Резолюция секции «Информационная безопасность»

Модераторы секции: Дмитрий Шевцов, заместитель начальника управления Федеральной службы по техническому и экспортному контролю России, Андрей Губарев, директор по безопасности, ООО «РТ-ИНФОРМ», Дмитрий Ефанов, председатель секции, директор Центра общих технологий АО «ЦНИИ ЭИСУ».

Участвовали 13 докладчиков: ФСТЭК России, АО «ОПК», ЦНИИ ЭИСУ, ГК «Информзащита», АО «ОПК», ПАО «ИНЭУМ им. И.С. Брука», АО «Системы управления», ФГУП «РФЯЦ-ВНИИЭФ», «Информакустика», INLINE Technologies, Group-IB, ФГБУН НИИСИ РАН, АО «ИСС», МГТУ им. Н.Э. Баумана.

Текущее состояние

В настоящее время на предприятиях ОПК накоплен огромный научно-технический опыт, позволяющий решать задачу разумного импортозамещения в области ИБ.

  1. Ведется работа по дальнейшему совершенствованию отечественных аппаратных платформ «Эльбрус» в ПАО «ИНЭУМ им. И.С. Брука» и «Багет» во ФГБУН НИИСИ РАН, предназначенных для применения в критически важных инфраструктурах.
  2. Ведется работа по дальнейшему совершенствованию отечественных защищенных операционных систем в АО «ЦНИИ ЭИСУ», ПАО «ИНЭУМ им. И.С. Брука», ФГУП «РФЯЦ-ВНИИЭФ» и ФГБУН НИИСИ РАН, сертифицированных по высоким классам защищенности в основных системах сертификации ФСТЭК России, Минобороны России и ФСБ России.
  3. Ведется работа по дальнейшему совершенствованию отечественных средств защиты информации

Описание проблем предметной области секции в сфере ОПК, наиболее острые и актуальные вопросы

К основным проблемам в области обеспечения информационной безопасности как на предприятиях ОПК, так и в рамках ОПК в целом относятся следующие.

  1. Отсутствие единых подходов к обеспечению ИБ на предприятиях, что приводит к использованию как в рамках отрасли в целом, так и на предприятиях ОПК различных, зачастую не совместимых между собой средств защиты информации, что усложняет проведение анализа и снижает прозрачность ИБ.
  2. Отсутствие отраслевого стандарта, регламентирующего обеспечение ИБ на предприятиях ОПК.
  3. Использование предприятиями ОПК в ключевых автоматизированных системах, в том числе в системах управления производственными и технологическими процессами, импортного программного обеспечения, что в нынешних экономических условиях может привести либо к невозможности осуществления определенных видов деятельности, либо к значительным перерывам в функционировании систем.
  4. Использование на предприятиях ОПК для работы с информацией ограниченного доступа программного обеспечения, которое по тем или иным причинам не может быть сертифицировано на соответствие требованиям по безопасности информации.
  5. Отсутствие типовых программно-технических комплексов, построенных на основе отечественной доверенной аппаратно-программной платформы с учетом реализации требований по ИБ.
  6. Недостаточность существующей номенклатуры средств защиты информации, системного и прикладного ПО, сертифицированных (сертифицированного) по высшим уровням (классам) в действующих системах сертификации.
  7. Отсутствие на большинстве предприятий ОПК механизмов и средств, позволяющих отслеживать события ИБ в автоматизированных (информационных) системах и реагировать на возникающие инциденты ИБ. Вместе с тем, мониторинг возникающих в АС (ИС) событий ИБ, способных повлечь ущерб для предприятия, является одним из наиболее существенных инструментов системы обеспечения ИБ, обеспечивающих поддержание необходимого уровня обеспечения ИБ на предприятии и выявление возможных (новых) источников угроз ИБ. На основании данных, полученных в результате мониторинга событий ИБ, и проведенного анализа этих данных возможны превентивное определение мер по улучшению состояния ИБ на предприятии, контроль выполнения требований и мер по ИБ, что обеспечивает снижение риска возникновения повторных инцидентов ИБ и в конечном итоге приводит к возможности предотвращения (минимизации) наносимого предприятию ущерба.
  8. Зависимость от импортного программного обеспечения, в котором могут быть как специально, так и случайно оставленные уязвимости, ставящие под угрозу возможность его использования предприятиями ОПК. Однако аналогичная проблема существует и для ПО отечественной разработки в связи с тем, что его качество обычно ниже вследствие невысокого уровня зрелости с точки зрения ИБ самого процесса разработки ПО. При этом следует отметить, что исследовать на наличие уязвимостей нужно как импортное, так и отечественное ПО. Также необходимо проводить проверки ПО на наличие недекларированных возможностей.
  9. Отсутствие объективной информации о защищенности информационных активов предприятия, об эффективности действующих систем защиты, о соответствии систем защиты требованиям международных и отечественных стандартов, отраслевым нормативным документам.
  10. Отсутствие полноценно функционирующей системы электронного документооборота между предприятиями, входящими в ОПК. Причинами такого положения дел является, в частности, отсутствие отраслевой унификации средств электронной подписи; отсутствие доступных для всех предприятий ОПК сертифицированных для работы с информацией, составляющей ГТ, криптопровайдеров; отсутствие в ОПК процедурной документации по порядку работы с ЭП и разрешению конфликтных ситуаций при возникновении таковых.
  11. Невозможность на текущий момент отслеживать динамику изменения состояния ИБ на предприятии. Доступ к максимально полной информации о состоянии ИБ (как в целом, так и отдельно по проблемным местам) имеет огромное значение для ключевых АС (ИС), технологий и компонент. Возможность в режиме онлайн получить данные о работе процессов ИБ и степени защищенности, выявить причины инцидентов ИБ, взаимосвязи происходящих событий ИБ, определить узкие места в обеспечении ИБ и отклонения в функционировании мер защиты, причины их возникновения, запланировать корректирующие мероприятия и оценить их эффективность позволяет выявить системные отклонения в работе процессов управления и обеспечения ИБ.
  12. Наличие сложностей, связанных с использованием нормативной базы РФ в области обеспечения безопасности информации применительно к специфике ОПК, ее недостаточность в отдельных аспектах.

