Журнал "Information Security/ Информационная безопасность" #6, 2024

• 47 ЗащИта объеКтов КИИ И Комплаенс www.itsec.ru Владимир Макеев, ЭЛВИС-ПЛЮС: Основным риском остается использо- вание ПО производителей из недруже- ственных стран. На текущий момент мы имеем сложную ситуацию, в которой невозможен полный отказ от такого ПО, а устранение в нем уязвимостей и обнов- ление несут в себе риски с добавлением недекларированных возможностей. Владислав Крылов, AKTIV.CONSULTING: Следует отметить, что изменения в нормативно-правовой базе, регули- рующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение своих систем в соответствие с новыми стандартами, что может повлиять на финансовую ста- бильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена. Еще один аспект: ошибки персонала, недостаточная подготовка или недобро- совестное поведение могут привести к инцидентам. Компаниям необходимо вкладываться в поддержание и развитие человеческого ресурса. Константин Саматов, АРСИБ: По-прежнему высокими остаются риски APT и атак, направленных на отказ в обслуживании для объектов КИИ, имеющих подключение к сетям общего доступа. Снижения активности таких атак в ближайшие годы ожидать не стоит. Вячеслав Половинко, АМТ-ГРУП: Основными рисками остаются разроз- ненность применяемых СЗИ, отсутствие экосистемного подхода и высокая ско- рость изменений, часто сопровождаю- щаяся потерей качества при проектиро- вании новых систем защиты информа- ции. Кроме того, сохраняется и кадровый голод, который проявляется как в недо- статке персонала, так и в увеличении скорости миграции специалистов с места на место в условиях перегретого рынка труда. Михаил Молчанов, Газинформсервис: Не так давно различные министерства опубликовали типовые отраслевые перечни объектов КИИ. В большинстве сфер, указанных в 187-ФЗ, определены перечни ИС, ИТКС, АСУ. Одним из рис- ков для субъекта КИИ может стать значительное расширение перечня объ- ектов КИИ, а как следствие, не исклю- чены ошибки при прочтении типовых перечней, при формировании новых объ- ектов КИИ, либо при расширении уже существующих. Ну и дополнительные затраты на защиту новых объектов КИИ являются не менее значительными рис- ками для бизнеса. Максим Таланов, Инфосистемы Джет: Ситуация существенно не отличается от прочих ИТ-систем: атаки хактивистов, шифровальщики-вымогатели, хищение данных и т.д. Однако для многих зло- умышленников ОКИИ становятся более приоритетными целями из-за большего потенциального ущерба и возможности "попиариться" на взломе. Есть проблема и с выполнением тре- бований законодательства: понятие "объ- екты КИИ" слишком общее – от ИСПДн до АСУ ТП. Единые подходы к защите работают не всегда. А недостаточное число отечественных средств защиты делают задачу еще более нетривиаль- ной. Михаил Молчанов, Газинформсервис: Наибольшее оживление в области КИИ вызвали указы № 166 и № 250. Перевод объектов КИИ на отечествен- ные ПО и радиоэлектронную продукцию поставил перед ИБ немало задач: от интеграции средств защиты информации с новыми отечественными компонентами объектов КИИ до выстраивания новых коммуникаций и планирования совмест- ных мероприятий с разработчиками вышеупомянутых компонентов. Запрет применения иностранных средств защи- ты информации на объектах КИИ тоже Каковы основные риски для объектов КИИ в 2025 году? Какие требования законодательства о КИИ за последние годы оказались наиболее интересными для реализации? Защищать КИИ непросто, но возможно. Круглый стол экспертов Эксперты: Алексей Воробьев, руководитель отдела внедрения АО “ЭЛВИС-ПЛЮС” Максим Добряков, руководитель отдела консалтинга и аудита АО “ЭЛВИС-ПЛЮС” Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING Владимир Макеев, руководитель отдела проектирования АО “ЭЛВИС-ПЛЮС” Михаил Молчанов, руководитель группы систем защиты АСУ ТП, “Газинформсервис” Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП Евгения Поташова, руководитель направления обеспечения безопасности критической информационной инфраструктуры АО “ЭЛВИС-ПЛЮС” Максим Таланов, эксперт по информационной безопасности, “Инфосистемы Джет” 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, требования законодательства, с которыми сталкиваются специалисты, а также ошибки, которые часто допускаются при проектировании систем безопасности. В