Оглавление
В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
В новом 2025 году обеспечение технологической независимости (так называемое импортозамещение) по-прежнему останется одним из актуальных вопросов.
В 2024 г. все субъекты КИИ должны были разработать планы перехода на доверенные программно-аппаратные платформы. Реализация этих планов будет начата в 2025 г.
Проблемам импортозамещения, а также их решению была посвящена статья «Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?», опубликованная в четвертом номере журнала за 2024 г. [1], поэтому я не буду останавливаться на данных вопросах. Отмечу лишь, что, как и ожидалось, не все субъекты КИИ в этом году выполнили планы по импортозамещению в части программного обеспечения, поэтому эта задача не утратит свою актуальность и в 2025 г.
Актуальным останется выполнение требований Указа Президента России от 1 мая 2022 г. № 250 в части прекращения использования зарубежных (из так называемых недружественных государств) средств защиты информации. По моим оценкам, крупные субъекты КИИ, имеющие большую информационную инфраструктуру, насчитывающую несколько тысяч объектов КИИ, не смогут исключить применение таких средств на незначимых объектах КИИ к 1 января 2025 г. – в части значимых объектов большинство субъектов КИИ, по оценкам экспертов, такие требования выполнили. Это касается прежде всего встроенных в системное (частично прикладное) программное обеспечение средств защиты информации. В этой связи отказ от таких средств будет происходить постепенно, чтобы не нарушать технологические (производственные) процессы.
В 2025 г., безусловно, продолжатся контрольно-надзорные мероприятия со стороны регуляторов – государственный контроль в области обеспечения безопасности значимых объектов КИИ в соответствии с постановлением Правительства РФ от 17.02.2018 № 162 и мониторинг защищенности в соответствии с приказом ФСБ России от 11.05.2023 № 213. Субъектам КИИ необходимо быть готовыми к участию в указанных мероприятиях.
Первичное категорирование
В конце 2024 г. на конференциях по информационной безопасности часто говорили о том, что есть организации, являющиеся субъектами КИИ, которые до сих пор не завершили процедуру категорирования, оттягивая сроки путем внесения изменений в перечни объектов КИИ, подлежащих категорированию. В этой связи в законодательство были внесены изменения, устраняющие лазейки для оттягивания сроков так называемого первичного категорирования и путаницу при категорировании вновь создаваемых объектов. А именно: исключены нормы, связанные с необходимостью формирования перечня объектов КИИ, подлежащих категорированию (п. 5 подп. «г», п. 14 подп. «в», п. 15 Правил категорирования [2]). Теперь нет необходимости формировать перечень объектов КИИ, подлежащих категорированию, согласовывать его с головной структурой (для подведомственных организаций) и отправлять в ФСТЭК России. При этом ведение так называемых инвентаризационных перечней, из которых на практике обычно формировались перечни объектов КИИ, подлежащих категорированию, законодательство не запрещает. Поэтому субъекты КИИ по-прежнему могут формировать такие перечни при наличии необходимости, например для проведения аудитов.
Отказ в обслуживании
В 2024 г. были внесены изменения, касающиеся защиты от одной из самых распространенных компьютерных угроз – атаки, направленной на отказ в обслуживании. Речь идет об изменениях в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239), внесенных приказом ФСТЭК России от 28.08.2024 № 159.
Данные изменения в большей своей части не являются новыми и представляют собой стандартную практику защиты от атак «отказ в обслуживании», поэтому для тех, кто ранее уже внедрил систему (подсистему) защиты от подобных атак, практически никаких изменений не произойдет за исключением двух следующих моментов.
Во-первых, п. 22(2) подп. «и» Требований вводит относительно новую обязанность (по крайней мере, в моей практике специалисты по ИБ в рамках своих инфраструктур такое не делали): в течение трех лет обеспечить хранение информации о фактах реализации атак, направленных на отказ в обслуживании. Таким образом, необходимо будет вносить корректировки в части хранения информации о событиях (инцидентах) информационной безопасности и, возможно, увеличивать емкости хранилищ систем, ведущих журналы событий и задействованных в нейтрализации данного вида атак.
Во-вторых, подп. «б» п. 26(2) возлагает на субъекты КИИ новую обязанность: взаимодействие в автоматизированном режиме с Центром мониторинга и управления сетью связи общего пользования в рамках противодействия атакам, направленным на отказ в обслуживании. На текущий момент лишь небольшая часть субъектов КИИ имеет взаимодействие с указанным Центром. В 2025 г. перед субъектами, имеющими значимые объекты КИИ с интерфейсами и сервисами, к которым должен быть обеспечен постоянный доступ из сети «Интернет», будет стоять задача по организации этого взаимодействия. В отличие от интеграции с ГосСОПКА, которая не обязательно предполагает подключение к технической инфраструктуре, автоматизированное взаимодействие подразумевает именно подключение к инфраструктуре Центра мониторинга.
Показатель обеспечения безопасности
В 2024 г. ФСТЭК России выпустила Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ, она утверждена ФСТЭК России 2 мая 2024 г.
