AKTIV.CONSULTING:

Следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.

Еще один аспект: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса.

Константин Саматов, АРСИБ:

По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит.

Вячеслав Половинко, АМТ-ГРУП:

Основными рисками остаются разрозненность применяемых СЗИ, отсутствие экосистемного подхода и высокая скорость изменений, часто сопровождающаяся потерей качества при проектировании новых систем защиты информации. Кроме того, сохраняется и кадровый голод, который проявляется как в недостатке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда.

Михаил Молчанов, Газинформсервис:

Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рисков для субъекта КИИ может стать значительное расширение перечня объектов КИИ, а как следствие, не исключены ошибки при прочтении типовых перечней, при формировании новых объектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рисками для бизнеса.

Максим Таланов, Инфосистемы Джет:

Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих злоумышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе.

Есть проблема и с выполнением требований законодательства: понятие "объекты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиальной.

Какие ошибки чаще всего допускают организации при проектировании системы защиты ОКИИ?

Вячеслав Половинко, АМТ-ГРУП:

Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдельным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуация, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего комплекса запроектированных средств невозможно.

Максим Таланов, Инфосистемы Джет:

Если проектирование ведется системно, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выделил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обязательным по закону. Отмечу, что, к сожалению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к проектированию.

Константин Саматов, АРСИБ:

Распространенная ошибка – отсутствие комплексного подхода к архитектуре безопасности. Проектировщики часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаимодействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабостям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответвлением данной проблемы является закладывание в проектные решения зарубежных решений, что категорически недопустимо делать в текущих условиях.

Владислав Крылов, AKTIV.CONSULTING:

Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:

  • Недостаточная оценка негативных последствий от компьютерных атак.
  • Некорректная оценка уязвимостей в системах и последующее составление некорректного перечня актуальных угроз безопасности информации.
  • Занижение категории значимости, так как зачастую субъекты КИИ проводят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии с пунктом 14.1 Правил категорирования объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.

Михаил Молчанов, Газинформсервис:

Ошибки при проектировании возникают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учитываются особенности оргштатной структуры субъекта КИИ в части распределения зон ответственности по администрированию и эксплуатации объекта КИИ, не учитываются существующие у субъекта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архитектуры системы защиты могут возникнуть сложности при назначении ответственных за обеспечение ИБ объектов КИИ.

Владимир Макеев, ЭЛВИС-ПЛЮС:

Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компонентов СЗИ. Используемые при построении систем безопасности программно-аппаратные комплексы часто имеют устаревшие прошивки, предустановленные пароли, ненастроенные ОС, усугубленные отсутствием антивирусной защиты. Надо всегда учитывать, что любой сервер управления СЗИ является критичным компонентом, способным нарушить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь.

Алексей Воробьев, ЭЛВИС-ПЛЮС:

Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была присвоена ни одна из категорий значимости в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при создании системы защиты применяют приказ ФСТЭК России 31, который не является подзаконным актом Федерального закона 187. В данном случае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется данными приказами и остается на усмотрение организации, которой принадлежат ОКИИ.

Темы:Круглый столКИИЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Как и зачем меняется PAM?
    PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.
  • Слепые зоны реагирования в АСУ ТП
    Классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.
  • Один бюджет, один приоритет: как вложиться в безопасность контейнеров?
    Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?
  • Почему Shift Left не работает в контейнерах?
    DevSecOps-инструменты зрелы, автоматизация доступна, сканеры интегрируются в CI/CD – но 70–75% контейнерных образов по-прежнему содержат уязвимости высокого уровня. Что мешает реальному "сдвигу влево"? Мы собрали мнения инженеров и ИБ-специалистов, чтобы разобраться: где именно срывается безопасность – в культуре, инфраструктуре или ожиданиях.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...