Проектирование систем защиты объектов КИИ: что важно знать и учитывать?

Расскажем о распространённых проблемах, которые возникают на этапе выполнения требований федерального закона № 187-ФЗ, регулирующего безопасность критической информационной инфраструктуры (КИИ), а также поделимся рекомендациями о том, что важно учесть для успешного построения систем защиты объектов КИИ.

1. Введение
2. Четыре проблемы выбора средств защиты для объектов КИИ и что с ними делать
   
   1. 2.1. Проблема № 1. Отсутствие сертификатов ФСТЭК России
   2. 2.2. Проблема № 2. Отсутствие совместимости с защищаемыми объектами
   3. 2.3. Проблема № 3. Недостатки многофункциональности решений
   4. 2.4. Проблема № 4. Сложности импортозамещения
3. Распространённые барьеры при внедрении средств защиты на объектах КИИ
4. Как подготовиться к предпроектному обследованию
5. Главное — не навредить: что нужно учитывать при проектировании накладных средств защиты
6. Как организовать сбор событий при обеспечении физической изоляции
7. Выводы

Введение

С момента принятия в 2017 году федерального закона № 187-ФЗ, регулирующего безопасность критической информационной инфраструктуры (КИИ), в России появилось почти два десятка нормативных правовых актов, которые уточняют его положения. Согласно закону, после выполнения первого этапа требований по категорированию объектов КИИ их владельцы должны создать систему обеспечения информационной безопасности значимых объектов.

При её проектировании необходимо учитывать требования приказов ФСТЭК России № 235, 236 и 239, а также указов Президента РФ № 166 и 250. Как показывает практика, при выполнении требований этих нормативных правовых актов у компаний нередко возникают вопросы и сложности, связанные с особенностями производственных объектов, технологических процессов и систем, которые их обеспечивают. 

В статье мы расскажем о проблемах, часто встречающихся в проектах по созданию системы защиты на предприятиях с такими значимыми объектами КИИ, как автоматизированные системы управления технологическим процессом (АСУ ТП). На основе собственного опыта реализации проектов мы поделимся рекомендациями о том, как подойти к выбору средств защиты, на что следует обратить внимание при подготовке к предпроектному обследованию объектов КИИ и что ещё важно учесть на этапе проектирования будущей системы кибербезопасности.

Четыре проблемы выбора средств защиты для объектов КИИ и что с ними делать 

Проблема № 1. Отсутствие сертификатов ФСТЭК России

Приказ ФСТЭК России № 239, в отличие от её же приказа № 17, определяющего требования к защите государственных информационных систем, не обязывает использовать сертифицированные средства защиты абсолютно во всех случаях. Однако вступающие в силу с 2023 года поправки в этот документ, касающиеся безопасной разработки и уровней доверия, значительно сужают круг средств защиты, допустимых для применения на значимых объектах КИИ. Фактически можно будет использовать два типа средств: сертифицированные и находящиеся на сертификации либо готовящиеся к прохождению этой процедуры.

При этом даже наличие действующего сертификата у средства защиты не гарантирует соответствия требованиям регулятора и успешного прохождения проверок ведомства. Длительный цикл сертификации на практике приводит к тому, что выдача сертификата почти всегда отстаёт от появления новых версий программных средств защиты, в которых разработчики могут исправлять недостатки предыдущих версий и улучшать функциональность решения. Например, в одном из наших проектов предварительный анализ реестра ФСТЭК России показал, что 9 из 12 средств защиты, которые мы планировали использовать, имели действующие сертификаты. Однако к окончанию создания системы безопасности значимого объекта КИИ выяснилось, что разработчики многих из выбранных нами решений актуализировали версии программного обеспечения. В итоге мы смогли подтвердить действие сертификата лишь для пяти средств защиты, что составляло менее половины от их общего числа. Проблема в подобных ситуациях заключается в том, что при обновлении ПО контрольные суммы новой сборки решения не совпадают с указанными в формуляре на сертифицированное средство защиты, что делает невозможным подтверждение сертификата ФСТЭК России.

Подойти к решению проблемы можно двумя способами. Первый вариант — воспользоваться нормой приказа ФСТЭК России № 239, позволяющей применять средства защиты, прошедшие оценку соответствия в форме испытаний или приёмки, которые субъекты КИИ проводят самостоятельно или с подключением организаций имеющих лицензии на деятельность в области защиты информации. Этот способ целесообразно рассматривать до того, как в стране заработают требования по проверкам на уровни доверия. Мы ожидаем, что после вступления в силу этих норм к оценке соответствия понадобится привлекать производителей решений, а возможно, и специализированные лаборатории по сертификации средств защиты, что очень затруднит и затянет процесс создания систем безопасности объектов КИИ.

