Проектирование системы безопасности КИИ под ключ

В соответствии с Указом Президента Российской Федерации от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 1 января 2025 года запрещено использование средств защиты информации, произведенных в «недружественных» странах, либо компаниями из этих стран. При проектировании СБ ЗОКИИ мы учитываем требования данного Указа, а также Указа Президента № 166 от 30 февраля 2022 года «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и иных нормативных актов, чтобы обеспечить наиболее полное соответствие законодательным актам и практической безопасности предприятия.

Интеграция вновь создаваемой системы безопасности с уже установленными элементами информационной инфраструктуры вполне возможна и даже предпочтительна. Основная задача здесь — сделать такую интеграцию безопасной и юридически правильной. Важно учесть следующее:

• Новые средства защиты должны дополнить существующие компоненты таким образом, чтобы не нарушить действующий режим защиты и не создать дополнительные уязвимости.
• Все оборудование и ПО, участвующее в интеграции, должно быть совместимо друг с другом и одобрено соответствующим госорганом (например, сертифицированы ФСТЭК).
• Система должна сохранять управляемость и легко модернизироваться, обеспечивая постоянный высокий уровень безопасности.

Практика показывает, что интеграция бывает сложной задачей, но грамотный подход позволяет сочетать лучшее из старого и нового, повышая общий уровень защиты ЗОКИИ.

Чаще всего, когда новый объект вводится в эксплуатацию, появляется множество задач в части отладки бизнес и/или технологических процессов, в связи с которыми внимания, времени и прочих ресурсов предприятия может не хватить на информационную безопасность. Поэтому правильным подходом будет учитывать потенциальную необходимость создания системы безопасности для этого объекта еще на этапе проектирования самой АСУ/ИС/ИТС, т.к. она может стать значимым объектом критической информационной инфраструктуры. Выяснить это помогает предварительное категорировании объекта КИИ еще на этапе проектирования самого объекта, что позволяет заранее узнать применимость к нему требований законодательства РФ по защите ЗОКИИ.

В случае, если АСУ/ИС/ИТС по результатам предварительного категорирования присваивается какая-либо категория значимости, то в пользу начала проектирования для нее системы безопасности говорит еще и то, что на данном этапе есть шанс скорректировать архитектуру, используемое ПО и железо АСУ/ИС/ИТС, чтобы оно соответствовало требованиям законодательства по защите КИИ.

У нас есть опыт в проектировании СБ ЗОКИИ параллельно с проектированием АСУ/ИС/ИТС в плотном взаимодействии с разработчиками данных систем.

Оценка стоимости формируется исходя из типа и масштаба объекта, требуемого уровня защиты, выбранного оборудования и ПО, затрат на персонал, консультации экспертов, затраты на обслуживание и модернизацию системы.

После этапа проектирования системы безопасности (СБ) значимых объектов критической информационной инфраструктуры (ЗОКИИ) следуют важные шаги, направленные на внедрение, настройку, эксплуатацию и поддержание работоспособности спроектированной системы:

• закупка оборудования и ПО в соответствии с проектом СБ ЗОКИИ
• проведение строительно-монтажных и пусконаладочных работ СБ ЗОКИИ
• проведение испытаний и приемки СБ ЗОКИИ
• обновление и модификация СБ ЗОКИИ при необходимости в условиях изменяемых требований законодательства и архитектуры ЗОКИИ

Подробнее — на странице внедрения

В наших проектах мы заранее учитываем возможность масштабирования систем предприятия и, соответственно, СБ ЗОКИИ. Формируем шаблоны конфигураций СЗИ и регламенты «развертывания по шаблону».

В зависимости от уровня защищённости и архитектуры ЗОКИИ, проект должен включать:

• Межсетевые экраны, средства контроля и фильтрации трафика
• Системы обнаружения вторжений (СОВ)
• Системы управления доступом и учётом действий пользователей
• Антивирусную защиту, системы резервного копирования
• Криптографические СЗИ (СКЗИ) при передаче данных по незащищённым каналам
• Средства доверенной загрузки, контроля целостности ПО и ОС

Все СЗИ должны быть сертифицированы ФСТЭК и/или ФСБ России и включены в соответствующие реестры

В ходе проведения предпроектного обследования у наших клиентов, чаще всего мы встречаем следующие основные ошибки:

• Неправильная или формальная категоризация объекта
• Игнорирование специфики объекта и особенностей угроз
• Нарушения в выборе или установке СЗИ (например, несертифицированные решения)
• Отсутствие или слабая документация по безопасности
• Нереалистичная модель угроз — «скопирована с шаблона», без анализа
• Отсутствие планов реагирования на инциденты и непрерывности деятельности
• Недостаточная проработка архитектуры системы защиты и совместимости СЗИ
• Игнорирование требований импортозамещения в части ИТ, обеспечивающих работу объектов защиты

Такие ошибки могут привести к непрохождению проверок ФСТЭК России или к реальной компрометации безопасности ЗОКИИ.

Смешанные среды — это типовая головная боль: корпоративные ИТ-серверы соседствуют с уязвимыми ПЛК и SCADA. Для таких объектов:

• сегментируем среду по принципу «зоны безопасности» (DMZ между ИТ и АСУ ТП)
• выносим все внешние каналы в отдельный шлюз с функциями межсетевого экранирования, СКЗИ и односторонней передачи (data diode, если требуется)
• снижаем нагрузку на SCADA-системы, применяя пассивный мониторинг и сбор данных с копий трафика
• используем сертифицированные СЗИ, совместимые с «инертными» ОС (например, Astra Linux SE, ViPNet Coordinator, КриптоПро CSP в режиме offline)

Главная цель — защитить среду без сбоев в технологическом процессе. Мы адаптируем средства ИБ к производственной специфике, а не наоборот.