Журнал "Information Security/ Информационная безопасность" #6, 2023

ственно двигаться можно лишь тогда, между вендором и заказчиком ведется честный диалог. Производственным предприятиям мы можем предложить решения по защите промышленного сег- мента уже сейчас (см. рис. 1). На базе нашего NGFW можно реали- зовать следующие сценарии: l удаленное защищенное соединение (ГОСТ-VPN); l контроль подключений по протоколам удаленного доступа; l сегментирование корпоративной и/или промышленной сети; l авторизация подключаемых по сети пользователей; l система обнаружения и предотвра- щения вторжений; l DoS-проверка; l запрет всех подключений, кроме раз- решенных связей с другими системами автоматизации и управления производ- ством; l определение диапазона или перечня разрешенных команд, передаваемых по промышленным протоколам. Этот перечень не исчерпывает воз- можности, предоставляемые пользова- телям, но хорошо показывает базовые сценарии. Более того, мы постоянно ведем расширение сценариев исполь- зования ММЭ и для корпоративного сег- мента сети в промышленных компаниях и поэтому готовы слушать и реализовы- вать требуемые решения. В этой связи мы делаем упор на раз- работку требуемой заказчиками функ- циональности, если для их задач подхо- дит поддерживаемая нагрузка до 10 Гбит/с при максимальной настройке функций безопасности и имеющийся функционал выполняет 80% имеющихся потребностей. От других взаимодействий мы тоже не отказываемся, но это игра вдолгую, к которой обе стороны должны быть готовы. Решение в типизации Учитывая вышесказанное, предлагаем рассмотреть возможность принять как вынужденную меру типизацию ММЭ под нужды и особенности использования. То есть нужно отказаться от концепции еди- ного идеального решения и ввести в обще- признанный оборот типы ММЭ. Например: l ММЭ для защиты промышленных систем; l ММЭ для защиты малых и средних предприятий; l ММЭ для защиты ЦОД; l ММЭ для защиты операторов связи; l ММЭ для защиты банков; l ММЭ для защиты ГИС и госорганов, совмещенные с криптографическими средствами; l ММЭ для защиты виртуальных и облач- ных инфраструктур. Такое разделение не является догмой, а лишь показывает возможные варианты типизирования, а вместе с тем обозна- чает сферы, имеющие явные собствен- ные специфические требования как в аспекте функциональности, так и плане сертификации. Например, для ММЭ в формате ПАК для промышленных устройств зачастую используются не те же компоненты аппа- ратных платформ, что в случае ММЭ для высокопроизводительных систем, таких как ЦОД и инфраструктура опера- торов связи. Построение системы ИБ Завершая разбор причин, ведущих к необходимости принятия рынком типи- зации NGFW, хочется обратить внимание на следующие практики построения систем ИБ: 1. Многие заказчики на уровне своих корпоративных стандартов в обязатель- ном порядке предусматривают наличие в инфраструктуре решений от двух одно- типных производителей. Это позволяет лучше регулировать цены, повышать вовлеченность поставщика во взаимо- действие с заказчиком и нивелировать риски сбоев у одного из поставщиков. 2. Никто не отменял концепцию эше- лонированной защиты, в рамках которой используется децентрализованное управление ИБ. В идеальном варианте желательно использование разных СЗИ для защиты смежных сегментов, чтобы взлом одной из систем не имел послед- ствий для всего предприятия. Часто в противовес этой стратегии говорят о том, что много поставщиков - - это дорого ввиду необходимости содер- жания большего штата эксплуатирующих сотрудников и вытекающих из этого затрат. Но здесь стоит посчитать: опти- мизация расходов за счет конкуренции нескольких поставщиков позволит сни- зить входную цену, и общая стоимость владения останется такой же. Можно привести такую аналогию: за сотню лет машиностроения никто не смог сделать автомобиль, одинаково приспо- собленный и для скорост- ных гонок, и для езды по бездорожью. Автозаводы производят либо массовые модели с теми или иными ограничениями по скорости и проходимости, либо специализирован- ные автомобили с очень узкой сферой применения. Но при этом правила дорож- ного движения, риски и угрозы едины для всех, а инструменты управления автомо- билем в целом вполне унифицированы. Заключение Российские межсетевые экраны при- сутствуют на рынке довольно давно, и за последний десяток лет их не пере- стали покупать, несмотря на наличие сертифицированных решений от ино- странных вендоров. У российских про- изводителей накоплены знания и доста- точно богатый опыт. При этом пока на рынке объективно не хватает производительности и надеж- ности работы под большой нагрузкой. Но это отдельный класс решений, в то время как многие объекты критической информационной инфраструктуры и госу- дарственной власти уже сейчас можно защищать имеющимися многофункцио- нальными межсетевыми экранами. Процесс миграции с одних технологий на другие всегда болезненный: нужно перепроектировать сети, обучить людей, внедрить и настроить новые продукты, привыкнуть работать с ними. Несмотря на отсутствие производительных российских ММЭ для уровня ядра сети или ЦОД, все остальные типы иностранных NGFW уже можно менять на отечественные. Конечно, переходный период будет продолжитель- ным, но в этом есть и свой плюс: пока идет внедрение имеющихся на рынке ММЭ, разработчики успеют выпустить более производительные модели. Органы государственной власти, производители средств защиты инфор- мации, интеграторы и субъекты КИИ – все сейчас находятся на одной сторо- не. Видно, что работа по разработке российских ММЭ идет, а значит, все проблемы будут преодолены к общей пользе. l • 21 NGFW www.itsec.ru Рис. 1. InfoWatch ARMA NGFW для защиты промышленного сегмента АДРЕСА И ТЕЛЕФОНЫ INFOWATCH см. стр. 70 NM Реклама