Разделы

Безопасность Цифровизация ИТ в госсекторе

10 простых шагов: Как обеспечить безопасность КИИ

Курс на автоматизацию процессов затрагивает и объекты критической информационной инфраструктуры (КИИ), делая их уязвимыми для кибератак. Ответом на этот вызов стало принятое на законодательном уровне требования об обеспечении безопасности КИИ. № 187-ФЗ вступил в силу 1 января 2018 года. Однако современные предприятия заинтересованы не только в выполнении нормативных требований, но и в создании реального контура защиты для обеспечения устойчивости и развития своего бизнеса. На что обратить внимание при выборе решений для защиты КИИ, и какие дополнительные эффекты может принести их внедрение, CNews рассказал эксперт компаний «АйТи Бастион» Константин Родин.

1
Планируем защиту КИИ на этапе строительства
2
Проводим анализ текущей инфраструктуры и объектов, входящих в ее состав
3
Определяем сегменты сети и объекты, подлежащие защите
4
Выбираем схему включения средств защиты
5
Выбираем интегратора
6
Определяем, какие из мер защиты реализуют выбранные средства защиты
7
Проводим анализ концепции в рамках тестового стенда
8
Развертывание системы, ввод в опытную и промышленную эксплуатацию
9
Собираем сведения и анализируем результаты работы
1 шаг

Планируем защиту КИИ на этапе строительства

В условиях действующего законодательства и в свете постоянно меняющегося ландшафта угроз информационной безопасности предприятиям, владеющим критической информационной инфраструктурой, необходимо как можно раньше провести подготовительную работу. А именно: выявить, категорировать и определить значимость всех объектов КИИ, провести моделирование угроз безопасности и разработать технические решения для создания систем защиты значимых объектов КИИ. Включение раздела «Информационная безопасность» в проектную документацию промышленных объектов можно отнести к лучшим практикам для предприятий. Также необходимо определится с выбором системы защиты информации и проверить ее совместимость с другими системами, предприятия, прежде всего с АСУ ТП, MES и с сетевой инфраструктурой. Наконец, нужно разработать эффективные политики безопасности, которые будут учитывать все аспекты защиты элементов КИИ.

2 шаг

Проводим анализ текущей инфраструктуры и объектов, входящих в ее состав

Когда речь идет о защите критической информационной инфраструктуры, это касается технологических сетей и АСУ ТП. Прежде чем приступить к реализации проекта, необходимо определить, какие компоненты инфраструктуры следует анализировать и защищать. Тут можно выделить три сегмента: SCADA/DCS-сеть, в которой работают промышленные панели операторов, рабочие станции и сервера; управляющая сеть и полевые устройства. Чтобы эффективно развернуть защиту, важно понять, как все они друг с другом взаимодействуют.

Также следует учитывать, что помимо обеспечения реальной защиты, необходимо выполнить требования регулятора в части обеспечения безопасности КИИ. В идеале эти задачи должны совпадать.

Константин Родин

руководитель технического центра «АйТи Бастион»

Защита может быть разделена на реальную и бумажную. Но предпочтителен вариант, когда они дополняют друг друга. И закупленные под требования 187-ФЗ решения не лежат на полках.

3 шаг

Определяем сегменты сети и объекты, подлежащие защите

В зависимости от того, какие сегменты и объекты подлежат защите, выбирается оптимальное решение. Также определяется, каким образом будет осуществляться контроль и доступ конкретных сотрудников для управления теми или иными объектами, начиная с верхнеуровневого SCADA-сегмента, где расположены рабочие/операторские станции и системы мониторинга.

Константин Родин

руководитель технического центра «АйТи Бастион»

Если рассматривать SCADA-сегмент, то с нашей стороны здесь будет СКДПУ как шлюз доступа и центр мониторинга. А между SCADA-сегментом и сетью управления можно установить наше решение «Синоним», которое обеспечит передачу данных. Это уникальный продукт, предназначенный для организации безопасного обмена информацией между производством и бизнесом. «Синоним» – это односторонний шлюз, средство для передачи информации без раскрытия структуры защищенного сегмента. Как и СКДПУ, оба решения организуют точку доступа и не показывают «абы кому», что есть внутри, с учетом настроенных политик доступа. Его использование повышает эффективность и экономическую рентабельность техпроцессов. Если открыть доступ к АСУ ТП напрямую, есть риск того, что промышленный сегмент, та самая КИИ, будет скомпрометирована из-за взаимодействия с менее защищенной корпоративной сетью. Работая на транспортном уровне протокола, «Синоним» обеспечивает защищенный обмен информацией.

4 шаг

Выбираем схему включения средств защиты

Одним из вариантов решения данной задачи может быть организация доступа через тонкие клиенты. Такой сценарии компании «АйТи Бастион» и «Лаборатория Касперского» продемонстрировали в сентябре 2021 года на ежегодной конференции промышленной безопасности KIKS21. Решение Kaspersky Secure Remote Workspace с тонкими клиентами Kaspersky Thin Client на базе KasperskyOS работает в связке с системой контроля доступа привилегированных пользователей СКДПУ НТ. Благодаря концепции «врожденной» безопасности такой тонкий клиент не требует наложенных средств защиты и имеет возможность гибкой настройки для конкретного профиля пользователя через единую консоль удаленного управления Kaspersky Security Center. Например, можно отключить удаленно некоторые интерфейсы, скажем, USB-порты, и установить сертификат безопасности, чтобы даже самый технически продвинутый пользователь не имел возможности подключиться в обход СКДПУ НТ. Все эти меры смогут повысить уровень безопасности подключения к контуру АСУ ТП с конечных устройств.

