Дата диод. IES часть 1.

Нормативные документы по ИБ

Так исторически сложилось, что ИБ не первый вид безопасности с необходимостью которой столкнулось человечество. Безопасность дорожного движения, пожарная безопасность, правила безопасности при ипользовании электрической энергии, газа и т.д., всё это было ещё до эры ИБ и в этих сферах деятельности система безопасности устоялась, прошла проверку временем.

Что же касается ИБ вот интересные факты из нормативных докуметов:

• ни один из нормативных документов, изданных в РФ до эры ИБ, не обходился без упоминания каких-либо физических величин, как то: штуки, метры, секунды, килограммы, проценты и т. д. Нормативные документы по ИБ обходятся без этого. Нет даже упоминания единиц информации.
• нормативные документы по ИБ не содержат рекомендованных примеров реализации мер защиты от киберугроз, или упоминания каких-либо технологий, приёмов или типов оборудования.
• процедура создания системы управления кибербезопасностью начинается с утверждения Политики информационной безопасности которая зиждется на расчёте вероятного ущерба от кибер угроз и подкрепляется некоторым бюджетом на устранение этих угроз или компенсирующие меры от этих угроз. Всё это, включая деньги, может быть передано по доровору лицу с уставным капиталом 10 тыс. руб. для оказания содействия в реализации утверждённой Политики информационной безопасности. Никаких требований к этому лицу со стороны регулятора не предъявляется.
• Понятие экспертизы кибербезопасности, эксперта по информационной безопасности не определено.
• Размер бюджета на устранение или компенсирующие меры от кибер угроз не устанавливается нормативными документами, кроме ГОСТ Р ИСО/МЭК 17799-2005 который говорит что: "Управление рисками: Процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат." На недавно прошедшей конференции ITSEC2025 размер бюджета был уточнён экспертами (кем?): "Бюджет должен быть БОЛЬШОЙ плюс 30% сверху".
• Нормативные докуметы предусматривают два альтернативных пути реализации мер защиты от кибез угроз: использование сертифицированных решений или испытания реализованных мер с последующей приёмкой, самим хозорганом или упомянутым выше лицом.

Исторические прецеденты

Подход создания правил информационной безопасности на основе управления рисками использованный в нормативных документах по ИБ несколько обескураживает технических специалистов, так как не понятно зачем учили физику с математикой, но этот подход не нов. Этот подход используется на западе с 70-х годов в сфере пожарной безопасности. Проведение аналогий ИБ и ПБ вполне уместно, в сфере ПБ тоже умеют "на себя пуха набрасывать" будь здоров. Чего только стоит поговорка: "Вор что-то да оставит, огонь заберёт всё". И это правильно, так как огонь может забрать самое дорогое - жизнь. А информацию, телефон и телеграф террористы используют уже давно и такого ажиотажа раньше не было.

Итак, система безопасности построенная исключительно на управлении рисками это не что-то совершенно новое. Однако не все риски можно идентифицировать, исключить или дефункционализировать компенсирующими мерами. Для этого там существует обязательное страхование недвижимости, как дополнение. В СССР в сфере пожарной безопасности пошли по другому пути. Разработка норм пожарной безопасности (НПБ) наверное стоила государству огромных денег. Чтобы понять эффективность тех или иных мер зашиты от того или иного вида пожара нужно было создать систему тестовых пожаров, провести натурные испытания всех способов детекции и тушения тестовых пожаров, всех огнетушащих веществ на всех типах тестовых пожаров. Всё это определить в килограммах или метрах кубических пожарной нагрузки, литрах огнетушащего вещества, секундах времени детекции и т.п. Сформулировать и довести хозяйствующим субъектам конкретные рекомендации позволяющие гарантированно снизить степень рисков до уровня приемлемого на данный момент развития технологий и общества. Результатом этого коллосального объёма работ наших предков мы пользуемся до сих пор. Но то был великий и могучий Советский Союз, который мог себе позволить такой подход.

В РФ обязательного страхования в сфере ИБ пока нет, но, при выбранном подходе, необходимость обязательного страхования в сфере ИБ очевидна. Мысль о том, что все угрозы кибербезопасности невозможно компенсировать, устранить или дефункционализировать была высказана экспертами на ITSEC2025. А это значит скоро страхование в сфере информационной безопасти будет обязательным в РФ. Ничего плохого в страфовании как таковом нет, лишь бы бенефициарами этих страховых компаний не были нерезиденты РФ, и чтобы эти бенефициары и их дети искренне любили Россию, иначе деньги будут утекать из страны в сторону "сервисных экономик".

Давайте представим что подход политика - риски - меры вдруг начнет пременяться вместо "Правила пользования газом ... " утверждённых ПП №410 2103. Приходит к вам представитель газоснабжающей организации и говрит:

-- Где ваша Политика безопасного газопотребления?

-- Э ... ммм. Что?

-- Риски пользования газом оценили? Меры приняли?

-- Нет.

-- Всё ясно! Сколько Вы готовы заплатить чтобы я сделал это для Вас?

-- Да ты ... . Идите ... . ... !

-- Хорошо, хорошо. Не нервничайте, приготовьте деньги. Скоро к Вам придёт страховой агент. А если будете упорствовать - отключим газ.

Это было бы шуткой если бы, в случае с информационной безопасностью, речь шла только об отключении Интернета. Но нет, вопрос поднимается об оборотных штрафах.

Обучение специалистов ИБ

На ITSEC2025 выступавшие экперты отметили что специалист в области ИБ должен быть профессионалом высочайшего класса, но скорее управленцем (организатором, агентом влияния) чем технарём. Ну оно и понятно, в нормативных документах отсутствуют физические величины и упоминание технологий - нечего вычислять. Эксперты на ITSEC2025 отметили что такие необычные требования гарантируют высокую стоимость специалистов по кибербезопасности на рынке труда. Очевидно и обратное, если бы были сформулированы конкретные рекомендации по снижению рисков ИБ до уровня соответствующего уровню развития технологий и общества, стоимость специалистов ИБ на рынке труда была бы существенно ниже.

Взаимодействие АСУТП и ИТ на производстве

Типичный характер взаимодействия АСУТП и ИТ на производстве это:

• выяснение отношений кто для кого существует в принципе
• взаимные ограничения
• «беспроводная война» - война за частотный ресурс в производственных помещениях, кто и кому создаёт помехи

В полной мере хлебнув сего, всё-таки удалось прийти к пониманию как это устранить, избежать. Всё началось с идеи: "Пусть каждая из сторон озвучит свои максимальные требования. Но эти максимальные требования должны быть обоснованными".

Требования АСУТП:

• ИТ-шники не должны лезть к системам АСУТП (это главное), мало ли что "прилетит" от них
• у линейных инженеров АСУТП должна быть возможность подключившись с ноутбука к контроллеру наблюдать за технологическим процессом в любой точке закреплённой за линейным инженером производственной линии, это нужно для выяснения причин в случае сбоев в работе линии
• должна быть возможность предоставления внешнего доступа к сети АСУТП, но только конкретному представителю производителя оборудования, для подключения к конкретной производственной линии и в заранее определённом временном окне, потому что своих компетенций не всегда хватает. Событие подключения и событие отключения должны регистрироваться.
• поскольку в АСУТП нет специалистов ни по сетям передачи данных, ни по серверным операционным системам, ни по серверному аппаратному обеспечению, всё это должно быть в зоне хозяйственной ответственности ИТ
• ИТ должно предоставить линейным специалистам АСУТП автономные лицензии антивируса для их рабочих ноутбуков, потому что это надо
• ни с каким проектом по ИБ АСУТП на инвесткомитет мы выходить не будем, нет и всё

Требования ИТ:

• данные с систем АСУТП должны размещаться конфеденциальным и доверительным способом в базы данных ИТ, всё что просим, без ограничений, так надо
• ноутбуки линейных инженеров АСУТП должны иметь доступ только к сетям АСУТП производственных линий и ни к чему больше, такова Политика которую мы уже написали и утвердили
• от контроллеров и АРМ-ов АСУТП не должно быть никакого исходяшего трафика в сторону сетей ИТ, такова наша Политика
• если требуются инвестиции в ИБ АСУТП на инвесткомитет выходит АСУТП, а не ИТ, так как это для АСУТП

Несмотря на некоторую степень волюнтаризма с обеих сторон, прийти к пониманию и взаимоприемлемому решению всё же удалось. Взаимные требования сторон были приняты в полном объёме, за исключением последних пунктов. Стороны договорились для выполнения требований использовать бюджет ремонтно-эксплуатационных нужд своих подразделений в части их касающейся.

Кроме обозначенных требований был достигнут консенсус относительно того, что:

• транспортная сеть данных должна быть единой
• такого понятия как "сервер АСУТП" быть не должно
• границы хозяйственной ответственности должны быть контролируемыми с обеих сторон и не мешать конфиденциальному, доверительному движению информации
• стороны оказывают взаимную методологическую поддержку для достижения общих целей ИБ.

То есть каждое подразденение должно заниматься своим делом и по мере возможности помогать коллегам.

Ссылка на вторую часть.

Успехов!