Журнал "Системы Безопасности" № 1‘2023

S E C U R I T Y A N D I T M A N A G E M E N T 18 Проблема заключается в том, что упомянутая Методика оценки угроз... предполагает, что на конкретном предприятии будет расписано, как, условно говоря, сторонник террористиче- ской группировки (используется понятие из рассматриваемого документа) подбирает пароль BIOS (понятие из БДУ) к основному серверу. но эти термины находятся в области ведения лиц, для которых они малопонятны, имеющих к тому же низкий уровень мотиви- рованности! Понятно, что на текущий момент поддержание уровня мотивированности обеспечивается в основном "методом кнута" – введением в Уго- ловный кодекс и Кодекс об административных правонарушениях Российской федерации соот- ветствующих статей 3 . Поэтому проблема реша- ется аккуратно, скажем путем аутсорсинга раз- работки соответствующих документов, в част- ности модели угроз. И в результате мы имеем ситуацию, которую очень хорошо описал вик- тор Черномырдин: хотели, чтобы бизнес провел ревизию своих проблем с обеспечением информационной безопасности, а он пред- почитает просто купить "справку об отсутствии претензий". Проблема, если действительно "смотреть в корень", заключается в том, что описания ИБ на уровне предприятия (не на уровне глобального противоборства, не на уровне конкретных конт- роллеров) практически не существует. Отдель- ные примеры есть, но они скорее подчеркивают общее правило. невысокий уровень мотивиро- ванности обусловлен тем, что руководство предприятий одинаково далеко как от глобаль- ной "технологической независимости", так и от уязвимости конкретного контроллера. на сегодняшний день есть возможность отобра- зить понимание и дать описание информацион- ной безопасности. но, как видно даже из этого краткого рассмотрения, понимание информа- ционной безопасности на каждом уровне иерархии разное. Взгляды на содержание комплексной безопасности в этом смысле не стала исключением и прове- денная в апреле прошлого года в губкинском университете панельная дискуссия 4 , которая была посвящена выработке понимания ком- плексной безопасности объектов ТЭК. Участни- ки сделали и обсудили различные доклады, при этом, как показалось, речь шла о том, насколько широко необходимо учитывать различные аспекты безопасности (физической, экономиче- ской, антитеррористической и т.п.) для выра- ботки понимания комплексности. По мнению одного из регуляторов (Е.в. нови- кова, советника Департамента экономической безопасности Минэнерго России), комплексную безопасность определяют следующие направ- ления: l противодействие террористическим угрозам; l противодействие киберугрозам; l обеспечение правовой защиты предприятий; l мобилизационная подготовка; l антикоррупционная деятельность. все перечисленные направления обеспечения безопасности предприятий связаны между собой. Так, например, одним из негативных последствий компьютерных атак может быть снижение мобилизационной готовности. Регу- ляторы уже подходят к рассмотрению вопросов безопасности предприятий как комплексному понятию, охватывающему ее различные виды. выделение отдельных направлений имеет ско- рее организационный характер, так как за раз- личные виды безопасности на уровне госу- дарства отвечают различные ведомства. Разработчиками систем моделирования также внимательно изучаются подходы к обеспечению комплексной безопасности. По мнению некото- рых из них (С.М. Ревина, генерального дирек- тора аО "Итерация"), безопасность – это отсут- ствие опасности или, говоря по-другому, угро- зы. При этом все угрозы делятся на две группы: 1. Частые угрозы, для которых можно составить статистику. 2. Редкие явления с катастрофическими послед- ствиями. Так, например, террористическая атака на объ- ект ТЭК – это редкое явление, для которого невозможно составить статистику, а значит, про- вести обоснованный расчет рисков. С точки зрения С.М. Ревина, под понятием "комплексность" подразумевают понятие о нескольких компонентах безопасности с уче- том их влияния друг на друга. аксиома об угро- зах: объективно существует бесконечное число угроз любому субъекту безопасности, в том числе те, которые невозможно предположить. Следствия из аксиомы: 1. абсолютной безопасности не существует. 