Журнал "Системы Безопасности" № 1‘2023

S E C U R I T Y A N D I T M A N A G E M E N T 17 числе причинно-следственные связи. Учитывая принципиально новый подход к пониманию безопасности, в настоящее время достаточно затруднительно описать указанные связи в общем случае. вместе с тем понимание нали- чия такой корреляции, оценка возможности нанесения ущерба предприятию через связи, которые первоначально могут быть оценены как маловероятные, формирование мер по защите от угроз, реализуемых нестандартным спосо- бом, и является задачей специалиста по ком- плексной безопасности. Актуальные вопросы комплексной и информационной безопасности вопросы обеспечения комплексной безопасно- сти промышленности, в том числе предприятий ТЭК, вновь стали чрезвычайно актуальными в текущих геополитических условиях. Сегодня, учитывая санкционное давление, прекращение поддержки действующего оборудования, раз- личного рода телекоммуникационные атаки и другие виды воздействия, трудно выделить какое-то одно направление обеспечение без- опасности, которое бы было значимее других. Вопросы безопасности ТЭК на государственном уровне Если рассмотреть вопрос безопасности пред- приятий ТЭК на государственном уровне, то подход к обеспечению отдельных ее видов про- сматривается в соответствующих федеральных законах. наиболее ярким примером является федеральный закон "О безопасности объектов топливно-энергетического комплекса" от 21.07.2011 г. № 256-фз, направленный на антитеррористическую защищенность объектов конкретной сферы. нельзя сказать, что за время, прошедшее с момента принятия данного закона, террористическая угроза утратила свою актуальность, однако появились угрозы нового вида, включая те, которые ранее не рассматри- вались, по крайней мере на уровне собственни- ков предприятий, например отказ от поддержки программного или программно-аппаратного обеспечения. на национальном уровне можно утверждать, что информационная безопасность дождалась своего "черного лебедя", когда продукты про- изводителей из стран, "демонстрирующих недружественное поведение", уже не могут использоваться на объектах критической информационной инфраструктуры – об этом говорится в указах президента Российской федерации от 30.03.2022 г. № 166 и от 01.05.2022 г. № 250. вместе с тем санкции и контрсанкции являются только поводом для более внимательного рас- смотрения сложившейся ситуации. Реально проблема заключается в том, что можно назвать "кризисом бесшовности обеспечения безопас- ности". на одном полюсе явно выраженная политическая воля необходимости обеспечения технологической независимости, на другом – выявленные конкретные уязвимости в конкрет- ных контроллерах. а посередине находятся организаторы, собственники и руководители производства, для которых информационные технологии не более чем средство для повыше- ния эффективности бизнес-процессов. Если представить, что существует зависимость уров- ня мотивированности по обеспечению ИБ от уровня в глобальной иерархии, то на интуитив- ном уровне ее график будет представлять сед- ловину или параболу (рис. 1). Слева – уровень мотивированности конкретных специалистов, занимающихся настройкой кон- кретных контроллеров, до руководителей по безопасности. Крайняя нижняя точка (в цент- ре), как представляется, отражает позицию руководства предприятий. в правой части, как уже было отмечено, уровень мотивированности политического руководства, регуляторов, пред- ставителей отраслевых министерств и т.д. в данном случае авторами используется трак- товка аналитического отчета "О вовлеченности первых лиц предприятий в управление инфор- мационной безопасностью", подготовленного экспертной подгруппой по кибербезопасности нТИ "Энерджинет" 1 . И здесь нет ничего удиви- тельного. Основная задача руководителя – обеспечивать выпуск продукции и ее продажи. ИБ рассматривается лишь как аспект, который может этому либо способствовать, либо препят- ствовать. но не более. Как бизнес осознает вопросы безопасности в указанном выше отчете отмечено, что несмот- ря на появление упомянутых указов президента Российской федерации, как интересовалась проблемой ИБ примерно половина руководи- телей, такая же часть и осталась. здесь скорее видна точка насыщения, так как отсутствие интереса говорит о том, что, во-первых, для оставшейся части проблемы ИБ несущественны из-за особенностей бизнеса и, во-вторых, при- сутствует образовательный фактор: восприятие проблем ИБ не очень острое. Примером может быть радиационная опасность. Ее ощутить нель- зя, можно увидеть только последствия. Осозна- ние смертельной угрозы среди широких кругов неспециалистов во многом пришло только после долгой разъяснительной работы. а вот где пришло осознание, так это в сфере безопасности поставок. При этом сами цепочки поставок должны быть как устойчивыми, то есть гарантированными, так и не должны допускать появления на их выходе продукции с недекла- рированными возможностями. возможно, что для некоторых читателей приве- денные рассуждения выглядят тривиальными. Тогда возьмем другой аспект проблемы – пози- цию регулятора, в частности фСТЭК России. в 2021 г. был утвержден интересный доку- мент – "Методика оценки угроз безопасности информации" 2 , который рассматривает нару- шителей самого разного рода, начиная со спец- служб иностранных государств (а это фактиче- ски отражение позиции политического руко- водства) и заканчивая отдельными хакерами. При этом данный регулятор уже благодаря своей ведомственной нормативной базе распо- лагает банком данных угроз безопасности информации (bdu.fstec.ru , далее – БДУ), вклю- чающим в себя базу данных уязвимостей. Ука- занный банк данных весьма конкретен, особен- но при описании уязвимостей, что делает его понятным в первую очередь специалистам, то есть людям из левой части нашего графика. www.secuteck.ru февраль – март 2023 СПЕЦПРОЕКТ БЕзОПаСнОСТь ОБъЕКТОв ТЭК, нЕфТЕгаза, КвО Рис. 1. Зависимость степени мотивированности по обеспечению ИБ от уровня в глобальной иерархии 1 Отчет_осведомленность_23_01_23.pdf. URL: https://docs.yandex.ru/docs/view?url=ya-disk- public%3A%2F%2FEN4vcIiIabKqbtP8cc6G%2BcBrHNgU%2BcZRSgqIsZrQy%2FHPM1YJerOJz7%2FbcmGeMCudq%2FJ6bpmRyOJonT3VoXnDag%3D%3D&name=Отчёт_осведомленность_23_0 1_23.pdf&nosw=1 (дата обращения: 06.02.2023). 2 Методика оценки угроз безопасности информации, утверждена ФСТЭК России 05.02.2021 г. Электронный ресурс ФСТЭК России. URL: https://fstec.ru/tekhnicheskaya-zashchita-infor- matsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g (дата обращения: 02.02.2023). 3 Имеются в виду, в частности, статьи 13.12.1, 19.7.15 КоАП РФ и 274.1 УК РФ.