Журнал "Information Security/ Информационная безопасность" #5, 2018

автономно, то теперь, под влиянием бизнес-процессов, появляется острая необходимость объединения их в общую технологическую сеть, организации их взаимодействия как между собой, так и с общим центром. Зачастую при орга- низации таких связей используются сети сторонних компаний, а также общедо- ступная сеть Интернет. Это порождает новые угрозы, к которым системы АСУ ТП изначально готовы не были, и, как следствие, растет количество инци- дентов ИБ. – Как влияет 187-ФЗ на зрелость процессов обеспечения ИБ в промышленности? Дмитрий Даренский – Ранее для АСУ ТП существовали норматив- ные документы, такие как 31-й приказ и реко- мендации по КССИ, однако они носили реко- мендательный характер. 187-ФЗ сделал требования к обеспече- нию критичных систем, в том числе и промышленных, обязательными и ввел довольно однозначные понятия ответ- ственности. Для некоторых компаний 187-ФЗ – кнут, которого им хочется избежать, и не все пока понимают, подпадают ли они под действие этого закона. На пред- приятиях с более высоким уровнем зре- лости и понимания проблематики ввод 187-ФЗ существенно ничего не изменил: вопросами безопасности там как зани- мались, так и занимаются. Более того, он позволил лучше структурировать эту работу и в целом подтвердил целесооб- разность деятельности в данном направ- лении. Андрей Нуйкин – Данный закон заста- вил многие компании взглянуть на свои про- мышленные системы под новым углом и заду- маться об их безопас- ности. Хотелось бы верить, что реализация закона не оста- новится на бумажной безопасности и позволит реально защитить критиче- ские системы. Крупные компании и без закона активно занимались обеспече- нием безопасности своих технологиче- ских систем и сетей. ЕВРАЗ начиная с 2016 г. реализует проекты в области защиты технологических систем и сетей. Игорь Тарви – На сегодняшний день обеспечение ИБ АСУ ТП является одним из наи- более актуальных направлений для боль- шого числа российских компаний, доля вовле- ченности которых из различных сегмен- тов промышленности продолжает уве- личиваться с каждым годом. Если еще буквально несколько лет назад данной тематике уделяли больше внимания ком- пании тяжелой, военной, добывающей промышленности, то теперь к ним при- соединяются обрабатывающая, легкая и даже пищевая промышленность. Такая ситуация складывается в том числе благодаря принятию 187-ФЗ, опре- делившему достаточно широкий перечень видов деятельности, на которые распро- страняются требования по защите инфор- мации. Поэтому появление соответствую- щих приказов ФСТЭК России, являю- щихся обязательными к применению для значимых объектов критической инфор- мационной инфраструктуры, в дополне- ние к рекомендательному 31-му приказу ФСТЭК России от 14.03.2014, позволит промышленным организациям по-другому взглянуть на вопросы защиты АСУ ТП. Повышение уровня зрелости процессов обеспечения ИБ будет напрямую зависеть от степени формальности отношения к предъявляемым требованиям. – В чем сложность реализации защиты АСУ ТП? Дмитрий Даренский – Не так сложно, как может показаться. Для решения многих про- блем зачастую доста- точно организационных мер, таких как обучение сотрудников основам ИБ, выстраивание процессов соблюде- ния и контроля за выполнением политик безопасности, информирования персо- нала. Сегодня существует достаточное количество общепринятых практик, стан- дартов, отраслевых и международных рекомендаций, международно признан- ных обучающих и сертификационных курсов в области ИБ АСУ ТП, и ИБ-спе- циалисту в промышленности есть на что опереться. Это, например, докумен- тация NIST, стандарты IEC, IEEE и т.д. То есть весь необходимый базис для того, чтобы на конкретном предприятии можно было хотя бы начать заниматься вопросами безопасности, есть. Его можно брать, адаптировать по свои задачи и использовать. Андрей Нуйкин – Основная сложность в том, что АСУ ТП нельзя останавливать и при реа- лизации защиты нужно быть полностью уверен- ным, что внедряемые средства защиты не будут влиять на производственный про- цесс и не приведут к остановкам и сбоям. Большой проблемой также для старых систем АСУ ТП является сложность или невозможность внесения изменений в системы, и приходится перерабатывать средства защиты для того, чтобы их внедрение, с одной стороны, выполняло защитную функцию, а с другой – не нару- шило работу АСУ ТП. Игорь Тарви – Многие технологиче- ские процессы и реали- зующие их АСУ ТП чув- ствительны к времен- ным задержкам. На мой взгляд, основная слож- ность заключается в отсутствии эффективных средств защи- ты, которые могли бы выполнять свои функции в условиях сильного ограниче- ния системных ресурсов (процессорного времени, объемов выделенной памяти), не влияя при этом на временные харак- теристики. При реализации защиты АСУ ТП нема- ло сложностей вызывает также отсут- ствие квалифицированных специалистов по защите информации, имеющих доста- точный опыт работы непосредственно с АСУ ТП, понимающих специфику их работы и способных выстраивать про- цессы и систему защиты таким образом, чтобы избежать негативного влияния на технологические процессы. l 24 • СПЕЦПРОЕКТ Партнер "Круглого стола" Ваше мнение и вопросы присылайте по адресу is@groteck.ru www.dialognauka.ru