Согласно указу Президента РФ № 166, с 1 января 2025 года органам государственной власти, заказчикам запрещается использовать иностранное ПО на значимых объектах КИИ. Экосистема НОТА КУПОЛ может помочь организациям выполнить эти требования в срок.
- Введение
- «Бумажная» безопасность и фактическая защищённость
- Реальная практика выстраивания ИБ внутри компаний
- Необходимо учитывать ответственность за нарушения
- Требования и реальность
- П «НОТА КУПОЛ»
Введение
В Москве прошла партнерская конференция «НОТА ДЕНЬ» отечественного вендора НОТА (Холдинг Т1), в рамках которой участники смогли познакомиться с экосистемой ИБ-продуктов НОТА КУПОЛ, узнать подробнее о возможностях входящих в нее инструментов в области информационной безопасности, а также обсудить актуальные вопросы реальной защиты объектов критической информационной инфраструктуры (КИИ).
Если ранее задача по категорированию объектов КИИ возлагалась на владельца ИТ- системы, который опирался на рекомендации ФСТЭК России, теперь, согласно инициативе Минцифры, Правительство будет определять для каждой отрасли список типовых информационных систем, которые необходимо относить к значимым объектам КИИ, и устанавливать сроки их импортозамещения.
Участники панельной дискуссии на мероприятии рассмотрели зрелость отечественных аналогов ИТ-систем в ряде отраслей и способ автоматизации категорирования объектов КИИ.
Рисунок 1. Панельная дискуссия конференции «НОТА ДЕНЬ»
«Бумажная» безопасность и фактическая защищённость
Несмотря на критику «бумажной» безопасности она остается обязательной для любого предприятия. Чтобы избежать компрометации данных компаниям необходимо опираться на собственный опыт и строить активную систему безопасности на базе современных программных средств.
Каждая из сторон приводит весомые аргументы, но, как считает Фёдор Трифонов, руководитель отдела технического сопровождения продаж НОТА КУПОЛ, «бумажная» безопасность всегда будет идти бок о бок с реальной. Компании не обойтись без отчётных документов, которые она обязана предоставлять регулятору. Они отражают соответствие законодательным требованиям, которые сами по себе весьма разносторонни.
Не стоит относиться с высокомерием к «бумажной» безопасности, поскольку соответствие требованиям необходимо для унификации проверок и оценки уровня защищенности. Например, в банковской сфере организации подтверждают соответствие требованиям стандарта PCI DSS. Этот формат контроля актуален уже десятки лет.
Реальная практика выстраивания ИБ внутри компаний
По мнению Алексея Кубарева, директора по информационной безопасности Т1 Облако, деление на «бумажные» и иные мероприятия очень условное. «Если «бумажная» безопасность сводится лишь к формальному закрытию требований непроработанными типовыми документами, фактически это означает, что бизнес лишен реальной системы».
В качестве примера спикер привёл приказ ФСТЭК России № 21, касающийся мер по обеспечению безопасности персональных данных при их обработке в информационных системах. Когда невозможна техническая реализация отдельных выбранных мер защиты, а также когда происходит внедрение новых информационных технологий и выявляются дополнительные угрозы безопасности для персональных данных, компании должны разрабатывать компенсирующие меры, направленные на нейтрализацию актуальных угроз.
По мнению Алексея Кубарева, многое в бизнесе определяется оценкой размера потенциальных потерь, которые умножаются на их вероятность. «Как только меняются значимость персональных данных и размер потенциального ущерба в случае их компрометации, необходимо проводить переоценку рисков. Это целесообразно делать раз в два месяца. Новая оценка позволит обосновать, сколько потребуется реально потратить на совершенствование системы безопасности».
Рисунок 2. Панельная дискуссия сессии «Процессы» на конференции «НОТА ДЕНЬ»
Антон Марков, директор департамента по ИБ компании КСК, также считает, что необходимо постоянно актуализировать риски. «Компании, безусловно, будут искать более простые и быстрые способы проведения оценки, как того требует регулятор. Но проблема состоит в том, что картина рисков всегда существует в конкретном моменте. Всё меняется очень быстро. Необходимо не только знать о существующих рисках, но также вовремя переоценивать их, чтобы понимать, как они развиваются. Эта задача очень затратна, если компаниям приходится решать её самим».
Антон Марков: «Выполнение поставленных задач во многом зависит от достаточности финансирования. Регулятор будет стараться разумно оценивать возможности каждой компании к импортозамещению. Он заинтересован добиться выполнения поставленной задачи с наименьшими потерями для предприятий и готов искать индивидуальный подход для устранения возникающих трудностей».
Роман Шапиро, руководитель департамента ИБ компании «Почта России», считает, что в каждом случае требуется индивидуальный подход. «Можно бесконечно рассуждать, что «бумажная» безопасность не позволяет закрыть все существующие риски. Но если соответствующий документ был оформлен своевременно, то это спасает компанию как минимум от наложения штрафа со стороны контролирующих органов в случае выявления факта компрометации. Аналогичная ситуация складывается и вокруг высокой скорости изменения ИТ-ландшафта: с точки зрения безопасности определяющим фактором является скорость реагирования ИБ-подразделения на инциденты», — говорит Роман.
Спикер отметил, что подходы небольших компаний до сих пор качественно отличаются от того, как действует крупный бизнес. «Небольшие компании не торопятся с внедрением систем ИБ. Их подход опирается на то, сталкивались ли они непосредственно с инцидентами или нет. Совершенно другие подходы демонстрируют крупные корпорации: они умеют считать, сколько денег приносит каждая программная система, способны оценивать затраты от простоя бизнеса, понимают влияние инцидентов на снижение производительности и репутации компании».
Он убеждён, что нынешний уровень вовлечённости компаний в оценку ИБ-рисков (и, соответственно, степень их готовности ко внедрению программных ИБ-платформ) очень сильно зависит от уровня зрелости и понимания собственных возможностей по качественной реализации функций ИБ.
Роман Шапиро: «Когда государство выдвигает определенные требования, то большинство компаний безоговорочно выполнят их в силу своей законопослушности. Но среди оставшихся найдутся такие, кто приступит к исполнению поставленных задач только после назначения наказания, а часть не выполнят требований, несмотря на возникающие нарушения. Чтобы все компании без исключения понимали необходимость обязательного соблюдения законодательных норм, государство должно контролировать исполнение своих распоряжений».
Рисунок 3. Презентация платформы «НОТА КУПОЛ» на конференции «НОТА ДЕНЬ»
Необходимо учитывать ответственность за нарушения
Ещё совсем недавно затраты на развитие систем безопасности внутри компаний рассматривались многими как малоэффективные расходы. Если возможности инвестиций были сильно ограничены, а фактические проверки со стороны регулятора отсутствовали или проходили формально, компании старались откладывать работы по ИБ на будущее.
Как рассказал Алексей Кубарев (Т1 Облако), важное стимулирующее значение для принятия решений о необходимости внедрения систем безопасности имеет законодательство. Знание и учёт законов оказывают воздействие на планирование развития бизнеса. Наиболее важными были названы:
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- статья 274.1 УК РФ, касающаяся неправомерного воздействия на критическую информационную инфраструктуру;
- законопроект № 502104-8 об увеличении штрафов за утечки персональных данных;
- законопроект № 502113-8 об уголовной ответственности за преступления в сфере персональных данных.
В июне 2023 года, выступая на конференции ЦИПР-2023, премьер-министр РФ Михаил Мишустин дал распоряжение по привлечению индустриальных центров компетенций (ИЦК) к формированию перечней типовых решений, относящихся к КИИ. Тогда было определено, что списки будут составляться отдельно для каждой отрасли, а также будут установлены предельные сроки по замещению зарубежных продуктов отечественными решениями с учётом их готовности и зрелости.
Напомним, что ИЦК появились в 2022 году в рамках первой фазы реализации профильной инициативы правительства РФ. Тогда в стране было создано 37 ИЦК и 13 центров компетенций по разработке ПО, деятельность которых координируют 18 отраслевых комитетов.
Требования и реальность
Согласно экспертным оценкам, за год до официального предельного срока лишь 7% компаний заявили о полной готовности и о завершении процесса категорирования объектов в своей инфраструктуре. 14% отметили, что находятся на завершающем этапе, 10% опрошенных компаний даже не приступали к делу, оставшиеся 69% сообщили, что процесс идёт, но далёк от финала.
Что же делать?
Все участники панельной дискуссии были единогласны в своей оценке: без автоматизации провести полное импортозамещение всего ПО в рамках выстроенных систем ИБ за оставшееся время невозможно. Главная причина — очень широкий перечень необходимых программных продуктов, на замещение которых потребуется время, а также отсутствие некоторых классов продуктов.
В то же время, заказчики неодинаково оценивают значимость применяемых продуктов и выделяют элементы систем ИБ с разной приоритетностью внедрения. В топ востребованных ИБ-инструментов входят: межсетевые экраны, средства антивирусной защиты, элементы сетевого оборудования и средства криптографической защиты.
Антон Марков выразил мнение, которое поддержали все участники дискуссии: «Ресурсы компаний всегда ограничены, поэтому эффективный процесс реализации требований регулятора к безопасности лучше строить на основе взаимного доверия. Речь идёт не о возврате к схеме выбора объектов КИИ путём самостоятельного категорирования, а о повышении доверия регулятора к игрокам рынка и их привлечению к определению списка объектов, которые относимых к значимым объектам КИИ».
По словам спикера, хотя требования по категоризации обычно понятны на интуитивном уровне, учёт существующей инфраструктуры часто требует привлечения опытной команды, члены которой смогут рассказать, что следует делать конкретной компании и какие именно продукты потребуются. Поэтому необходима не просто программа для учёта активов, а полномасштабная помощь компаниям в реализации задачи импортозамещения с возможностью оценить полученные результаты и убедиться в их полноте перед отправкой в контролирующий орган.
Экосистема НОТА КУПОЛ
В рамках конференции также была показана экосистема ИБ-продуктов НОТА КУПОЛ. Она была разработана российским мультипродуктовым вендором НОТА (входит в Холдинг Т1) в ответ на растущую потребность отечественного бизнеса в инструментах защиты корпоративной инфраструктуры. Как и в других программных продуктах вендора, портфель ИБ-решений аккумулировал экспертизу множества подразделений одного из крупнейших ИТ-игроков российского рынка, которая реализована на современном технологическом стеке с учетом актуальных регуляторных требований.
Как отметил Антон Спирин, заместитель генерального директора по развитию бизнеса НОТА, требования в первую очередь касаются операторов КИИ, которые должны импортозаместить все свои решения к 2025 году. «Для них вопрос быстрого создания новых операционных решений, которые обеспечат их полную защищённость, один из самых важных. НОТА КУПОЛ — решение, которое можно внедрять уже сейчас и не подвергать себя рискам».
Антон Спирин: «Нынешний этап развития направления ИБ в рамках Холдинга T1 стартовал в конце 2022 года. К нашей команде присоединилось несколько очень сильных специалистов, которые сейчас занимаются разработкой новых продуктов, органично дополняющих основной пакет. В будущем мы планируем развиваться по нескольким направлениям: внедрение DevSecOps в систему инструментов разработки в рамках развития Платформы Сфера; создание ПО для обеспечения безопасности объектов КИИ; развитие собственного межсетевого экрана NGFW. Нашей целью является лидерство по этим направлениям в ближайшие несколько лет».
В состав НОТА КУПОЛ сейчас входят четыре основных продукта:
- НОТА КУПОЛ. Управление для управления межсетевыми экранами,
- НОТА КУПОЛ. Документы для автоматизированной генерации документов аудита в области ИБ для регуляторов рынка и категорирования,
- НОТА КУПОЛ. Правила для учёта правил, по которым выявляются инциденты,
- НОТА КУПОЛ. Контейнеры для защиты контейнерных сред разработки.
Рисунок 4. Экосистема продуктов НОТА КУПОЛ
НОТА КУПОЛ. Управление берёт на себя функцию администрирования межсетевых экранов. Продукт относится к классу систем управления политиками сетевой безопасности (NSPM). Он помогает отслеживать и оптимизировать работу с задачами межсетевых экранов, выполнять настройку правил, следить за появлением уязвимостей при выпуске обновлений прошивки.
В будущем продукт планируется оснастить возможностями контроля векторов атак, а также рекомендательной системы добавления правил межсетевого экрана. Главными преимуществами, как отметил Игорь Душа, директор портфеля продуктов НОТА КУПОЛ, являются возможность анализа правил по более чем 15 категориям анализа. А с точки зрения сервиса – возможность индивидуальной доработки под конкретного заказчика.
Рисунок 5. Функции продукта НОТА КУПОЛ. Управление
Федор Трифонов, руководитель отдела технического сопровождения продаж НОТА КУПОЛ: «Новый инструмент НОТА КУПОЛ позволит компаниям автоматизировать рутинный процесс заполнения документов для категорирования. Участники комиссии смогут проверить правильность данных об установленных ИТ-системах, отнесенных к объекту КИИ, и подтвердить финальное решение. Программа автоматически создает описание модели угроз и детально отражает процесс категорирования. Для устранения выявленных проблем предлагается список необходимых действий. Итоговый файл категорирования можно отправлять во ФСТЭК России».
В целях автоматизации аудита в области ИБ, облегчения категорирования, реализации электронного документооборота и генерации отчётных документов для регуляторов рынка выпущен продукт НОТА КУПОЛ. Документы. Операции, которые службе ИБ раньше приходилось выполнять в ручном режиме, теперь переводятся на автоматическое исполнение. Это касается ведения справочной информации, контроля исполнения различных мероприятий в рамках процесса категорирования, отслеживания изменений в законодательстве, актуализации данных и формирования отчётных документов.
Рисунок 6. НОТА КУПОЛ автоматизирует операции, которые раньше выполнялись вручную
Как отметил Игорь Душа, благодаря экосистеме НОТА КУПОЛ заказчик получает возможность вырваться из оков «бумажной» безопасности и настроить реальный SecOps-процесс, в котором Compliance будет актуален в любой момент времени и будет отражать реальную защищенность.
