Требования. Нужны ли они в АСУ ТП и в кибербезопасности в целом
Сегодня отдельные эксперты продвигают идею, что законодательные требования на самом деле не помогают, а мешают реальной кибербезопасности. Мысль исходит из того, что информационная безопасность должна строиться на практической стороне, то есть быть результативной.
Требования же – это выполнение «бумажной» безопасности. Требования выполнили, при этом остались незащищенными.
Вопрос интересный, и, на наш взгляд, неоднозначный. Требования по информационной безопасности в АСУ ТП приняты на уровне федерального закона, приказов ФСТЭК и отраслевых требований.
И это не просто так. Промышленность долгое время не обращала внимания на информационную безопасность.
Почему?
Тут все просто. Информационная безопасность – дополнительная нагрузка на предприятие как с финансовой точки зрения, так и с технологической.
Систему защиты необходимо встраивать в общую систему так, чтобы весь технологический процесс оставался неизменным. Промышленность же достаточно инертна в отношении любых изменений. Автоматизированные системы «капризны». И вмешательство без учета того, как они работают, может привести к остановке производства.
Что касается законодательных требований – это запреты, определенные регламенты, правила. Они вмешиваются в четко выстроенную годами систему, что не может не вызывать некоего неприятия.
Но мы в экспертном сообществе считаем, что именно требования, принятые на федеральном уровне, стали тем самым толчком к тому, что промышленность обратила внимание на информационную безопасность и наконец инициировала этот сложный процесс по встраиванию систем защиты автоматизированных систем управления.
Однако здесь есть и обратная сторона медали
О выполнении требований лишь на бумаге много говорили и на прошедших федеральных мероприятиях, например ТБ-Форуме. Регуляторы отмечали, что одна из значимых проблем на сегодня – средства защиты закупили и все на этом. Они простаивают без внедрения, а организация при этом остается незащищенной.
И здесь опять на первый план выходит регуляторный контроль.
Как мы знаем, ФСТЭК за 2023 год осуществил проверку более 350 значимых объектов КИИ. В ходе проверок регулятор проверяет не только наличие факта покупки средства защиты, но и сканирует сеть, определяет наличие критических уязвимостей по БДУ ФСТЭК и т.д.
Мы в этих проверках периодически тоже принимаем участие со стороны Заказчика. Помогаем отрабатывать возражения, даем экспертные ответы, как правильно защитить объект, выполнить правильные настройки средств защиты.
То есть на сегодня проверки ФСТЭК все более становятся практическими, и перестают быть простым пересчетом выполненных на бумаге требований.
Возвращаясь к вопросу о необходимости требований, хочется отметить, что в данный момент требования по информационной безопасности не мешают, а дополняют практическую сторону защиты. В том числе и потому, что регулятор стал более зрелым. И их формальные требования становятся более практическими.