Журнал "Information Security/ Информационная безопасность" #4, 2020

Министерством разрабо- таны требования в отноше- нии базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при соз- дании и последующей экс- плуатации систем удаленно- го мониторинга и диагности- ки энергетического оборудо- вания. На текущем этапе разви- тия практики защиты про- мышленных систем стало очевидно, что использовать подходы, связанные с обес- печением только информа- ционной безопасности, непродуктивно как с точки зрения бизнеса, так и обес- печения в целом безопас- ности промышленного про- изводства. – Как проходит импор- тозамещение в части электронно-компонентной базы и операционных систем в ТЭК? – Здесь необходимо отметить, что с точки зрения достижения стратегических целей корректней говорить не об импортозамеще- нии, а о достижении технологи- ческой независимости Россий- ской Федерации от зарубежных производителей, в первую оче- редь центральных процессоров и операционных систем. Так, в утвержденных Прези- дентом Российской Федерации Стратегии национальной без- опасности и Доктрине энергети- ческой безопасности отдельное внимание уделяется планомер- ному осуществлению импорто- замещения в критически важных для устойчивого функциониро- вания ТЭК видах деятельности, а также предотвращению кри- тического отставания Россий- ской Федерации в развитии циф- ровых и интеллектуальных тех- нологий в сфере энергетики, включая снижение уязвимости объектов КИИ ТЭК. В результате работ по созда- нию доверенных аппаратно-про- граммных платформ, предназна- ченных для построения систем автоматизированных систем управления и связи Вооружен- ных Сил Российской Федерации, в России к 2018 г. впервые за постсоветский период сложилась реальная основа для обеспече- ния технологической независи- мости страны в сфере цифровых технологий. Россия стала вторым государством в мире, после США, которое имеет собствен- ную технологическую пару – высокопроизводительный про- цессор и операционную систему. В информационных технологиях это стратегическая основа, на которой базируются все без исключения прикладные реше- ния, включая искусственный интеллект, большие данные, блокчейн и другие. Например, процессор "Эль- брус" полностью спроектирован российскими учеными и спе- циалистами и может являться основой для создания нацио- нальной инфраструктуры средств разработки и промыш- ленного производства широкого спектра компьютерных плат- форм (от ПЭВМ до суперком- пьютеров). В настоящее время по сово- купности потребительских характеристик отечественный процессор отстает от аналогов из США (Intel, AMD) ориентиро- вочно на пять лет. Операционная система – это сложный программный продукт, обеспечивающий потребитель- ские качества и эффективную жизнь процессора. К 2019 г. появился целый ряд отечествен- ных ОС на базе свободного ПО Линукс, например Альт Линукс, Астра Линукс, Роса, МС ВС и другие, производимые и разви- ваемые на основе российской инфраструктуры. В целом программа импорто- замещения поддерживается предприятиями отрасли. Вместе с тем надо понимать определен- ную инерционность технического перевооружения, что, не являясь принципиальным ограничением, влияет на темпы внедрения оте- чественных разработок. – Как планируется решать проблему с защи- той объектов КИИ в тех- нологических сегментах сетей? – Министерством разработаны требования в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей экс- плуатации на территории Рос- сийской Федерации систем уда- ленного мониторинга и диагно- стики энергетического оборудо- вания (утверждены приказом Минэнерго России от 06.11.2018 г. № 1015), в соответ- ствии с которыми для обеспече- ния информационной безопас- ности систем удаленного мони- торинга и диагностики состояния оборудования (СУМиД) функция технологического мониторинга состояния основного технологи- ческого оборудования (сбор, хра- нение и передача данных) долж- на осуществляться центрами обработки данных, расположен- ными на территории России. Если при реализации такого техноло- гического мониторинга эксплуа- тируются сети общего пользова- ния, то тогда должны применять- ся средства защиты информа- ции, прошедшие оценку соот- ветствия согласно требованиям законодательства в сфере обес- печения безопасности КИИ. В случае если в СУМиД пред- усмотрено использование спе- циального ПО, то для такого ПО должна быть проведена проверка не ниже чем по четвертому уров- ню контроля отсутствия недек- ларированных возможностей. Исходя из выраженной тен- денции агрегирования автома- тизированных систем управле- ния и автоматизированных систем обеспечения безопас- ности (в широком смысле), в области безопасности в каче- стве тенденции можно отме- тить комплексные подходы, объединяющие методы функ- циональной и информационной безопасности. На текущем этапе развития практики защи- ты промышленных систем стало очевидно, что использо- вать подходы, связанные с обеспечением только инфор- мационной безопасности, непродуктивно как с точки зре- ния бизнеса, так и обеспечения в целом безопасности промыш- ленного производства, неза- висимо от сферы деятельно- сти. Современные кибератаки обладают комплексным харак- тером, что выражается в рас- пределении составляющих их компонентов во времени и большим количеством элемен- тов защищаемой системы, которые подвергаются воздей- ствию в ходе атаки. Процесс реализации современных кибератак начинается с этапа сканирования уязвимостей системы, в процессе которого злоумышленник уже может оставить определенные следы. Таким образом, современная кибератака в процессе реали- зации затрагивает значитель- ное число параметров защи- щаемой системы, что харак- теризуется большим количе- ством событий безопасности, генерируемых различными системами и средствами, кото- рые отслеживаются и посту- пают в нормализованном виде в системы сбора и анализа событий безопасности (SIEM). При этом в качестве источника событий безопасности должны использоваться не только средства защиты информации, но и другие средства автома- тизации технологических про- цессов. Таким образом, для повыше- ния эффективности процессов обеспечения безопасности в технологических сетях контекст анализа событий должен быть расширен, что характеризуется переходом от использования событий безопасности с изоли- рованных наборов средств защиты информации к единому SOC, интегрирующему в себе все информационные потоки 20 • В ФОКУСЕ