СКДПУ взаимодействует с целевыми серверами по сети, но в случае необходимости его можно подключить по протоколу RS-232 к программируемым логическим контроллерам (ПЛК). Это обеспечивает возможность доступа, контроля и записи событий напрямую, исключая непосредственно операторскую станцию. Таким образом, за счет устранения из цепи дополнительного звена, повышается эффективность и устойчивость всей системы. АСУ ТП и промышленные сегменты «не любят» лишнего вмешательства. Случайная перезагрузка какого-то контроллера или внесение в незапланированное время новой программы может в лучшем случае остановить техпроцесс, а в худшем – спровоцировать техногенную катастрофу. С этой точки зрения использование безагентского доступа как нельзя более оправдано.

Константин Родин

руководитель технического центра «АйТи Бастион»

Наше совместное с «Лабораторией Касперского» решение позволяет, не меняя архитектуру, обеспечить сотрудникам (операторам рабочих станций, представителям вендора и другим) доступ к настройке и изменению параметров АСУ ТП. По сути мы предоставляем безопасное, простое в обслуживании, защищенное рабочее место, которое требует минимальных затрат на эксплуатацию. Это очень важно для компаний, которые используют зарубежное оборудование, обслуживание которого должно производиться силами производителя. Вопрос предоставления доступа зарубежных технических специалистов к критической инфраструктуре является крайне чувствительным. Наше решение позволяет повысить прозрачность: есть записи, возможность согласовать расписание доступов.

Кроме того, интеграция с СКДПУ НТ дает возможность осуществлять мониторинг и разбор инцидентов. Решение позволяет записывать все события как в текстовом, так и в видеоформате. Эти записи можно анализировать и использовать для обучения сотрудников, чтобы они понимали, что где происходит, и что делает вендор на конкретном оборудовании.

5 шаг

Выбираем интегратора

Как правило, у владельцев КИИ, в первую очередь, крупных промышленных предприятий, есть внутренние подразделения или дочерние компании, занимающиеся интеграцией. Либо у них сформирован пул доверенных партнеров, с которыми налажено тесное сотрудничество. Оба варианта вполне эффективны. Даже если у конкретного интегратора не хватает компетенций для внедрения какого-то решения, современные разработчики, как правило, предлагают программы обучения по своим продуктам.

Также при выборе интегратора стоит обратить внимание на рекомендации вендора. Производитель решений может помочь выбрать из списка компаний с разной специализацией (АСУ ТП, ИТ, ИБ, корпоративные решения и т.д.), партнеров, которые обладают необходимым опытом и компетенциями для внедрения их продуктов.

Константин Родин

руководитель технического центра «АйТи Бастион»

Если вы не ограничены в выборе интегратора, воспользуйтесь рекомендациями вендора. Если проект реализуется силам внутреннего интегратора, что характерно для крупных корпораций, лучше провести обучение сотрудников по продукту и, в случае необходимости, привлечь к реализации проекта специалистов со стороны поставщика решений. Иногда оправдано подключение внешних экспертов в области информационной безопасности, которые знают, как сделать так, чтобы решение не только работало, но и соответствовало букве закона.

6 шаг

Определяем, какие из мер защиты реализуют выбранные средства защиты

Решение данной задачи зависит от того, что является приоритетом для каждой конкретной компании: выполнение требований регулятора или обеспечение защиты инфраструктуры. Впрочем, эти подходы могут работать в совокупности.

Организации, для которых важнее соответствовать требованиям регуляторов, подбирают решения и средства защиты таким образом, чтобы закрыть максимальное количество требований. Этот подход вполне рабочий и способен обеспечить необходимый набор мер защиты. Другой путь, когда компания ставит во главу угла защиту КИИ, и подбирает решения исходя из этого. Несмотря на то, что иногда первый подход превалирует, – производители современных решений в полной мере осознают ситуацию и предлагают продукты, которые позволяют закрыть обе эти потребности.

Константин Родин

руководитель технического центра «АйТи Бастион»

Мы подготовили специальные брошюры, в которых подробно описано, какие требования по обеспечению безопасности КИИ в соответствии с приказом ФСТЭК №239 закрывают наши решения. Но в целом задача довольно понятная. Мы ставим во главу угла реальную безопасность, определяем, какой контур защищаем, и в соответствии с этим выбираем пул решений, цели и точки их размещения. А в процессе сверяемся и «корректируемся» с заказчиком, насколько наш комплекс защиты приближен к идеальной картине и соответствует всем требованиям регуляторов, и при необходимости дополняем его.