Методы и инструменты решения проблем

Для решения указанных задач необходимо проведение следующих мероприятий.

  1. Проблема отсутствия единых подходов по обеспечению ИБ в рамках ОПК решается путем формирования нормативно-методической базы в области обеспечения ИБ, регламентирующей основные цели, задачи, принципы построения, требования и подходы по обеспечению и управлению информационной безопасностью с учетом проведения типизации объектов информатизации ОПК. Обеспечение унификации требований к средствам (механизмам) защиты информации и номенклатуры средств защиты информации также может быть реализовано путем создания системы добровольной сертификации в рамках ОПК. Проблемы, связанные с использованием импортного аппаратного и программного обеспечения (по п. 2 и 3 предыдущего раздела), решаются путем создания доверенной аппаратно-программной среды и использования программного обеспечения отечественной разработки, сертифицированного по требованиям безопасности информации в действующих системах сертификации.
  2. Проблема отсутствия на предприятиях ОПК механизмов и средств, позволяющих отслеживать события ИБ в АС (ИС) и реагировать на возникающие инциденты ИБ решается путем создания центров (либо подключения предприятий к уже функционирующим) обнаружения, предупреждения и ликвидации последствий компьютерных атак, осуществляющих сбор и последующий анализ данных о киберугрозах и инцидентах ИБ в АС (ИС), их нейтрализации и выяснения причин возникновения (расследование).
  3. Для обеспечения постоянного внешнего контроля ПО, применяемого на предприятиях ОПК, необходимо создание постоянно действующих исследовательских центров, специализирующихся на поиске уязвимостей с компетенциями по продуктам определенного типа. Создание подобных центров позволит наладить должный контроль и навести порядок на предприятиях ОПК с точки зрения информационной безопасности, тем самым существенно снизив вероятность успешной атаки потенциального противника через уязвимости в программном и программно-аппаратном обеспечении.
  4. Проблема внедрения на предприятиях ОПК отечественной доверенной аппаратно-программной среды решается путем создания центров компетенций по разработке и поддержке внедрения продуктов, которые позволяют концентрировать компетенции, осуществлять обмен опытом и выстраивать кооперационные связи. При этом исключаются дублирование разработок и ненужная конкуренция между оборонными предприятиями, что позволяет в конечном итоге более рационально расходовать людские, временные и финансовые ресурсы.
  5. Проблема отсутствия объективной информации о существующих системах защиты, о соответствии систем защиты требованиям нормативной базы может быть решена путем проведения систематических аудитов состояния ИБ предприятия. Проведение аудита ИБ позволяет выполнить анализ возможности реализации угроз безопасности по отношению к АС (ИС), определить уровень защищенности АС (ИС) и выявить слабые места в системе защиты, сформировать рекомендации по повышению эффективности механизмов безопасности АС (ИС), оценить полноту выполнения требований законодательства РФ, стандартов, отраслевых нормативных документов.
  6. Проблема отсутствия системы электронного документооборота между предприятиями, входящими в ОПК, может быть решена путем создания системы удостоверяющих центров и разработки нормативной базы применения квалифицированной электронной подписи в организациях ОПК.
  7. Проблема отслеживания динамики изменения состояния ИБ предприятия может быть решена путем создания аналитических ситуационных центров ИБ, позволяющих повысить управляемость ИБ на предприятии.

