Контакты
Подписка
МЕНЮ
Контакты
Подписка

Информационная безопасность на объектах ТЭК:отраслевая специфика и современные подходы

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Информационная безопасность на объектах ТЭК:отраслевая специфика и современные подходы

Будучи крупными, протяженными и критически важными объектами, предприятия ТЭК предъявляют особые требования к обеспечению как физической, так и информационной безопасности. Илья Лившиц рассказал о том, какова актуальная ситуация в области информационной безопасности на объектах ТЭК, какие важнейшие задачи стоят сегодня перед специалистами и в каком направлении будут развиваться системы защиты информации в данном сегменте
Илья Лившиц
Доцент кафедры БИТ Санкт-Петербургского национального
исследовательского университета информационных технологий,
механики и оптики, к.т.н.

– Каковы особенности обеспечения информационной безопасности на объектах и предприятиях ТЭК?
– Особенности обеспечения информационной безопасности на объектах ТЭК следующие: значительное количество сложно формализуемых требований, тесно увязанных с требованиями функциональной безопасности и специфики технических процессов, множество разнообразных и противоречивых требований разных регуляторов и слабая отраслевая экспертиза в РФ.

– Какие важнейшие задачи стоят перед специалистами ИБ при защите объектов нефтегаза и энергетики?
– Первая и самая важная – обеспечение цифрового суверенитета в области ПО и оборудования для управления техническими процессами: если избавимся от зарубежного ПО и железа, научимся делать свои изначально защищенные ИС, контроллеры, серверы, ПО и прочее, проблем будет намного меньше.

Далее – понимание роли ИБ в обеспечении функциональной безопасности технических процессов.

Погнулась труба – заменим, утонул бульдозер – купим новый; а вот завис сервер АСУ ТП или нет обновлений на контроллере критичных процессов с 1996 г. (мы видели такие) – что делать?

Третье – незамедлительное обучение новых инженеров прямо в вузах, чем мы и занимаемся.

– Расскажите об одной-двух самых сложных задачах/проблемах, с которыми вы сталкивались в работе. Благодаря чему их удалось решить?
– Реализовали проект "гибридной" оценки рисков ИТ на одном объекте. Вместо статических моделей угроз на базе документов ФСТЭК, которые никто не проверяет и никто не обновляет лет десять, была разработана, согласована и апробирована новая методика на стыке стандартов ИСО 27001 (менеджмент ИБ), ИСО 15408 ("общие критерии") и DFD (для описания сущностей). Методика была апробирована сначала на одной критичной ИС, далее была проведена оценка рисков всех критичных систем на объекте.

– При создании современной и высокотехнологичной системы ИБ оборудование и услуги каких компаний стоит предпочесть – зарубежных или отечественных?
– Следует четко понимать, что мы хотим: быть вечно зависимыми от империалистических разведок Запада (не нужно обольщаться ни на минуту – читаем речь секретаря Совбеза РФ Николая Патрушева) или мы желаем обеспечить независимость и цифровой суверенитет, о чем говорил на ПМЭФ-2017 президент РФ Владимир Путин. Кроме того, не следует постоянно закупать новые и новые СрЗИ, нужно разрабатывать изначально безопасные свои национальные ИТ-компоненты!

– На какие этапы можно разделить глобальную задачу по обеспечению информационной безопасности?
– Только создание доверенных ИТ-компонентов, прошедших независимую экспертизу, например по ИСО 15408, МЭК 61508 и МЭК 61511. Далее сборка из доверенных ИТ-компонентов необходимых ИС для области ТЭК, нефтегазовой отрасли, авиации и др.

– Назовите главные тренды информационной безопасности. Какие из них кажутся вам интересными и перспективными?
– Повышение внимания к международным стандартам в области безопасности – ИСО серии 27001, ИСО 22301, МЭК 61508, МЭК 61511 и тесная интеграция вопросов ИБ в разработку ИТ-компонентов.

Другого пути уже нет, нельзя вечно штопать "дырявое" ПО, устаревшее и потенциально опасное. Нужно обеспечивать цифровой суверенитет.

– Расскажите об инновационных/уникальных технологиях, с которыми вы работали или которые внедряли. Как вы оцениваете перспективы применения этих технологий на объектах ТЭК?
– Апробация на двух критичных объектах в течение года показала, что такие новые методики весьма перспективны. Более того, сами заказчики говорят: нам не нужны "мусорные активы" в виде модели угроз, дайте нам "цифру", дайте нам реальные оценки рисков ИБ, дайте нам реальные цифры уровня защищенности. И мы с коллегами это делаем.

– В чем состоит комплексный подход к построению системы защиты информации на объектах ТЭК?
– Прежде всего – в четком понимании целей бизнеса, по непрерывности, по допустимому простою, по рискам цепочки контрагентов и пр. И только после этого – неукоснительное соблюдение порядка разработки систем управления ИБ, как учит ИСО 27001: выявление критичных активов, оценка рисков, оценка мер защиты, аудиты... Далее – честное исключение "мусорных активов" из оборота, и не нужно тратить на них бюджет ИБ.

И обязательно – полное вовлечение высшего руководства на всех стадиях жизненного цикла.

– Какие существуют угрозы информационной безопасности объектов ТЭК? И какие меры необходимо принять в первую очередь для борьбы с ними?
– Ничего нового не придумано – NIST SP 800-53, ИСО 27005, Doc 8973 ICAO.

– На чем нельзя экономить при организации системы информационной безопасности на объектах ТЭК? Чем такая экономия может обернуться?
– На обучении персонала. Это просто чудовищно, что могут натворить неучи и бездари за пультами критичных объектов... Не просто вирусы с флешек, а эксперименты с недопустимыми режимами работы оборудования с нарушением законов физики, техники безопасности и даже отключением чувства самосохранения...

– По каким критериям можно судить о защищенности информационной системы объекта?
– Только по итогам беспристрастного независимого аудита ИБ по требованиям ИСО 27001, ИСО 22301, ИСО 50001, NIST. Никаким отчетам по методикам ФСТЭК нельзя верить, только аудит!

– В каком направлении будут развиваться системы защиты информации?
– Их путь завершится очень скоро в техническом музее... На смену отдельно ИТ и отдельно СрЗИ придут изначально безопасные ИТ-компоненты, прошедшие оценку по ИСО 15408, МЭК 61508 и МЭК 61511.

Опубликовано: Журнал "Системы безопасности" #4, 2017
Посещений: 4868

  Автор

Илья Лившиц

Илья Лившиц

Доцент кафедры БИТ Санкт-Петербургского национального
исследовательского университета информационных технологий,
механики и оптики, к.т.н.

Всего статей:  1

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций