erid: 2SDnjeU7TaZ

Сложности при проектировании системы обеспечения информационной безопасности для значимых объектов КИИ (Часть 2)

Премия Securitymedia
Сложности при проектировании системы обеспечения информационной безопасности для значимых объектов КИИ (Часть 2)
Сложности при проектировании системы обеспечения информационной безопасности для значимых объектов КИИ (Часть 2)
27.02.2024

Моисеев Александр Актив.jpg
Александр Моисеев

Ведущий консультант по информационной безопасности AKTIV.CONSULTING


Ольга Зобнина.jpg
Ольга Зобнина

Консультант по информационной безопасности AKTIV.CONSULTING


В предыдущей статье мы описали основные трудности, возникающие при  проектировании СОИБ для значимых объектов КИИ (ЗО КИИ).  В текущем материале мы рассмотрим сложности, связанные с импортозамещением СЗИ, а также предложим пути их решения.

Импортозамещение СЗИ

После того, как с помощью инвентаризации мы обозначили границы нашей инфраструктуры, и поняли, что подлежит защите (подробнее об этом читайте в предыдущей статье), возникает вопрос, какие средства применить для закрытия всех мер, указанных в приказе ФСТЭК России №239, особенно с учетом Указа Президента №250, который с 1 января 2025 г. запрещает использовать СЗИ, странами происхождения которых являются «недружественные» иностранные государства.

Многим субъектам КИИ предстоит подбор и переход на СЗИ российских вендоров взамен зарубежных. Для тех, у кого уже была внедрена СОИБ, а также тем субъектам КИИ, которые еще только занимаются проектированием СОИБ, необходимо подобрать отечественные решения, которые позволяют полностью закрыть все меры ИБ. Данные работы требуют дополнительных трудозатрат на исследование, тестирование, согласование, изменение инфраструктуры, обучение персонала. Также необходимо учитывать, что не по всем направлениям есть полнофункциональная замена, и трудности в импортозамещении могут возникнуть для решений класса «NGFW», «NBA», «NAC» и средств защиты виртуализации.

Перед ИБ-специалистами встают вопросы: какие альтернативы существуют на российском рынке, как эти альтернативы будут существовать в рамках технологического процесса, чтобы обеспечить его непрерывность, смогут ли они предложить те функции, которые были у зарубежных аналогов?

Мы рекомендуем начать решение этих вопросов с проведения аналитической работы (своеобразного исследования), объем которой зависит от размера и отраслевой принадлежности субъекта КИИ, специфики ЗО КИИ (его архитектуры, стека технологий, географического положения и т.п.). Для наглядного примера возьмем промышленное предприятие, в составе которого будут функционировать ЗО КИИ, требующие капитального строительства сооружений и монтажа транспортно-технологического оборудования. Такие проекты, как правило, реализуются в среднем от 7 до 12 лет, и зачастую на столь длительных периодах происходит изменение требований НПА, политической ситуации, рынка СЗИ, проектных решений, смена исполнителей проекта и т.д.

Все то многообразие информационных систем (ИС), АСУ ТП, которые будут функционировать в составе ЗО КИИ, а также подключений к внешним ведомственным ИС (в т.ч. к ГИС), требует применение взвешенного и обоснованного подхода к выбору СЗИ, учету множества аспектов и нюансов. А это, в свою очередь, заставляет особым образом организовывать исходные и проектные данные.

Мы рекомендуем, как один из возможных вариантов, использовать своеобразные «матрицы», позволяющие сводить множество разнородных параметров, важных для рассмотрения, а также проводить их сравнительный анализ, формировать соответствующие выводы, производить выбор и оформлять обоснования.

Пример предельно упрощенного табличного представления такой «матрицы» приведен на рисунке 1, где:

  • по вертикали идут различные метрики («требования ИБ», «интерфейсы», «габаритные размеры» и т.п.) и реализующие их функции (к примеру, для требований ИБ могут сопоставляться различные функции безопасности);
  • по горизонтали перечень доступных на рынке классов СЗИ («NGFW», «IDS/IPS», «NTA», «NAC», «SIEM», «АВЗ» и т.д.) и конкретных образцов от различных вендоров.

Напомним, что субъект КИИ может принять решение о разработке собственного СЗИ и проведения его оценки соответствия в форме приемочных испытаний, это не самый популярный путь, но тем не менее он предусмотрен в действующей регуляторике и призван компенсировать отсутствие на рынке наложенных СЗИ для редкого сочетания ОС, протоколов, аппаратных платформ.

