Журнал "Information Security/ Информационная безопасность" #6, 2024

• 49 ЗащИта объеКтов КИИ И Комплаенс www.itsec.ru с пунктом 14.1 Правил категорирова- ния объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сцена- рии, учитывающие проведение целе- направленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. Михаил Молчанов, Газинформсервис: Ошибки при проектировании возни- кают уже на первоначальном этапе: некачественно проводится обследование инфраструктуры объекта КИИ, не учи- тываются особенности оргштатной струк- туры субъекта КИИ в части распределе- ния зон ответственности по администри- рованию и эксплуатации объекта КИИ, не учитываются существующие у субъ- екта КИИ решения ИБ. Последствием этих ошибок становится избыточность либо слабой системы защиты ОКИИ. Из-за недостаточной проработки архи- тектуры системы защиты могут возник- нуть сложности при назначении ответ- ственных за обеспечение ИБ объектов КИИ. Владимир Макеев, ЭЛВИС-ПЛЮС: Одна из распространенных ошибок – отсутствие должного внимания к настройке и проверке защиты компо- нентов СЗИ. Используемые при построе- нии систем безопасности программно- аппаратные комплексы часто имеют устаревшие прошивки, предустановлен- ные пароли, ненастроенные ОС, усугуб- ленные отсутствием антивирусной защи- ты. Надо всегда учитывать, что любой сервер управления СЗИ является кри- тичным компонентом, способным нару- шить непрерывность бизнес-процесса, и он должен быть защищен в первую очередь. Алексей Воробьев, ЭЛВИС-ПЛЮС: Наиболее частая ошибка встречается при проектировании системы защиты объектов КИИ, которым не была при- своена ни одна из категорий значимо- сти в соответствии с постановлением Правительства № 127. Заключается она в том, что организации при созда- нии системы защиты применяют приказ ФСТЭК России № 31, который не является подзаконным актом Феде- рального закона № 187. В данном слу- чае должны применятся приказы ФСТЭК России № 235 и № 239. Но выбор мер защиты для ОКИИ, которым не присвоена ни одна из категорий значимости, не регламентируется дан- ными приказами и остается на усмот- рение организации, которой принадле- жат ОКИИ. Владислав Крылов, AKTIV.CONSULTING: На текущий момент законодательно установлен исчерпывающий перечень организационных и технических меро- приятий, направленных на обеспечение безопасности критической информа- ционной инфраструктуры. Максим Таланов, Инфосистемы Джет: Текущих мер для защиты КИИ доста- точно, но есть вопрос по самому опре- делению субъектов КИИ. Ряд важных государственных органов не попадают под действие требований по ИБ. Часть показателей из ПП № 127 не использу- ется, хотя они бы идеально подошли для таких организаций. Константин Саматов, АРСИБ: Соглашусь, что текущих мер доста- точно. Но никто не запрещает применять и другие, не прописанные в законода- тельстве меры защиты в дополнение к установленным. Относительно законодательных ини- циатив – нужны нормы, дающие заказ- чикам право предъявлять требования по ИБ к подрядчикам. При отсутствии таких правомочий возложение допол- нительных требований может восприни- маться подрядчиком как необоснован- ное, в том числе создающее препятствия для победы в торгах, с вытекающими отсюда последствиями в виде претензий со стороны финансовых регуляторов. Вячеслав Половинко, АМТ-ГРУП: И на наш взгляд текущих мер достаточно. Вопрос, скорее, в реализации уже принятых мер и требований, а также в совершен- ствовании всей системы управления ИБ на конкретных объектах. А это длительный процесс, который, по нашим оценкам, зай- мет от двух до пяти лет. Параллельно должна улучшиться ситуация с кадрами, так как образовательные учреждения на указанном горизонте также отреагируют на изменение требований к персоналу. Владимир Макеев, ЭЛВИС-ПЛЮС: Текущие меры, безусловно, учитывают лучшие мировые практики и дают вполне читаемую дорожную карту для реализа- ции защиты КИИ как компаниям-интег- раторам, так и заказчикам. Дополни- тельно хотелось бы увидеть меры, кото- рые помогут производителям СЗИ идти по пути улучшения качества своих про- дуктов и сподвигнут их нести ответ- ственность за проданные решения на всех этапах жизненного цикла СЗИ. Алексей Воробьев, ЭЛВИС-ПЛЮС: В целом мер достаточно, но не хватает конкретики по реализации мер защиты информации. Было бы хорошо иметь базовые модели угроз для ОКИИ в каждой из отрасли, а также типовые сопоставле- ния угроз с мерами и средствами защиты информации. Это бы очень упростило проектирование и позволило бы сфор- мировать базовые наборы СЗИ для каж- дой категории значимости. Хорошо бы было также сформировать рекомендации по защите ОКИИ, которым не присвоена ни одна из категорий значимости. Максим Добряков, ЭЛВИС-ПЛЮС: Необходимо выпустить более четкие и детальные рекомендации по защите ОКИИ, к которым относятся АСУ ТП. В явном виде не хватает ГОСТа по защите АСУ ТП, а также разъяснений по применению тех или иных мер защиты информации. l Достаточно ли текущих мер для защиты КИИ, или необходимы дополнительные инициативы на государственном уровне? Ваше мнение и вопросы присылайте по адресу is@groteck.ru