2. в любой момент может возникнуть любое количество угроз, в том числе ранее неизвест- ных. 3. невозможно создать идеальную систему без- опасности. 4. Система безопасности должна предусматри- вать возможность динамического развития при изменении характера и интенсивности угроз. 5. Для своевременного реагирования на вне- запно возникающие угрозы необходим резерв сил и средств за счет определенной избыточно- сти существующих и проектируемых систем безопасности. Значение методов имитационного моделирования Обоснование необходимой достаточности сил и средств реагирования на проектные и запроектные угрозы наилучшим образом осу- ществляется методами имитационного (ситуа- ционного) моделирования функционирования всех комплексов и подсистем системы безопас- ности в обычных условиях, при осложнении обстановки и при возникновении чрезвычайных ситуаций. При этом необходимо учитывать ком- плексное взаимодействие и взаимовлияние различных подсистем и направлений обеспече- ния безопасности. При разработке таких систем моделирования и их информационного обеспечения наибольшая эффективность достигается за счет использова- ния цифровых двойников систем безопасности, представляющих собой составную часть цифро- вых двойников объектов (предприятий). Моделирующий комплекс на основе генерации и математической обработки статистик должен обеспечивать интеллектуальную поддержку принятия оптимизированных управленческих решений в системах безопасности с использо- ванием полных, актуальных и достоверных дан- ных о структуре и процессах функционирования объекта и его систем безопасности, которые содержатся и администрируются в цифровом двойнике объекта. Мнения разработчиков и интеграторов о понятии комплексной безопасности По мнению разработчиков систем автоматизи- рованного управления (С.н. Королёва, руково- дителя направления систем информационной безопасности Частного учреждения по цифро- визации атомной отрасли "Цифрум"), понятие комплексной безопасности начинается с ком- плексного подхода. Прежде чем создать систе- му защиты, нужно дать ответы на вопросы "Что защищать?", "От кого защищать?", "Сколько вре- мени понадобится злоумышленнику на совер- шение несанкционированного действия?", "Как и какими силами обеспечить создание рубежей защиты?". в некоторых особо важных отраслях промыш- ленности уже применяется комплексный под- ход к обеспечению информационной безопас- ности предприятий. в понимании интеграторов (а.И. Карпенко, руководителя направления защиты аСУ ТП и КИИ "Инфосистемы Джет"), комплексным счи- тается подход, связанный с большим уровнем абстракции при процессе моделирования угроз. Составление исчерпывающего перечня мер без- опасности в рамках такого подхода может включать в себя меры, не только связанные с информационной безопасностью, но и затраги- вающие аспекты промышленной и антитерро- ристической безопасности. При этом в рамках текущей ситуации обеспече- ние комплексной безопасности должно про- изводиться быстро, что приводит к декомпози- ции проектов на три базовых уровня: 1. Стратегический, на котором осуществляется анализ состояния безопасности аСУ ТП на уров- не исполнительных аппаратов, материнских компаний, общая систематизация подходов к защите, связанная с разработкой стратегии и дорожной карты, формирование целевой модели безопасности. 2. Оперативный, на котором проводится анализ состояния безопасности аСУ ТП на уровне филиалов, тестов на проникновение для оценки реального уровня защищенности и инвентари- зация типовых объектов, а также формируются контуры систем защиты. 3. Тактический, на котором повышается осве- домленность персонала на местах, проведение обучения, киберучений, в рамках этого уровня также может производиться аутсорсинг реали- зации основных функций безопасности для быстрого парирования потенциальных угроз. важно отметить, что выполнение задач по этим уровням может и должно вестись параллельно. февраль – март 2023 www.secuteck.ru СПЕЦПРОЕКТ БЕзОПаСнОСТь ОБъЕКТОв ТЭК, нЕфТЕгаза, КвО 4 Панельная секция "Комплексная безопасность предприятий ТЭК: проблемы обеспечения защищенности и импортозамещения" проведена 26.04.2022 г. в рамках XV Всероссийской научно-технической конференции "Актуальные проблемы развития нефтегазового комплекса", организованной РГУ нефти и газа (НИУ) имени И.М. Губкина.