ИБ ждет универсальных стандартов
"По итогам 2022 г. индустрия кибербезопасности подошла к необходимости переосознания основных принципов построения защиты и реагирования на угрозы в масштабах бизнеса, отраслей и страны, и в 2023 г. кибербезопасность как индустрию ожидает период активной пересборки с большей ориентированностью на практику результативной защиты", - уверен директор по развитию бизнеса Positive Technologies в России Максим Филиппов.
Одним из результатов смены подходов к защите информации, вызванных ростом интенсивности атак с одной стороны и активности регуляторов с другой, по оценке Максима Филиппова, должно стать появление стандартов в области ИБ, в частности, реагирования на инциденты. Пока они отсутствуют как в России, так и в других странах, и их появление станет довольно серьезным прорывом мирового уровня.
Пока же такой стандарт существует только для финансовой сферы. Ведущий инженер CorpSoft24 Михаил Сергеев также напоминает, что уже сейчас существуют различные уровни защищенности, в РФ уровни защищенности регламентируются различными ГОСТами, они применяются в зависимости от деятельности организации: "Например, ГОСТ 57580 выделяет три уровня защиты информации - минимальный, стандартный и усиленный - и применяется непосредственно к финансовым организациям. Требования к уровню безопасности устанавливаются на основе оценки вида деятельности организации, объема операций и значимости конкретной организации для финансового рынка".
Эксперт технологической практики "Технологии Доверия" (ранее PwC в России) Константин Малюшкин считает, что данные стандарты во многом уже сформированы: "За последние несколько лет правительством РФ предпринят целый ряд мер по формированию и развитию национальной структуры централизованного реагирования на инциденты ИБ - ГосСОПКА. Кроме того, выпущен ряд нормативных документов, уточняющих требования к средствам ГосСОПКА и организациям-участникам. Соответственно, на текущий момент техническая и ресурсная база, необходимая для национального ИБ-стандарта по реагированию на инциденты, уже создана, поэтому формирование такого стандарта станет логическим шагом для дальнейшего развития ГосСОПКА".
По оценке директора по маркетингу и коммуникациям ООО "Ракета" Дарьи Зубрицкой, появление универсальных стандартов вполне возможно, в том числе и в текущем году: "Базовые принципы обеспечения информационной безопасности одинаковы для различных категорий компаний. Тем более сейчас инфраструктура промышленных компаний все меньше и меньше отличается от инфраструктур ИТ-компаний. При этом сейчас государство все больше и больше обращает внимание на обеспечение информационной безопасности, и появление такого стандарта может положительно повлиять на общий уровень обеспечения кибербезопасности у нас в стране".
Также, по мнению Дарьи Зубрицкой, не стоит забывать и существующие стандарты, в частности, ISO 27001: "Внедрение данного стандарта в компании позволяет повысить общий уровень безопасности данных, вне зависимости от того, какая компания его имплементирует. Такой стандарт безопасности используется и в России. Например, наша платформа сертифицирована как раз по нему и успешно использует данный стандарт для защиты данных".
Ведущий консультант по ИБ Aktiv.Consulting (компания "Актив") Александр Моисеев считает, что есть общепризнанный "золотой стандарт" - это ISO 27001 и его гармонизированные варианты, определяющие типовые контроли безопасности, которые вполне "работоспособны". По его мнению, появление универсальных стандартов для ИТ и промышленных систем маловероятно, так как они имеют определенные отличия прежде всего в плоскости целей и задач бизнеса: "Промышленные системы более консервативны и обладают требованиями к функциональной и промышленной безопасности. Однако уже в 2023 г. ожидается гармонизация международного стандарта ИБ промышленной автоматики для одной из отраслей промышленности (подробности под NDA), который будет содержать объемный перечень контролей ИБ".
Эксперт по информационной безопасности компании Axenix (бывшая Accenture) Евгений Качуров считает, что универсальные стандарты в части ИБ могут строиться исключительно на риск-ориентированном подходе: "Хорошим примером является ISO 27001. Конечно, этот стандарт устанавливает верхнеуровневые требования к ИБ, а детальные технические или организационные меры каждая компания должна выбирать самостоятельно, на основе рисков".
Эксперт Kaspersky ICS CERT Владимир Дащенко считает, что универсальных в полном смысле этого слова стандартов ждать все же не стоит: "Общие требования по обеспечению безопасности систем, включая IT и АСУ ТП, в различных отраслях промышленности существуют. К ним относятся подзаконные акты 187 Федерального закона "О безопасности критической информационной инфраструктуры РФ" (235-й и 239-й приказы ФСТЭК России). В части международных стандартов можно выделить серию ИСО/МЭК 27000 - для IT; серию МЭК 62443 - для общепромышленных АСУ ТП; МЭК 62445, 2859, 63096 - АСУ ТП АЭС. Указанные стандарты имеют достаточно обширное апробирование инженерной практикой. Тут следует учитывать, что практическое обеспечение кибербезопасности систем различного назначения сильно зависит от контекста и специфических свойств самого объекта. Так, сейчас ведется активная работа в международных сообществах по формированию стандартов по защите промышленного интернета вещей. Так что ожидать регулярный выход новых стандартов и обновление существующих можно и в этом году, и в последующих, однако универсальных стандартов для всех систем различного назначения ожидать не стоит".
Руководитель направления безопасности критической инфраструктуры Softline Захар Пожидаев также полагает, что универсальной пилюли, способной решить сразу все проблемы с информационной безопасностью в стране, не существует. Но при этом существует успешная практика внедрения отраслевых стандартов: "Работоспособность подобных стандартов зависит от степени их проработанности и поддержки на местах. В целом работающий отраслевой стандарт позволяет выстроить вертикаль безопасности в отрасли, а также взять под контроль закупки в части ИБ. Хоть данный подход и может привести к снижению конкуренции в части используемых мер и средств защиты информации, он также дает гибкость в управлении информационной безопасностью отрасли и позволяет быстрее реагировать на изменения в законодательстве. Как ИТ, так и промышленные системы в основном требуют частного подхода к информационной безопасности, поскольку он используется и в создании самих этих систем. В широком смысле информационная безопасность ИТ и промышленных систем подчинена федеральным законам, а в более узком - возможно использование стандартов уровня отрасли, холдинга и т.д.".
По мнению независимого эксперта в области ИТ и телекома Вадима Плесского, стандарт не имеет смысла, если его никто или мало кто использует. Также возможны разного рода коллизии, учитывая то обстоятельство, что значительная часть российских систем базируется на открытом коде: "Возьмем для примера Linux, на базе которого построено множество средств защиты, как программных, так и программно-аппаратных. "Органом по стандартизации" является Линус Торвальдс, "добровольный диктатор" ядра Linux. Зная характер Линуса, можно предположить, что он скажет/покажет чиновникам, которые захотят "стандартизировать" его работу. Вендорам по-прежнему надо будет подстраиваться под развитие ядра Linux, а не наоборот".