Угрозы ИБ спровоцируют регуляторов?

13.03.2011

Распространение в мире новых типов угроз, направленных на захват управления промышленными предприятиями (черви Stuxnet, Zeus), в том числе, и формообразующими стратегические отрасли экономики (ВПК, ТЭК, транспорт и т.д.), по мнению большинства опрошенных специалистов, может стать сигналом к пересмотру схем сертификации средств безопасности и к большей активности регуляторов в вопросах контроля за работой информационных систем. Тем не менее, в настоящее время именно отраслевых стандартов в этой сфере нет.

Алексей Лукацкий, менеджер по развитию бизнеса Cisco, рассказывает, что в России в этой области есть только малораспространенные документы ФСТЭК по защите ключевых систем информационной инфраструктуры или отраслевые стандарты «Газпрома» по защите АСУТП. По этой причине требуется обратить внимание на данную проблему защиты критичных инфраструктур отечественным регуляторам и производителям. Упомянутые стандарты, по его мнению, являются настолько высокоуровневыми, что они актуальны независимо от того, был ли такой червь, как Stuxnet или нет, считает эксперт: в стандартах прописаны требования применения и антивирусов, и систем предотвращения вторжений, и межсетевых экранов, о наличии процедур расследования инцидентов, повышения осведомленности персонала и т.д. Поэтому, согласно мнению представителя Cisco, вопрос должен ставиться не в плоскости наличия мер, предотвращающих распространение того или иного червя по типу Stuxnet, а в их правильной реализации.

Той же точки зрения придерживается и Роман Кобцев, директор департамента развития и маркетинга «Элвис-Плюс», когда говорит, что появление и распространение таких угроз, в первую очередь, должно повлиять на изменение подходов к обеспечению безопасности АСУ ТП, более пристальное внимание к безопасности критических систем. По его мнению, изменять сами стандарты, вероятно, не имеет большого практического смысла, так как существующие (NERC, NIST и многие другие) предусматривают комплексную защиту на должном уровне, а по факту страдает скорее конкретная реализация требований того или иного стандарта на конкретном предприятии. «Для восполнения пробелов, прежде всего, следует четко представлять, что именно не хватает: каждый игрок рынка и его потребитель имеет свое отличное понимание регуляций. На ближайшую перспективу, конечно же, необходимо адаптировать лучшие международные стандарты и практики под российскую почву, в первую очередь в отношении критически важных систем, работа над чем в свое время активно велась, но была по ряду причин отложена», — предлагает специалист.

Опрошенные CNews компании рассматривают безопасность АСУ ТП как важную составляющую рынка ИБ в ближайшие годы. «На текущий момент во многих промышленных сетях нет предустановленного антивирусного ПО, простейших межсетевых экранов и анализаторов атак и т.п. Поэтому такая сеть — лакомый кусок для злоумышленника», — объясняет Алексей Афанасьев. Он полагает, что со временем, по мере роста вычислительных мощностей АСУ, бизнес-сообщество выработает адекватные меры, аналогичные тем, что были выработаны для обычных сетей. Он соглашается с тем, что это потребует специальных стандартов (таких, какие применяются в обычных сетях к критически важной информации — различным видам тайн, персональным данным и т.п.).

«С одной стороны, бурное развитие промышленности, ввод новых мощностей, базирующихся на использовании передовых технологий, усиливает зависимость бизнеса от ИТ, работающих в рамках производственного процесса, а, с другой стороны, недостаточное осознание этих рисков со стороны бизнеса очевидно», — констатирует Сергей Гордейчик. Тем не менее, ожидать радикальных действий со стороны регуляторов вряд ли стоит. «Сам механизм сертификации был придуман и неплохо работает только в отношении материальных товаров, а для программных продуктов он даёт сбой. Принципиальное отличие софтверных продуктов от „железа“ и в корне иной жизненный цикл делают сам институт сертификации неэффективным в отношении программного обеспечения, — объясняет Николай Федотов. — Государство, если оно озабочено кибербезопасностью, вынуждено будет придумать и ввести вместо традиционной сертификации иной механизм, а сертификация софта для коррупционных схем очень благоприятствует».

«Информационное общество» улучшит ситуацию со стандартами

В определенной мере изменить ситуацию с регуляцией ИБ-средств в России может ФЦП «Информационное общество», которая ориентирована именно на B2B и B2C-сектора рынка, а не G2G и G2B, как было во времена «Электронной России». Речь идет, в том числе, о защите объектов «электронного правительства», взаимодействия в электронной коммерции и так далее. Тем не менее, для этого потребуется изменение менталитета самих авторов-разработчиков законов и регламентов по регуляции. Как отмечает Алексей Лукацкий, существуют в России «Доктрина информационной безопасности Российской Федерации» достаточно неплохо описывает необходимые меры обеспечения информационной безопасности, но проблема ее применения состоит в регуляторах, ее реализующих. «Нынешнее поколение сотрудников ФСТЭК, ФСБ, МВД, Совета Безопасности, СВР, ФСО, Министерства Обороны было „воспитано“ на борьбе со шпионами, иностранными техническими разведками и защите государственной тайны и эти подходы они транслируют на все остальные области», — замечает эксперт. Николай Федотов замечает, что нынешняя российская концепция ЗИ (ИБ) имеет механизма влияния на принимаемые законы и другие нормативные акты, то есть, законодательный акт, явно противоречащий принципам, изложенным в «концепции», не является основанием для обжалования и отмены принятого акта, следовательно, законодатели не сверяются с «принципами» и «концепциями». Он предлагает изложить основные принципы защиты информации изложить в федеральном законе, придав ему приоритет над другими ФЗ в области связи и информатизации.

Однако любой масштабный проект по созданию специального законодательства в сфере ИБ в масштабах всей отрасли должен вестись с учетом целого ряда факторов. Михаил Башлыков, руководитель направления информационной безопасности компании «Крок», отмечает, что речь должна идти о четкой типизации защищаемой информации (персональные данные, данные о состоянии здоровья, банковская тайна и т.п.),связи разрабатываемого закона с законодательством в каждой сфере использования этих данных, определении ответственных и контролирующих органов, создании конкретных стандартов силами специальных комитетов, состоящих из экспертов соответствующих отраслей и т.д.

Источник: cnews.ru