Аудит КИИ: что делать промышленности

Об особенностях аудита КИИ рассказал Евгений Баклушин, заместитель директора Аналитического центра УЦСБ.

Что такое аудит КИИ

Это проверка с целью получить общий срез по текущей ситуации в информационной безопасности и выявить возможные уязвимости. Узкие места здесь можно глобально разделить на две группы:

1. Комплаенс — соответствие законам. Это 187-ФЗ, приказы ФСТЭК № 235 и 239, ПП РФ № 127 по категорированию объектов КИИ. Сюда можно отнести и тему импортозамещения — 166 и 250 указы президента РФ.

Сценариев и векторов кибератак слишком много, поэтому постоянно вырабатываются новые нормы, публикуются дополнения к законам. Компаниям бывает сложно следить за всеми нововведениями, возникают риски нарушений.

2. Специфика субъектов КИИ. Это важнейшие для государства предприятия из 14 ключевых сфер — большие организации со сложным оборудованием и тысячами сотрудников, а значит, слепых зон и точек входа для хакеров здесь всегда больше. Многие объекты регулярно подвергаются ddos-атакам, попыткам взлома со стороны злоумышленников и инсайдеров. Нередко собственным командам по безопасности просто физически не хватает людей, чтобы все проверить и увидеть каждое узкое место.

Чем отличается защита КИИ в бизнес-структурах и на промышленных предприятиях

Для промышленных предприятий, особенно построенных десятки лет назад и не модернизированных, кибербезопасность становится большой нагрузкой на производственные линии: старое оборудование выполняет производственную функцию, но тяжело интегрируется с новыми технологиями.

Проектирование и внедрение систем информационной безопасности (ИБ) на промышленных предприятиях намного сложнее из-за сильной ориентации на производство. Некоторые заводы работают в режиме 24/7, и технологические остановы на них крайне редки. Если в корпоративном сегменте пошла атака, средство сработало и заблокировало процесс, то на промышленном предприятии меры зачастую пассивны, т. к. финальное решение всегда за человеком: средство защиты срабатывает и уведомляет ответственного инженера, и он уже решает, насколько критична атака и стоит ли останавливать производство для ее устранения.

Преимущества аудита на аутсорсе

Организация процессов ИБ требует целого набора экспертов с различными компетенциями. Одного-двух специалистов оказывается недостаточно, чтобы контролировать все риски. Обратиться к экспертам с подтвержденным опытом в сфере — нормальная и распространенная практика.

Заказчик в этой ситуации получает ряд преимуществ:

1. Решение задач при экономии затрат. Аутсорс — это всегда усиление в плане квалифицированных рабочих рук и времени, какой бы ни была задача.

Центр кибербезопасности УЦСБ, например, может оказывать услугу аудита отдельными блоками — от верхнеуровневой проверки, чтобы компания подтвердила соответствие законодательству, до глубокого и комплексного анализа.

Как крупный интегратор с большими ресурсами мы подбираем команду под специфику клиента и его конкретную проблему. У нас есть специалисты с опытом и знаниями технологических процессов в различных сферах промышленности — например, нефтегазовой, атомной, машиностроительной.

2. Комплексная помощь. Внешний аудитор может не только выявить недочеты системы, но и дать экспертные рекомендации по выстраиванию дальнейшей работе. Мы практикуем такой подход, чтобы стать настоящими trusted advisor в вопросах защиты КИИ для заказчиков.

3. Экспертность в работе с регулирующими органами.Опытный аудитор знает как специфику предприятия, так и позицию регулирующих органов по многим вопросам отрасли. Это позволит компании избежать спорных ситуаций с контролирующими органами и легче пройти проверку.

Привлекая экспертов, помните, что кибербезопасность — процесс постоянный. Принятые после аудита меры не означают полной защиты на годы вперед. Для зрелого заказчика аудит станет базой для подготовки стратегии безопасности.

Беседовала Екатерина Красовская