Второй подход заключается в том, чтобы использовать средства защиты без сертификата как дополнительные решения для обеспечения безопасного функционирования АСУ ТП и минимизации рисков от атаки на такие объекты. Таким образом, применение сертифицированных решений позволит выполнить требования регулятора, при этом система защиты будет дополнена несертифицированными продуктами для обеспечения комплексной кибербезопасности объектов КИИ.

Проблема № 2. Отсутствие совместимости с защищаемыми объектами

При выборе решений для будущей системы защиты важно убедиться в том, что их в принципе можно использовать в АСУ ТП и это не навредит защищаемой системе, а также не остановит технологический процесс. Некоторые производители заявляют о совместимости выпускаемых средств защиты с системами промышленной автоматизации и подтверждают её специальными сертификатами по результатам проведённых испытаний. Однако тестирование совместимости продуктов по кибербезопасности с промышленными системами — очень трудоёмкая и сложная задача, поскольку на предприятиях функционирует большое количество различных типов и версий программно-технических комплексов (ПТК). При этом, как правило, даже на одном промышленном предприятии могут использоваться различные версии одного и того же ПТК.

Для обеспечения работоспособности и совместимости выбранных инструментов кибербезопасности с программными и аппаратными средствами объектов КИИ мы рекомендуем выборочно тестировать средства защиты, исходя из предварительного анализа их потенциального влияния на объекты КИИ. Потенциальное влияние зависит от способа реализации решения: например, в случае с решениями класса IDS можно настроить гарантированно однонаправленную передачу зеркала трафика с коммутаторов АСУ ТП для анализа в системе. Этот способ не является инвазивным, поэтому проводить тестирования на совместимость смысла не имеет. Но если речь идёт о решениях, которые необходимо устанавливать на компоненты объекта защиты (а это могут быть средства антивирусной защиты, агенты для резервного копирования, средство защиты от НСД и не только), то проверять их на совместимость с объектами КИИ необходимо. Проводить тестирование рекомендуется на выделенной тестовой зоне или специально развёрнутом стенде, где присутствуют компоненты реальных промышленных систем. Наш опыт показывает, что такие испытания важно проводить ещё на этапе подбора технических решений.

Проблема № 3. Недостатки многофункциональности решений

Нередко производители стремятся реализовать в продукте как можно больше функциональных возможностей, позиционируя его как «волшебную таблетку от всех болезней». По нашему опыту тестирования и внедрения решений, многофункциональность продукта нередко позволяет обеспечить соответствие большому количеству требований приказа ФСТЭК России № 239. При этом зачастую увеличение количества функций в решении ведёт к ухудшению качества работы отдельных модулей или функций и усложняет процесс адаптации таких продуктов на объектах защиты типа АСУ ТП. Избежать подводных камней, скрывающихся за широким набором функциональных возможностей, поможет проведение функционально-нагрузочных тестирований на этапе выбора продукта. Такой подход, по нашему мнению, позволяет найти оптимальное решение, которое будет отвечать требованиям законодательства по защите объектов КИИ и обеспечивать их практическую безопасность.

Проблема № 4. Сложности импортозамещения

Согласно указу Президента РФ № 166 от 30 марта с. г. «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», с 1 января 2025 года в стране вводится запрет на использование иностранного ПО на значимых объектах КИИ. Фактически владельцам таких объектов уже сейчас следует выбирать средства защиты российского производства, включённые в единый реестр российских программ для электронных вычислительных машин и баз данных. На практике выполнение этого требования пока является трудновыполнимой задачей для большинства владельцев объектов КИИ. Часто при подборе российских решений выясняется, что требуемая функциональность реализована не в полном объёме или её реализация уступает зарубежным аналогам. Также затруднения у компаний вызывает необходимость учитывать имеющиеся средства защиты и существующие корпоративные стандарты по кибербезопасности. Кроме того, переход на новые средства защиты влечёт за собой необходимость переучивать персонал. Все эти факторы усложняют выбор средств защиты российского производства.

Подобрать оптимальное отечественное решение на замену иностранному поможет проведение сравнительного анализа представленных на рынке российских средств защиты. Определить выборку для сравнения мы рекомендуем путём технико-экономического обоснования технических решений, необходимых для реализации функций безопасности в составе системы защиты объекта КИИ. К проведению сравнения важно правильно подготовиться: продумать набор критериев и определить вес каждого из них для более объективной оценки. По результатам сравнительного анализа уже можно выбрать наиболее подходящий вариант технического решения, которое соответствует требованиям создаваемой системы безопасности объекта КИИ и имеет наилучшее сочетание стоимостных и функциональных характеристик.

Распространённые барьеры при внедрении средств защиты на объектах КИИ

При проведении предпроектных обследований промышленных предприятий в большинстве случаев мы сталкиваемся с неготовностью существующей инфраструктуры ко внедрению средств защиты. Дело в том, что технологические системы имеют длительный жизненный цикл: например, для систем АСУ ТП нормой считается срок работы, достигающий 20 лет. За такое время подходы к кибербезопасности значительно меняются, к тому же при разработке систем промышленной автоматизации десятки лет назад производители зачастую попросту не предусматривали возможность установки средств защиты. Модернизировать существующие решения весьма сложно и дорого, поэтому на предприятиях нередко можно встретить устаревшее оборудование, для которого уже не выпускаются обновления безопасности. Помимо этого, есть и факторы связанные с особенностями эксплуатации АСУ ТП: непрерывность процессов и работа без перезагрузки и смены пользователей, необходимая для обеспечения постоянной видимости технологического процесса и минимального времени реагирования на нештатные ситуации. 

Неготовность инфраструктуры и объектов КИИ влечёт за собой различные проблемы, которые являются барьерами для внедрения средств защиты. Технологические системы зачастую имеют большое количество различных протоколов взаимодействия, стыков с другими системами, плоские сети, устаревшее сетевое оборудование — как правило, неуправляемые коммутаторы, устаревшие операционные системы и аппаратные платформы низкой производительности. Всё это затрудняет установку средств защиты и создание эффективной системы безопасности.

Также сложности при проектировании системы безопасности объекта КИИ вызывают требования, которые не удаётся выполнить стандартными подходами, применимыми при защите корпоративных систем. Например, при реализации меры по физической изоляции АСУ ТП с применением средств однонаправленной передачи данных (диоды) теряется возможность управлять системой защиты централизованно. Это усложняет сбор событий по безопасности из закрытого контура и обновление средств защиты. Также проблемы возникают при реализации технических мер, направленных на контроль идентификации и аутентификации. Как правило, эти сложности связаны с тем, что персоналу необходима постоянная видимость технологического процесса без заминки на авторизацию. Предусмотреть эти подводные камни необходимо ещё на этапе предпроектного обследования.

Как подготовиться к предпроектному обследованию

По нашему опыту, предпроектное обследование — один из важных этапов создания системы защиты объекта КИИ, при этом ему не всегда уделяется должное внимание. Как правило, основные действия на этом этапе сводятся к заполнению опросных форм, фотофиксации и визуальному осмотру объекта, а также проведению интервью с формальным написанием отчёта об обследовании. Такой подход влечёт за собой риски, связанные с необходимостью дополнительных заочных и очных обследований. Также это грозит проектными ошибками и неточностями, которые придётся исправлять на следующих этапах создания системы безопасности. Некачественно проведённое предпроектное обследование может повлечь за собой ошибки при формировании закупочных спецификаций, что приведёт к дополнительным затратам и увеличению срока реализации проекта.

Для предотвращения подобных проблем мы рекомендуем тщательно готовиться к обследованию: при подключении сторонних специалистов предприятиям важно обеспечить им возможность заранее ознакомиться с объектами защиты и изучить площадку ещё до выезда на неё. Это позволит специалистам уже на старте проекта чётко представлять, с чем придётся столкнуться, и заранее подготовить план обследования. Предприятиям составление плана обследования поможет правильно организовать работу своих специалистов, выделить ресурсы на сопровождение внешних экспертов и дать ответы на вопросы по каждому процессу или системе. Также на этом этапе рекомендуем определиться с основными техническими решениями по созданию системы безопасности КИИ. Это поможет получить целостное представление о том, как «приземлять» создаваемую систему на существующую инфраструктуру, и избежать распространённых проблем при адаптации средств защиты.

Главное — не навредить: что нужно учитывать при проектировании накладных средств защиты

При создании системы защиты значимых объектов КИИ типа АСУ ТП необходимо учитывать, что во главе всего на производстве стоит технологический процесс. Поскольку обеспечивающие его автоматизированные системы должны работать круглосуточно и бесперебойно, главным защищаемым свойством информации в них является доступность. Для обеспечения этого свойства ещё на стадии проектирования системы защиты важно предусмотреть все факторы, которые могут сделать её препятствием для нормальной эксплуатации технологического процесса.

Разберём план действий, необходимых для исключения негативного воздействия средств защиты на технологический процесс, на примере обеспечения изоляции или сегментации объектов защиты.

1. Заранее выявите все стыки АСУ ТП со смежными системами. По нашему опыту, их не всегда документируют и в процессе эксплуатации появляются новые стыки.
2. Выясните, какие типы взаимодействий реализованы: однонаправленное (только передача технологических параметров в вышестоящие системы) или двунаправленное, при котором АСУ ТП получает обратную связь и есть возможность управляющих воздействий на систему.
3. Определите характеристики канала связи: пропускную способность, среду передачи, каналообразующее оборудование, находится ли он внутри контролируемой зоны или же имеет возможность внешнего взаимодействия.
4. Проверьте требования по передаче технологической информации: количество тегов, требования к резервированию, времени задержки и периодов опроса.
5. Выясните, по каким протоколам АСУ ТП взаимодействует со смежными системами. Например, это могут быть диспетчерские протоколы, такие как МЭК-60870-5-104, МЭК-60870-5-101, ICCP, а также специфические протоколы АСУ ТП: OPC UA, OPC DA, OPC HDA, Modbus TCP, GOOSE/MMS, PROFINET и другие.

Ещё один важный аспект, на который следует обратить внимание при проектировании накладных средств защиты, — наличие (и возможности) встроенных механизмов защиты в программном обеспечении и программно-аппаратных средствах АСУ ТП. Такие механизмы предусматривают сами разработчики АСУ ТП, и их применение с соблюдением рекомендаций производителей позволяет избежать негативного влияния на технологический процесс. Вместе с тем это даёт возможность повысить уровень защищённости АСУ ТП и минимизировать количество наложенных средств защиты. Такие механизмы могут быть эффективны там, где накладные средства защиты неприменимы, например в случаях с устройствами нижнего уровня АСУ ТП, локальными АСУ ТП с использованием последовательных шин связи, таких как RS-485 или Profibus, и других.

Как организовать сбор событий при обеспечении физической изоляции

Одна из неотъемлемых составляющих комплекса защиты объекта КИИ — система мониторинга и управления событиями по информационной безопасности. Но для объектов КИИ типа АСУ ТП построение такой системы является нетривиальной задачей.

Представьте, что вам нужно обеспечить защиту критически важных систем АСУ ТП, которые с появлением систем управления производственными процессами перестали быть изолированными. Для организации безопасного взаимодействия потребуется обеспечить гарантированную изоляцию с помощью средств однонаправленной передачи информации (диодов данных). Казалось бы, такое решение нейтрализует большинство ИБ-угроз и является эффективным средством защиты периметра системы, однако это накладывает ряд ограничений на управление и мониторинг внутри таких сегментов.

Для решения этой проблемы можно организовать внутри изолированного периметра отдельный компонент, выполняющий роль сборщика событий и локального центра управления средствами защиты. При этом для него следует предусмотреть возможность «принудительной» отправки событий по протоколу UDP, который поддерживают все имеющиеся на рынке диоды данных. Ключевой момент — в том, что изоляция путём применения диода данных исключает возможность отправки запроса внутрь изолированного сегмента, например от агента SIEM-системы. Поэтому важно обеспечить принудительную отправку событий. Её можно реализовать при помощи установки специального модуля SIEM-агента внутри изолированного сегмента. Такое техническое решение не нарушает изоляцию, позволяет передавать события по безопасности в нормализованном виде и не оказывает влияния на объекты защиты.

Выводы

Как видно, при проектировании системы защиты объектов КИИ необходимо учитывать весьма много аспектов и особенностей работы технологических систем. При этом невозможно выполнить все требования и обеспечить реальную защищённость АСУ ТП только при помощи многофункциональных накладных средств обеспечения безопасности. Они не всегда эффективны и при неправильном подходе к проектированию могут даже навредить технологическому процессу. Как правило, когда проект реализуется без учёта специфики защищаемых объектов, такие решения начинают «обходить» и деньги оказываются потраченными впустую. 

Мы рекомендуем подходить к построению системы защиты комплексно, отталкиваясь в первую очередь от технологического процесса и обеспечения доступности информации, обрабатываемой системами, которые автоматизируют этот процесс. Важно выбирать оптимальный набор средств защиты с учётом специфики защищаемых объектов, предусмотренных в них встроенных механизмов безопасности, дополнительных решений для обеспечения безопасного функционирования АСУ ТП, а также не забывать об организационных и компенсирующих мерах.

Автор: Алексей Хмыров, главный инженер проектов по защите АСУ ТП центра «Solar Интеграция» компании «РТК-Солар»

В подготовке статьи участвовали эксперты отдела по защите АСУ ТП центра «Solar Интеграция» Максим Добряков, Сергей Позигун и Евгения Канаева.

Реклама. Рекламодатель ООО "РТК ИБ", ОГРН 1167746458065