Методика определяет показатель, характеризующий текущее состояние обеспечения безопасности значимых объектов КИИ, его значение и порядок расчета. В соответствии с п. 5 Методики, она применяется ФСТЭК России для мониторинга текущего состояния защиты информации и обеспечения безопасности объектов КИИ в государственных органах и организациях-субъектах КИИ. Указанное означает, что ФСТЭК России (скорее всего, уже в 2025 г.) будет периодически запрашивать результаты оценки показателя обеспечения безопасности.
Кроме того, ФСТЭК России будет оценивать показатель обеспечения безопасности в рамках государственного контроля, о чем прямо прописано в п. 16 Методики.
Оценка показателя обеспечения безопасности, в соответствии с п. 11 Методики, должна проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя защищенности устанавливается организацией во внутренних регламентах. Это означает, что в 2025 г. субъектам КИИ необходимо будет выстроить процесс оценки показателя защищенности и зафиксировать этот процесс во внутренних регламентах.
В соответствии с п. 12 Методики оценка показателя обеспечения безопасности проводится в отношении всех значимых объектов КИИ и может проводится в отношении объектов КИИ, не имеющих категории значимости. Таким образом, в рамках оценки показателя обеспечения безопасности должны быть рассмотрены, как минимум, все значимые объекты КИИ, а работы по оценке должны проводиться не реже одного раза в полгода. В рамках больших инфраструктур указанный объем работы может быть существенным.
Атаки на цепочку поставок
Следующая проблема, уже набившая оскомину в 2024 г., – так называемые атаки на цепочку поставок. Подавляющее большинство организаций, оказывающих ИТ- и ИБ-услуги, что отмечается многими экспертами и регуляторами, не уделяет достаточного внимания защите своей собственной инфраструктуры (из которой они подключаются в инфраструктуру заказчиков). Это касается не только провайдеров ИТ-услуг, но и поставщиков ИБ-услуг. Последние, по моему опыту, по части защиты не сильно отличаются от обычных ИТ-компаний, что вполне объяснимо, ведь главное для подрядчика получить прибыль от контрактов (это экономически обосновано), а затраты на безопасность ее снижают. На текущий момент законодательно не закреплена обязанность подрядчиков по обеспечению безопасности, поэтому субъекты КИИ сами продумывают механизмы защиты от атаки на цепочку поставок. Указанная проблема будет оставаться актуальной и в 2025 г., тем более что регуляторы в ходе контрольно-надзорных мероприятий обращают внимание на то, как обеспечивается защита от атак со стороны подрядчиков.
При отсутствии законодательного регулирования заказчики испытывают определенные сложности. Ввиду того, что взаимоотношения между подрядчиком и заказчиком основываются на нормах гражданского права и прежде всего свободе выбора условий договора, не все подрядчики готовы соглашаться с требованиями по обеспечению безопасности. Более того, подобные требования в отсутствие указания на необходимость их установления в действующем законодательстве могут расцениваться как необоснованные, создающие препятствия для выигрыша в рамках конкурсных процедур.
Искусственный интеллект
Трендом последних нескольких лет является развитие технологий так называемого искусственного интеллекта. В 2025 г. продолжат появляться системы с искусственным интеллектом, автоматизирующие технологические (производственные) процессы. В этой связи возникнет необходимость в корректировке подходов к оценке рисков, связанных с применением таких систем, их категорированием (оценкой значимости) и созданием для них систем безопасности с учетом их сложности и непрозрачности в сравнении с классическими автоматизированными (информационными) системами.
Помимо влияния на технологический процесс, с развитием технологий искусственного интеллекта, злоумышленники начинают активно использовать его для создания более сложных и целенаправленных атак. Одним из наиболее опасных направлений является развитие интеллектуальных фишинговых атак.
С помощью искусственного интеллекта злоумышленники могут анализировать огромные объемы данных о потенциальных жертвах, собранные из социальных сетей, публичных баз данных и утечек, чтобы составлять персонализированные сообщения. Такие атаки значительно увеличивают вероятность успешного обмана, так как содержат точную информацию о привычках, интересах или должностных обязанностях адресата. Более того, модели искусственного интеллекта способны генерировать тексты, визуальные элементы или голосовые сообщения с высокой степенью правдоподобности, что делает их практически неотличимыми от легитимных. Противодействие таким атакам требует внедрения продвинутых средств защиты, таких как EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response), а также регулярного обучения сотрудников методам выявления подобных угроз.
Таким образом, защита критической информационной инфраструктуры в 2025 г. становится еще более многогранной задачей, требующей комплексного подхода. С одной стороны, организации должны продолжать адаптироваться к ужесточению требований регуляторов, активно внедрять механизмы импортозамещения и соблюдать новые стандарты защиты инфраструктуры. С другой стороны, вызовы, такие как развитие атак с использованием искусственного интеллекта и уязвимость цепочек поставок, требуют внедрения более эффективных СЗИ и совершенствования методов управления рисками.
Журнал “Information Security/ Информационная безопасность» № 4, 2024. С. 10–12
Утверждены постановлением Правительства РФ от 08.02.2018 № 127
ITSec_articles