Предложения и рекомендации по внедрению и использованию информационных технологий в ОПК

  1. Рекомендовать Госкорпорации Ростех и «РТ-Информ» провести типизацию объектов информатизации ОПК и разработать соответствующие им модели угроз. Организовать разработку и утверждение соответствующих типовым объектам типовых решений по ИБ, разработать и внедрить отраслевой стандарт ИБ ОПК.
  2. Рекомендовать Госкорпорации Ростех, АО «ОПК» на основе существующих научно-технических заделов в АО «ЦНИИ ЭИСУ» и ПАО «ИНЭУМ им. И.С. Брука» организовать формирование, разработку и сертификацию доверенной аппаратно-программной среды, предназначенной для оснащения объектов автоматизации на предприятиях ОПК, в том числе открытые и закрытые контуры систем управления предприятием. Данная среда должна включать отечественную базовую программную платформу и отечественную аппаратную платформу «Эльбрус» и позволять создавать типовые программно-технические комплексы, в частности АРМ пользователей, серверы, элементы АСУ ТП.
  3. Проектировщикам АС в защищенном исполнении ориентироваться на использование при построении АС аппаратного и программного обеспечения отечественной разработки, сертифицированного по требованиям безопасности информации в действующих системах сертификации.
  4. Разработчикам систем управления предприятием ОПК ориентироваться на использование отечественных ERP-систем, сертифицированных по требованиям безопасности информации в действующих системах сертификации для работы в среде отечественных защищенных операционных систем.
  5. Рекомендовать Госкорпорации Ростех, АО «ОПК» организовать центр компетенций по разработке новых и портированию существующих решений по ИБ, применяемых на предприятиях ОПК, на отечественную доверенную аппаратно-программную платформу.
  6. Рекомендовать Госкорпорации Ростех инициировать работы по подключению предприятий к центрам обнаружения, предупреждения и ликвидации последствий компьютерных атак. Предприятиям ОПК в приоритетном порядке рассмотреть возможность подключения к указанным центрам.
  7. Рекомендовать Госкорпорации Ростех для обеспечения соответствующего уровня контроля развернуть постоянные исследования защищенности ключевых ИТ- и АСУ ТП-технологий и компонентов (как импортных, так и отечественного производства), используемых предприятиями ОПК. Рекомендовать разработчикам программного обеспечения, используемого на предприятиях ОПК, а также подразделениям предприятий ОПК, занимающимся разработкой ПО, использовать технологии безопасного программирования с учетом передовых мировых практик.
  8. Рекомендовать Госкорпорации Ростех провести работы по аудиту ИБ предприятий.
  9. Рекомендовать Госкорпорации Ростех рассмотреть вопрос о создании системы удостоверяющих центров ОПК и разработки нормативной базы применения квалифицированной электронной подписи в организациях ОПК.
  10. Рекомендовать предприятиям ОПК рассмотреть возможность создания (либо подключения к уже функционирующим в случае наличия таковых) аналитических ситуационных центров ИБ.
Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку