Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Из неопубликованного. Замыкая круг из менеджеров и бюджетов.

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Из неопубликованного. Замыкая круг из менеджеров и бюджетов.

Это те откровения, которые в силу деликатности темы не нашли спикеров готовых под ними подписаться, но охотно поделившихся со мной своими мнениями в частных беседах.

 

Кот священника вываливает миску на пол, раскладывает корм крестом, молится, съедает корм и ложится спать.

Кот архитектора высыпает корм, раскладывает из него архитектурный план, меняет детали местами, наконец, съедает все и ложится спать.

Кот журналиста вываливает корм из миски и немедленно съедает его, а миску загоняет за холодильник и сообщает, что достоверные источники пожелали остаться неизвестными…

 

Как правило, когда мы говорим про КВО, то часто речь идет о производствах длительного цикла, то есть 40-50 лет и более. Например, доменные печи или гидростанции. Но к управлению этими бизнесами пришли руководители в модных костюмах, дорогих галстуках и обуви, которых даже башенные краны провожают взглядом. У них в кармане контракты на 2-3 года… а их понимание проблемы КВО, обычно ограничивается сроком их контракта. Как эти люди могут быть мотивированы на то, что им когда-нибудь придется отвечать в соответствии с требованиями закона? А тем более уделять внимание вопросам ИБ?

Впрочем, мой пессимизм не разделяют мои собеседники. По их мнению, за такой вид управленцев переживать не стоит, так как нельзя путать функциональную безопасность и информационную. Компьютерные атаки попадают в область информационной безопасности. И соответственно, в рамках информационной безопасности, например, комиссия по расследования инцидента сразу изучает весь блок нормативной документации, которая реализована на объекте. Смысл этого расследования заключается в том, чтобы выяснить насколько де-факто выполнялись требования по защите информации, установленные для конкретного объекта, для конкретного процесса, для конкретного оборудования и сотрудников. Соответствуют ли они заявленным рискам?

Поэтому говорить о том, что функциональную и информационную безопасность можно смешать и в результате получить нечто третье – это неправильно. Одно является причиной, другое следствием. Когда расчет производится по оценке рисков, то оценки рисков нарушения технологического процесса, как правило, лежат в области функциональной безопасности. Если мы говорим о том, что нарушение какого-то технологического процесса произошло по причине выхода из строя какого-то элемента этой АСУ ТП, то расследование инцидента невольно уйдет в обратную сторону, то есть к источнику определения причины.

Но при этом тема ИБ промышленных предприятий на поминает ситуацию с медициной, где никто не знает сколько денег нужно выделить на обеспечение ИБ. Сколько не выдели все освоят. Или будет бесконечное нытье что денег на ИБв отрасли нет. И та и другая ситуация лучше, чем оценки разумных и необходимых инвестиций. Но в промышленности все оказалось сложнее.

Наличие возможности нести дополнительные расходы по этой теме является камнем преткновения для решения проблемы ИБ КВО. То есть порой не политическая воля и не воля руководства, а именно финансовые возможности. Если раньше говорили, что у нас есть финансовая возможность, и мы готовы включить в инвест-план обследования и аудит информационной безопасности, но нет нормативного обоснования для этого. То сейчас ситуация изменилась на противоположную. Теперь денег нет. Либо деньги имеют некий отложенный эффект, потому что, объектом защиты являются те производственные ресурсы, которые ведут деятельность. В силу событий с девальвацией рубля большинство из участников рынка поменяли свои приоритеты в бизнесе. Если раньше приоритетом было развитие, то сейчас выживание, стремление к сохранению бизнеса. Либо стремление к тому, чтобы в условиях подешевевшего рубля обеспечить сохранение функциональной безопасности хотя бы того, что есть. Речь не идет о повышении защитных функций, речь идет о том, чтобы сохранить хотя бы то, что было раньше. Потому что никуда не делись расходы на техническое обслуживание иностранного оборудования. А все контракты, как правило, подписаны в валюте и никто их пересматривать не собирается.

И таких факторов несколько. Какие-то появляются, какие-то исчезают. Например, до 14 марта 14-го года не было юридического основания для того, чтобы в структуру инвестиционного планирования или в программы по модернизации промышленных  объектов включать подобного рода расходы на выполнение требований регуляторов. Теперь это основание появилось. Если раньше не было де-факто самого основания, то сейчас многие не знают, как и по каким методикам эти требования выполнять. Потому что от методики очень много зависит: стоимость понесенных расходов, их длительность, целевое применение, приоритетность.

В этих вопросах можно как на 100% выиграть, так на 100% и проиграть. А какой-то установленной шпаргалки пока не существует. Регулятор над этим работает, но если посмотреть внимательно на 31 Приказ, то там сказано, что это не задача регулятора расписывать отраслевые методики. Регулятор определил ключевые принципы, и базовый набор мер, которые должен учитывать владелец АСУ. А принятие решения на корпоративном уровне – это всегда право и ответственность самого владельца АСУ. И это опять заколдованный круг. Но решение непременно должно появиться! И притом в самое ближайшее время!

Что скажете? Все так? Или все много сложнее?

Оцените материал:
Total votes: 350
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.