Журнал "Information Security/ Информационная безопасность" #6, 2024

48 • СПЕЦПРОЕКТ создал ряд интересных задач по поиску отечественных решений для защиты информации. Максим Таланов, Инфосистемы Джет: Одним из интересных требований была необходимость наличия свиде- тельств о безопасной разработке (п. 29.3 приказа ФСТЭК России № 239). Нам приходилось обеспечивать соответствие иностранных продуктов этому требова- нию, выступая посредниками между раз- работчиком и потребителем, погружать- ся в процесс разработки. Сейчас, бла- годаря ПП №1912, вероятность такой необходимости снижается. Вячеслав Половинко, АМТ-ГРУП: Одними из наиболее полезных (не уменьшая значения других мер) оказа- лись несколько требований приказа ФСТЭК России № 239 и положение о системе сертификации СЗИ, увер- жденных приказом № 55. Значимую роль сыграли требования в 239-м при- казе к объектам КИИ 1 категории иметь СЗИ с ТП. Это позволяет производите- лям планировать денежный поток и раз- вивать СЗИ, а заказчикам – своевре- менно получать обновления и новые функции. Ряд пунктов 55-го постановле- ния позволил вендорам СЗИ самостоя- тельно (с условиями) вносить изменения в производимые СЗИ, оперативно реа- гируя на рыночную ситуацию. Владислав Крылов, AKTIV.CONSULTING: Наиболее интересным требованием для реализации показалось обеспечение технологической независимости и без- опасности критической информационной инфраструктуры. В соответствии с указом президента № 166 с 31 марта 2022 г. заказчики, осуществляющие закупки в соответствии с 223-ФЗ, не смогли при- обретать иностранное программное обес- печение, в том числе в составе ПАК, в целях его использования на принадле- жащих им ЗОКИИ, а с 1 января 2025 г. органам государственной власти, заказ- чикам запрещается использовать ино- странное программное обеспечение на принадлежащих им значимых объектах критической информационной инфра- структуры. Поиск решений по реализации данных требований – действительно инте- ресная и нетривиальная задача. Константин Саматов, АРСИБ: Наиболее интересные задачи – это, наверное, наиболее сложные. А сложные задачи сейчас связаны с переходом на отечественные решения, ведь переход, по сути, это маленький НИОКР. Нельзя просто взять и заменить один продукт на другой. Сначала нужно проанализи- ровать решение, провести пилот, затем спроектировать интеграцию в свою инфраструктуру, а после – внедрить и донастроить. Примерно такой сценарий получается для каждого решения. Владимир Макеев, ЭЛВИС-ПЛЮС: Наиболее интересными с точки зрения реализации оказались вступившие в 2023 г. в силу требования по безопас- ной разработке ПО для значимых ОКИИ. Интересны они тем, что это новое направление для ИБ КИИ. Инструменты анализа кода, которые раньше приме- нялись только в разработке, сейчас ста- новятся неотъемлемой частью систем обеспечения информационной безопас- ности КИИ. В связи с этим выстраи- ваются новые процессы и подходы. Евгения Поташова, ЭЛВИС-ПЛЮС: Интересной для реализации часто является комбинация требований по импортозамещению и требований к использованию средств защиты с опре- деленным уровнем доверия. В отноше- нии некоторых типов средств защиты ввиду ограниченности рынка это застав- ляет мыслить нестандартно, чтобы удов- летворить всем требованиям и при этом сделать систему защиты эффективной и удобной для эксплуатации. Вячеслав Половинко, АМТ-ГРУП: Наиболее частая ошибка, которую мы видим, – это "оставить на потом, отдель- ным разделом" проектирование системы защиты ОКИИ. Часто встречается ситуа- ция, когда объект спроектирован, места’ размещения оборудования утверждены, системы выбраны, но выясняется, что в условиях применения определенных мер защиты использование всего ком- плекса запроектированных средств невозможно. Максим Таланов, Инфосистемы Джет: Если проектирование ведется систем- но, допустить серьезные ошибки сложно. Из распространенных излишеств, на которых можно сэкономить, я бы выде- лил аттестацию ОКИИ по требованиям приказа ФСТЭК № 239 – действие, которое чаще всего не является обяза- тельным по закону. Отмечу, что, к сожа- лению, даже к концу 2024 г. многие субъекты КИИ еще не приступили к про- ектированию. Константин Саматов, АРСИБ: Распространенная ошибка – отсут- ствие комплексного подхода к архи- тектуре безопасности. Проектировщи- ки часто сосредотачиваются на защите отдельных компонентов системы, не учитывая общую архитектуру и взаи- модействие между элементами. Это приводит к различным проблемам при эксплуатации системы: как к слабо- стям с точки зрения защиты от угроз, так и к сложностям масштабирования и модернизации. Отдельным ответв- лением данной проблемы является закладывание в проектные решения зарубежных решений, что категориче- ски недопустимо делать в текущих условиях. Владислав Крылов, AKTIV.CONSULTING: Ошибки, которые чаще всего допус- кают организации при проектировании системы защиты объектов КИИ: l Недостаточная оценка негативных последствий от компьютерных атак. l Некорректная оценка уязвимостей в системах и последующее составление некорретного перечня актуальных угроз безопасности информации. l Занижение категории значимости, так как зачастую субъекты КИИ про- водят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии Какие ошибки чаще всего допускают организации при проектировании системы защиты ОКИИ?