В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
– Каковы особенности обеспечения информационной безопасности на объектах и предприятиях ТЭК?
– Особенности обеспечения информационной безопасности на объектах ТЭК следующие: значительное количество сложно формализуемых требований, тесно увязанных с требованиями функциональной безопасности и специфики технических процессов, множество разнообразных и противоречивых требований разных регуляторов и слабая отраслевая экспертиза в РФ.
– Какие важнейшие задачи стоят перед специалистами ИБ при защите объектов нефтегаза и энергетики?
– Первая и самая важная – обеспечение цифрового суверенитета в области ПО и оборудования для управления техническими процессами: если избавимся от зарубежного ПО и железа, научимся делать свои изначально защищенные ИС, контроллеры, серверы, ПО и прочее, проблем будет намного меньше.
Далее – понимание роли ИБ в обеспечении функциональной безопасности технических процессов.
Погнулась труба – заменим, утонул бульдозер – купим новый; а вот завис сервер АСУ ТП или нет обновлений на контроллере критичных процессов с 1996 г. (мы видели такие) – что делать?
Третье – незамедлительное обучение новых инженеров прямо в вузах, чем мы и занимаемся.
– Расскажите об одной-двух самых сложных задачах/проблемах, с которыми вы сталкивались в работе. Благодаря чему их удалось решить?
– Реализовали проект "гибридной" оценки рисков ИТ на одном объекте. Вместо статических моделей угроз на базе документов ФСТЭК, которые никто не проверяет и никто не обновляет лет десять, была разработана, согласована и апробирована новая методика на стыке стандартов ИСО 27001 (менеджмент ИБ), ИСО 15408 ("общие критерии") и DFD (для описания сущностей). Методика была апробирована сначала на одной критичной ИС, далее была проведена оценка рисков всех критичных систем на объекте.
– При создании современной и высокотехнологичной системы ИБ оборудование и услуги каких компаний стоит предпочесть – зарубежных или отечественных?
– Следует четко понимать, что мы хотим: быть вечно зависимыми от империалистических разведок Запада (не нужно обольщаться ни на минуту – читаем речь секретаря Совбеза РФ Николая Патрушева) или мы желаем обеспечить независимость и цифровой суверенитет, о чем говорил на ПМЭФ-2017 президент РФ Владимир Путин. Кроме того, не следует постоянно закупать новые и новые СрЗИ, нужно разрабатывать изначально безопасные свои национальные ИТ-компоненты!
– На какие этапы можно разделить глобальную задачу по обеспечению информационной безопасности?
– Только создание доверенных ИТ-компонентов, прошедших независимую экспертизу, например по ИСО 15408, МЭК 61508 и МЭК 61511. Далее сборка из доверенных ИТ-компонентов необходимых ИС для области ТЭК, нефтегазовой отрасли, авиации и др.
– Назовите главные тренды информационной безопасности. Какие из них кажутся вам интересными и перспективными?
– Повышение внимания к международным стандартам в области безопасности – ИСО серии 27001, ИСО 22301, МЭК 61508, МЭК 61511 и тесная интеграция вопросов ИБ в разработку ИТ-компонентов.
Другого пути уже нет, нельзя вечно штопать "дырявое" ПО, устаревшее и потенциально опасное. Нужно обеспечивать цифровой суверенитет.
– Расскажите об инновационных/уникальных технологиях, с которыми вы работали или которые внедряли. Как вы оцениваете перспективы применения этих технологий на объектах ТЭК?
– Апробация на двух критичных объектах в течение года показала, что такие новые методики весьма перспективны. Более того, сами заказчики говорят: нам не нужны "мусорные активы" в виде модели угроз, дайте нам "цифру", дайте нам реальные оценки рисков ИБ, дайте нам реальные цифры уровня защищенности. И мы с коллегами это делаем.
– В чем состоит комплексный подход к построению системы защиты информации на объектах ТЭК?
– Прежде всего – в четком понимании целей бизнеса, по непрерывности, по допустимому простою, по рискам цепочки контрагентов и пр. И только после этого – неукоснительное соблюдение порядка разработки систем управления ИБ, как учит ИСО 27001: выявление критичных активов, оценка рисков, оценка мер защиты, аудиты... Далее – честное исключение "мусорных активов" из оборота, и не нужно тратить на них бюджет ИБ.
И обязательно – полное вовлечение высшего руководства на всех стадиях жизненного цикла.
– Какие существуют угрозы информационной безопасности объектов ТЭК? И какие меры необходимо принять в первую очередь для борьбы с ними?
– Ничего нового не придумано – NIST SP 800-53, ИСО 27005, Doc 8973 ICAO.
– На чем нельзя экономить при организации системы информационной безопасности на объектах ТЭК? Чем такая экономия может обернуться?
– На обучении персонала. Это просто чудовищно, что могут натворить неучи и бездари за пультами критичных объектов... Не просто вирусы с флешек, а эксперименты с недопустимыми режимами работы оборудования с нарушением законов физики, техники безопасности и даже отключением чувства самосохранения...
– По каким критериям можно судить о защищенности информационной системы объекта?
– Только по итогам беспристрастного независимого аудита ИБ по требованиям ИСО 27001, ИСО 22301, ИСО 50001, NIST. Никаким отчетам по методикам ФСТЭК нельзя верить, только аудит!
– В каком направлении будут развиваться системы защиты информации?
– Их путь завершится очень скоро в техническом музее... На смену отдельно ИТ и отдельно СрЗИ придут изначально безопасные ИТ-компоненты, прошедшие оценку по ИСО 15408, МЭК 61508 и МЭК 61511.
Опубликовано: Журнал "Системы безопасности" #4, 2017
Посещений: 4769
Автор
| |||
В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций