Корпорация Symantec опубликовала результаты исследования степени защищенности объектов критической инфраструктуры в России. Полученные данные говорят о том, что в среднем на 1 из 13 объектов критической инфраструктуры РФ подозревают, что стали жертвой киб
Как, на ваш взгляд, выглядит ситуация с информационной безопасностью критических инфраструктур в России?
Моя точка зрения сформировалась под впечатлением от тех объектов, на которых мне пришлось работать. Зачастую лица и органы, которые несут ответственность за безопасность больших критических инфраструктур, оказываются в положении, когда их ответственность во много раз превышает их возможности контроля состояния безопасности. Почему? Во-первых, заметна недооценка методов управления безопасностью, которые позволяют структурировать проблемы, отбирать и агрегировать показатели, оптимизировать принимаемые решения. Часто об управлении безопасностью даже не вспоминают, обсуждая обеспечение безопасности вообще и игнорируя тот факт, что решить проблемы больших систем невозможно без решения задач управления ими, таких как построение моделей угроз, оценка и анализ рисков, построение моделей защиты, профилей защиты, контроль выполнения требований по безопасности.
Для критически важных объектов существуют достаточно жесткие требования к безопасности. Но выполнить их непросто, это связано с дополнительными расходами денежных средств, времени и усилий, а потому случается, что такие требования просто не выполняются. Те же, кому поручено отвечать за безопасность, опасаются докладывать руководству о реальном положении, опасаясь обвинений в том, что они не справляются со своими обязанностями. Нередко в организациях царит атмосфера «святой лжи», когда все знают, что требования для обеспечения безопасности уязвимых мест не выполняются, но везде рапортуют о полной безопасности. Главный порок такой ситуации состоит в том, что руководство не знает истинного положения дел. Вместе с тем нельзя не признать, что выполнение всех требований по безопасности может вылиться в слишком большие затраты.
Есть ли какой-то положительный опыт решения перечисленных проблем?
Прежде всего такой опыт накапливается в управлении безопасностью информационных инфраструктур. Разработаны и приняты к исполнению, в том числе и у нас в стране, международные стандарты в области информационной безопасности, такие как ISO 15408, ISO 27001. Это позволило сформировать определенную культуру в обеспечении кибербезопасности. Особо можно отметить опыт Банка России. Но в иных крупных критических инфраструктурах (транспорт, дорожное хозяйство, энергетика) нередко приходится сталкиваться с полным комплексом перечисленных мной проблем, которые к тому же усугубляются низким качеством нормативных требований.
Вы хотите сказать, что существуют серьезные проблемы безопасности, связанные с качеством требований нормативной базы?
Да, с требованиями к безопасности тоже не все просто. Практически все ЧП являются результатом невыполнения каких-то требований. Причины этого зачастую неоднозначны. Количество нормативных актов, регламентирующих безопасность, бывает настолько велико, что многие исполнители их либо не знают, либо забывают о них. Но главное, многие нормативные акты сейчас быстро устаревают и вовремя не пересматриваются. В результате выполнять зафиксированные в таких документах нормы и правила становится невозможно, разорительно, а порой и опасно. Все это подрывает доверие ко всей системе требований безопасности.
Эта проблема, как и известное выражение «жесткость требований компенсируется отсутствием контроля их исполнения», актуальна далеко не только для России, но и для других стран. Что делать? Например, воспользоваться опытом Банка России: до каждого ответственного за безопасность исполнителя доводить отобранные из всего множества нормативных документов, конкретно его касающиеся требования по безопасности и периодически (в Банке России — четыре раза в год) получать отчеты об их выполнении, дополняя эти процедуры случайными инспекционными проверками.