Журнал "Information Security/ Информационная безопасность" #2, 2023

Там, где применялись или находились в процессе внедрения несертифициро- ванные СЗИ и оценка про- водится в форме испытаний (приемки), организации столкнутся с дополнитель- ными требованиями по испытаниям на соответствие требованиям к уровню дове- рия, помимо ранее обяза- тельных требований к функ- циям безопасности. К АСУ предъявляются повышенные требования к непрерывности функцио- нирования, недопустимости нарушения связанных техно- логических процессов, в том числе за счет возможного влияния СЗИ (например, МСЭ, СОВ, АВЗ). В связи с этим повышенные требо- вания предъявляются к настройке и сопровожде- нию таких СЗИ. проводится в форме испытаний (приемки), организации столк- нутся с дополнительными тре- бованиями по испытаниям на соответствие требованиям к уровню доверия, помимо ранее обязательных требований к функциям безопасности. Для зарубежных СЗИ отдельные оценки могут оказаться невы- полнимыми, поскольку произво- дители ушли с рынка и взаимо- действия с ними нет. К прикладному ПО, плани- руемому для внедрения, обес- печивающему выполнение функций АСУ по назначению, также предъявляются требова- ния по безопасности (безопас- ная разработка, выявление уязвимостей). Далеко не все производители до текущего момента уделяли внимание этим вопросам, поэтому при выборе ПО организации неизбежно столкнутся с необхо- димостью дополнительного ана- лиза продуктов, взаимодей- ствия с производителями для выполнения данных требова- ний. Человеческие ресурсы Вопрос недостатка ресурсов всегда был актуален. При построении СБ внедряется ряд новых технических решений, правил и процедур, растет объем задач, появляется потребность в дополнительном ресурсном обеспечении. При этом мы видим определенный отток специалистов с рынка, в связи с чем нехватка кадров может усугубиться. К АСУ предъявляются повы- шенные требования к непре- рывности функционирования, недопустимости нарушения свя- занных технологических про- цессов, в том числе за счет возможного влияния СЗИ (например, МСЭ, СОВ, АВЗ). В связи с этим повышенные требования предъявляются к настройке и сопровождению таких СЗИ. В отдельных случаях может требоваться сопровож- дение СЗИ в нерабочее время на случай возможных сбоев или инцидентов, что, в свою оче- редь, требует создания дежур- ных смен для работы 24/7. Кроме того, в соответствии с утвержденным ФСБ России порядком информирования о компьютерных инцидентах информация об инциденте, свя- занном с функционированием значимого объекта КИИ, направляется в НКЦКИ в срок не позднее трех часов с момен- та обнаружения, а в отношении иных ОКИИ – 24 часов. Соот- ветственно, необходимо посто- янно держать руку на пульсе и иметь ресурсы для решения указанных задач в любое время суток, в том числе в нерабочие дни. Говоря о специфике АСУ, важно отметить, что зачастую у специалистов ИБ недостаточно понимания особенностей тех- нологических процессов и систем. Необходимо посто- янное повышение квалифика- ции персонала, чтобы эффек- тивно работать со специфиче- скими уязвимостями, угрозами, событиями безопасности. С точки зрения практических моментов стоит отметить два важных вопроса. 1. Мониторинг событий без- опасности в АСУ. Для эффек- тивного мониторинга могут при- меняться специализированные системы обнаружения вторже- ний, которые анализируют тра- фик промышленной сети для выявления отклонений в значе- ниях технологических парамет- ров, обнаружения признаков сетевых атак. На практике в инфраструктуре предприятия можно получить десятки и сотни тысяч событий, которые необхо- димо "переварить" и проанали- зировать. Требуются знания и понимание не только принципов работы самих СЗИ, но и техно- логических процессов, чтобы провести тонкую настройку и из множества событий выделять те, которые требуют внимания, адаптировать правила и меха- низмы обнаружения атак. В дан- ном случае необходима совместная работа как служб ИБ, так и служб автоматизации и представителей производ- ственных подразделений. 2. Анализ уязвимостей в АСУ. Для АСУ в том числе характер- ны специфичные уязвимости, связанные со специализирован- ным оборудованием и ПО. Необходимо понимать подходы к их выявлению, применяемые инструменты, уметь оценить критичность и выбрать способ устранения. Кроме того, в соот- ветствии с требованиями ФСТЭК России необходимо проводить анализ уязвимостей в рамках внедрения СБ. Следу- ет отметить, что на текущий момент соответствующая рабо- та активно ведется регулятором. В частности, разработана Мето- дика оценки уровня критичности уязвимостей программных, про- граммно-аппаратных средств, а также проекты Методики конт- роля (анализа) защищенности информационных систем и Методики управления уязвимо- стями. Указанные документы внесут определенную ясность в части соответствия выполняе- мых работ ожиданиям и требо- ваниям регулятора. Таким образом, для большин- ства субъектов КИИ некоторые вопросы остаются открытыми. Для одних они связаны с пер- воначальным построением СБ, а для других – с необходи- мостью ее модернизации. Как говорится, дорогу осилит иду- щий. Практика показывает, что организации, которые плано- мерно подошли к вопросам построения СБ, в большинстве своем выполнили все или суще- ственную часть требований: СБ внедрены и сданы в эксплуата- цию, в ряде случаев уже с уче- том требований по импортоза- мещению. Те, кто откладывает решение данных задач, суще- ственно рискуют не уложиться в срок, так как построение СБ с учетом обширного количества требований предусматривает решение немалого объема вопросов, а они не решатся одномоментно. Обеспечение безопасности – это не разовая работа, которую можно сделать и забыть. Это непрерывная деятельность, тре- бующая внимания и ресурсов на постоянной основе как с точки зрения эффективной поддержки и эксплуатации отдельных процессов и СЗИ, так и с точки зрения успешного мониторинга уровня безопас- ности, защиты от возможных компьютерных атак. l • 15 Защита аСУ тП и IOT www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru