Виктор Сердюк о безопасности информации КВО

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в: ,

После заседания по безопасности критически важных объектов, проходившего в рамках «Инфофорума», Виктор Сердюк, генеральный директор компании «ДиалогНаука», поделился своими впечатлениями о мероприятии и поднятых в его ходе проблемах.

Виктор Александрович, как вы считаете, насколько данное мероприятие полезно для отрасли в целом?

"ДиалогНаука" ежегодно принимает участие в «Инфофоруме».  Форум, на мой взгляд, важен и полезен для всей отрасли тем, что на нём можно обсудить широкий спектр актуальных вопросов по информационной безопасности. К примеру, в этом году значительное внимание уделялось  злободневной теме защиты критически важных объектов ИТ-инфраструктуры крупных компаний различного профиля.

Как вы считаете, защищены ли сегодня системы АСУ ТП в России, и насколько компании вообще готовы решать эту проблему?

Данная проблема действительно назрела и решения в области защиты АСУ ТП очень востребованы сегодня. Не секрет, что этот рынок является относительно новым в России, однако уровень спроса на нем достаточно высок, так как многие отечественные системы АСУ ТП на данный момент вообще никак не защищаются.

Серьезным препятствием на данном пути является отсутствие готовой нормативной базы и четкого регулирования процесса обеспечения безопасности со стороны государства. Отчасти из-за этого предложения поставщиков систем информационной безопасности еще не сформированы окончательно, и продуктов, учитывающих специфику защиты АСУ ТП, в России еще не так много. Другими словами, все игроки рынка ожидают появления новых законодательных инициатив в этой сфере, которые, я надеюсь, не заставят себя долго ждать.

Тем не менее, проектов в области защиты АСУ ТП с каждым годом становится все больше и больше. Я уверен, что мы сможем обеспечить достаточный уровень безопасности в этом сегменте уже в ближайшее время.

Применяются ли в нашей стране санкции к компаниям, не защищающим критически важные объекты инфраструктуры? Вообще имеют ли место инциденты в области взлома технологических систем?

Специфика отрасли такова, что подобные случаи стараются не афишировать. Однако, насколько мне известно, в России уже были случаи применения санкций к компаниям, не защищавшим надлежащим образом свои информационные системы, в том числе технологические. Речь идет о крупных государственных структурах, должностные лица в которых были привлечены к ответственности по итогам проведения аудитов со стороны регуляторов. Однако эти случаи не афишируются открыто и не отражаются в прессе из-за отраслевой специфики деятельности данных компаний. Однако такая практика уже ведется, и это является хорошим стимулом для государственных организаций к защите ИТ-систем различного уровня.

Про инциденты можно сказать то же самое: они происходят. Но практически все российские компании в той или иной мере закрыты и не заинтересованы в распространении подобной информации. При этом не существует специальной организации, которая собирала бы данные об инцидентах в российских компаниях. В банковской сфере подобную роль скоро будет выполнять Центробанк: крупнейшей российской кредитной организации было поручено собирать статистическую информацию об инцидентах для различных организаций, желающих подключиться к национальной платежной системе (НПС). В других отраслях такого регулятора нет, вследствие чего нет и открытой информации о том, что происходит в отрасли.

Как вы считаете, каким требованиям должны отвечать системы, обеспечивающие эффективную защиту АСУ ТП?

Как и любая другая специализированная система, решение для защиты АСУ ТП должно обеспечивать адекватный уровень безопасности в соответствии с актуальными угрозами для данного типа систем. Я считаю, что система безопасности АСУ ТП должна базироваться  на риск-ориентированном подходе, тогда она будет наиболее эффективна.

Если говорить о специализированном ПО, сегодня существует проблема борьбы с недокументированными возможностями. Как следует бороться с ними?

Безусловно, лучше изначально выбирать решения, для которых отсутствие недокументированных возможностей (НДВ) уже подтверждено. Для этого существует соответствующая система сертификации ФСТЭК, и целый ряд решений уже был проверен специалистами, аккредитованными федеральной службой. Если же необходимого решения нет среди сертифицированных продуктов, нужно использовать дополнительные системы информационной безопасности - сетевые или локальные, которые позволили бы снизить риски, связанные с возможной активизацией НДВ. Применение наложенных средств для контроля приложений позволит снизить риски и избежать инцидентов в случае проявления "закладок" в программном обеспечении. 

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.