Для каждого образца СЗИ могут быть занесены значения необходимых параметров, по которым в соответствие с заранее определенной расчетной моделью проставляются оценки. Для примера мы использовали расчет через «ранг приоритетности», который формируется путем перемножения бальных оценок по каждому образцу. При этом для каждого вида метрик шкалы бальных оценок могут варьироваться: для метрик с большим числом параметров сравнения целесообразно выбирать «большие шкалы» («1-5», «1-10», «1-100» и т.д.), в случае если параметров сравнения не так много, то наоборот («1-2», «1-3»). Подбирайте расчетную модель под свои потребности, специфику и объем сравнения. 

Таблица Консалтинг CyberMedia (1)-1.png

Таблица 1. Пример «матрицы»

Также мы рекомендуем для всех проектов дополнять «матрицу» метриками, связанными с оценкой совокупной стоимости владения методом TCO («Total Cost of Ownership»). Это позволит достаточно быстро переходить от технического обоснования к разработке полноценного технико-экономическое обоснование — ТЭО. А для тех проектов, где предусмотрен большой цикл согласования с цепочкой вышестоящих организаций, экспертных организаций, регуляторами, головным исполнителем и заказчиком, хорошей практикой будет проведение оценки совокупной ценности возможностей методом TVO («Total Value of Opportunities»). Он хорошо подходит для ИТ-проектов, которыми по своей сути и является внедрение СЗИ.

Если говорить вкратце о TVO, то необходимо оценить соответствие планируемого ИТ-проекта пяти направлениям:

  • соответствию стратегии организации, к примеру, менеджмент может не планировать расширения штата персонала ИТ и ИБ, а вместо этого будет заключать договоры c более жесткими параметрами SLA на обслуживание оборудования и подключаться к внешнему SOC;
  • анализу воздействия на бизнес-процессы методом BIA («Business Impact Analysis»);
  • соответствию архитектуры ИТ-решений, к примеру, если у нас уже используется виртуализация определенного вендора или оптоволоконные линии связи, то будет оптимально рассматривать в дальнейшем их же;
  • оценка рентабельности инвестиций методом ROI («Return on Investment»);
  • оценки рисков проекта, к примеру, специалистов под администрирования новых классов СЗИ на рынке мало, особый их дефицит наблюдается в регионе, где строится ЗО КИИ.

Пилотирование СЗИ

После анализа и выбора тех или иных СЗИ необходимо удостовериться в том, что их использование не будет вредить технологическому процессу на ЗО КИИ, и определить, какое влияние будет оказано на него. Для этого можно воспользоваться опять же частично аналитическими методами (проанализировать сообщение вендоров о тестировании совместимости с различным общесистемным и прикладным ПО, ПТК), но лучше всего организовать тестовую инфраструктуру, в которой будут размещены различные стенды, макетирующие ИС и АСУ ТП из состава ЗО КИИ. На стендах можно безопасно протестировать СЗИ, оценить их влияние на ТП (стабильность, время задержки, нештатные ситуации и т.п.), а также оценить реализацию заявленного функционала СЗИ (реализация одного и того же протокола может несколько отличаться у разных вендоров). Также несколько различных классов СЗИ могут иметь аналогичные функции безопасности, во время тестирования можно оценить перекрытие по данным функциям с точки зрения эшелонированной защиты и работоспособности.

Обучение персонала

С внедрением новых СЗИ остро встает вопрос об обучении персонала, как ИТ/ИБ, так и эксплуатирующего. Необходим учет полученных компетенций и периодическая актуализация знаний. Тут на помощь могут прийти современные корпоративные ИС класса «LMS» и «HCM».

«LMS» помогает в организации различных видов обучения персонала: первичном (для допуска к администрированию ПО и оборудования), специализированном (вендорские курсы), периодическом (поддержание определенных навыков в «тонусе»). Такого рода системы помогают отслеживать динамику обучения, контролировать полученные знания, тем самым обеспечивать реальное повышение квалификации персонала.

«HCM» полезен для присвоения необходимой атрибутивной информации в условный профиль сотрудника. Это могут быть как отметки о пройденном обучении, так и уровни владения навыками администрирования, результаты контрольных проверок знаний, образовательный трек и т.д.

Мы надеемся, что данная статья помогла нам подчеркнуть важность темы импортозамещение СЗИ на ЗО КИИ, ведь она затрагивает множество аспектов, начиная с технического и заканчивая вопросом подготовки квалифицированных кадров. Хотим отметить, что задача по импортозамещению может послужить основой для выстраивания более плотного контакта между специалистами ИБ, которые работают в отрасли, и вендорами СЗИ, которые заинтересованы в удовлетворении потребностей рынка.


Комментарии 0