7 шаг

Проводим анализ концепции в рамках тестового стенда

После того, как перечень продуктов определен, очерчен круг задач, которые они решают, и установлено их соответствие требованиям регуляторов, нужно проверить концепцию и провести тестовые испытания. Это необходимо для снижения риска возникновения непредвиденных ситуаций непосредственно на предприятии.

С этой целью выстраивается тестовый стенд. В зависимости от масштабов проекта и возможностей заказчика, тестовый полигон может быть развернут как на предприятии, так и у партнера или интегратора. Возможен и комбинированный вариант. АСУ ТП достаточно чувствительная инфраструктура и любые внедрения новых решений и устройств должно быть обкатано в тестовых сценариях, имитирующих работу системы. Затем возможно провести испытание на выбранном сегменте технологической сети, после чего можно переходить непосредственно к внедрению.

Константин Родин

руководитель технического центра «АйТи Бастион»

Каждый проект по-своему уникален. Но в среднем на проверку концепции и тестирование уходит от одного до трех месяцев. Как правило, на тестовых стендах все работает замечательно. Но важно понимать, что с системой будут взаимодействовать реальные люди со своими привычками. И наша задача, как вендора, сделать так, чтобы наши решения были простыми и понятными в эксплуатации. С этой точки зрения, на этапе тестирования на инфраструктуре заказчика целесообразно привлекать сотрудников, которые в дальнейшем будут с этими решениями работать. Нужно, чтобы они поняли, как все устроено и сформулировали свои замечания, которые можно спокойно отработать «на берегу». В этом случае развертывание системы и ее дальнейшая эксплуатация будут проще для всех: для вендора, интегратора и для самого заказчика.

8 шаг

Развертывание системы, ввод в опытную и промышленную эксплуатацию

Введение системы в эксплуатацию – процесс поэтапный. Зачастую за него отвечает интегратор, который устанавливает, разворачивает, конфигурирует систему. Дальше начинается этап опытной эксплуатации, на котором до финальной приемки можно отработать дополнительно возникающие вопросы. На данном этапе можно дополнить систему новым или расширить предустановленный функционал. Как бы хороши не были тестовые стенды, они не всегда позволяют полностью смоделировать реальные условия эксплуатации. Воспроизвести инфраструктуру крупного предприятия крайне сложно.

Не менее важно продолжать работать с сотрудниками, которые будут эксплуатировать систему. На этом этапе они могут проходить обучение на курсах вендоров и интеграторов, либо в сертифицированных центрах вендоров.

Константин Родин

руководитель технического центра «АйТи Бастион»

Один из плюсов нашей системы – это планомерные введения в эксплуатацию. То есть можно установить СКДПУ НТ в контуре заказчика, при этом сохраняя привычную работу предприятия, и осуществлять переход постепенно. Это позволяет людям привыкнуть и понять, как работает наше решение.

9 шаг

Собираем сведения и анализируем результаты работы

Этот этап позволяет заказчику проанализировать результаты работы системы и сформулировать дальнейшие требования по ее эксплуатации и возможному расширению функционала. Часто бывает так, что помимо обеспечения реальной безопасности и выполнения нормативных требований заказчик видит возможность получения дополнительных эффектов, позволяющих оптимизировать разные направления деятельности предприятия. Это оправдано и тем, что в защите нуждается не только КИИ. Задачи обеспечения информационной безопасности гораздо шире.

10 шаг

Ускоряем цифровую трансформацию

Развертывание систем информационной безопасности зачастую обусловлено не требованиями ИТ-департамента или регулятора, а экономической выгодой для бизнеса. Так, внедрение системы контроля доступа привилегированных пользователей позволяет сотрудникам удаленно подключаться к инфраструктуре. Это особенно актуально для территориально-распределенных предприятий, у которых объекты могут быть разнесены на тысячи километров. Например, на АЗС может использоваться несколько совершенно разных решений: от системы управления наливом топлива на бензоколонках, до системы , установленной в розничной точке продажи сопутствующих товаров. И бизнес может сэкономить на транспортных расходах, не отправляя сотрудников на места для их обслуживания, а всего лишь обеспечив к ним удаленный доступ. Другой нестандартный сценарий применения СКДПУ, осуществление мониторинга работающих удаленно сотрудников. Система позволяет отслеживать действия пользователей в реальном времени, оценивать эффективность их работы и выявлять нестандартное поведение, за которым может скрываться угроза ИБ.

Константин Родин

руководитель технического центра «АйТи Бастион»

Наше положение на рынке в последние годы существенно изменилось. «АйТи Бастион» все больше воспринимают, как поставщика информационных технологий, облегчающих жизнь бизнесу, а не только как вендора ИБ-решений. В этой связи мы начали расширять позиционирование продукта. В качестве примера могу привести кейс, который мы реализовали с одним из заказчиков, для которого расширяли функционал по получению сведений и отчетности. Алгоритмы машинного обучения и поведенческого анализа позволяют нам не только мониторить активность сотрудников, но и определять, насколько она типична. А это в свою очередь разгружает специалистов службы ИБ, которым не нужно досконально проверять какие-то низкоуровневые события, типа клавиатурного ввода. Наша система дает возможность в большом количестве алертов выделить те, которые действительно требуют внимания человека.