Информационная безопасность ключевых систем информационной инфраструктуры (ИБ КСИИ)

Материал из Information Security
Перейти к: навигация, поиск

"Обеспечение информационной безопасности в ключевых системах информационной инфраструктуры. От теории к практике."

ОАО «СО ЕЭС» выполняет функции оперативного диспетчерского управления и как таковых АСУ ТП не имеет, однако, участвует в управлении критически важными объектами. В статье представлен результат анализа требований ФСТЭК России , накопленный опыт и рекомендации по обеспечению информационной безопасности ключевых систем информационной инфраструктуры (КСИИ) , который будет полезен организациям, приступающим к защите АСУ ТП.

Введение

Процесс обеспечения информационной безопасности (ИБ) автоматизированных систем управления технологическим процессом (АСУ ТП) исторически воспринимался технологами как попытка влезть в их сферу деятельности и нарушить работу АСУ ТП. Попытки обосновать свою деятельности пресекались вопросом: «Покажите где это написано!» и зачастую, на этом и останавливались. Вместе с тем вопросы информационной безопасности и безопасности в целом становились актуальными после происходящих инцидентов, приводящих к катастрофам и человеческим жертвам. Так, необходимость пересмотра вопросов технологической безопасности стала понятна после происшествий на Саяно-Шушенской ГЭС. Осуществленный теракт на Баксанской ГЭС ускорил разработку и принятия отраслевого федерального закона по безопасности, в котором требования повышения информационной безопасности отражены слишком кратко. Особое внимание на вопросы информационной безопасности, вероятно, заставят обратить внимание последствия какой-либо масштабной кибератаки на АСУ ТП. Так или иначе вышел Федеральный закон 256-ФЗ от 21.07.2011г. «О безопасности объектов топливно-энергетического комплекса». Закон в основном направлен на вопросы антитеррористической защищенности, но содержит статью 11 в которой затронуты вопросы информационной безопасности: «1. В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерного доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.» К сожалению, подзаконных актов, регламентирующих «как» нужно защищать АСУ ТП объектов ТЭК так и не вышло, но федерального закона оказалось достаточно, чтобы проводить плановые работы по повышению ИБ АСУ ТП. Анализ нормативной документации показал, что регуляторами еще до выхода закона разработаны документы, руководствуюсь которыми можно повысить информационную безопасность АСУ ТП в целом. При детальном анализе документа, утвержденного Советом Безопасности Российской Федерации в 2005 году «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», и пакета документов ФСТЭК России по обеспечению ИБ в КСИИ, утвержденных в 2007 году, был сделан вывод, что среди систем, относящихся к КСИИ упоминаются системы, относящиеся к отрасли электроэнергетики и это в первую очередь АСУ ТП. Таким образом, требования ФСТЭК России по обеспечению ИБ КСИИ применимы для повышения ИБ в АСУ ТП.

Мероприятия по защите КСИИ

Мероприятия по защите КСИИ начинаются с ответов на вопросы для себя: является ли объект КСИИ, к какому уровню важности относится КСИИ и в соответствии с какими документами необходимо обеспечивать его защиту. При отнесении объекта к КСИИ, рекомендуется утвердить документ (например: акт классификации). Такой документ станет основополагающим как для планирования мероприятий по защите КСИИ, так и для контролирующих органов при проведении проверок. Последовательность мероприятий по защите КСИИ можно представить в виде следующих этапов:

  • обследование текущего состояния информационной безопасности;
  • моделирование угроз;
  • разработка специальных технических требований (СТТ) по обеспечению безопасности информации;
  • разработка и реализация проекта защиты;
  • оценка соответствия защиты требованиям для КСИИ.

При реализации мероприятий рекомендуется пользоваться услугами внешних специализированных организации по нескольким причинам. Во-первых, внешняя организация должна обладать необходимыми лицензиями и компетенциями для проведения работ. Во-вторых, внешняя организация даст непредвзятую оценку текущего положения дел по ИБ. В-третьих, как показывает практика, работники проверяемых подразделений охотнее отвечают на вопросы внешних проверяющих, чем на вопросы собственных сотрудников. К документам, разрабатываемым в ходе проекта, рекомендуется ограничивать доступ и, соответственно, обеспечивать их конфиденциальность.

Обследование текущего состояния ИБ

При проведении обследования необходимо определить объекты обследования (например: объекты обследования на предмет КСИИ могут располагаться не во всех зданиях организации или при наличии в организации нескольких филиалов, не во всех филиалах) и согласовать состав и формат результирующего отчета. Рекомендуется указать, по какой методике проводится обследование и на соответствие чему проводятся проверка во время обследования. Отчет должен содержать анализ структуры КСИИ и примерное описание работы технологического процесса, а так же анализ текущих мероприятий по защите информации в КСИИ. В заключении отчета должны быть выводы по правильности классификации КСИИ, основные выявленные несоответствия и даны предложения по последующим мероприятиям. Результирующий отчет должен быть досконально изучен и согласован с проверяемыми подразделениями. Какой бы уважаемой внешняя организация ни была и какие бы квалифицированные эксперты в ней не работали, в отчете могут присутствовать расхождения предоставленной и интерпретированной информации (например: к КСИИ могут быть отнесены информационные системы, которые таковыми не являются, или могут быть сделаны ошибочные выводы о функциональности АСУ ТП).

Моделирование угроз

Моделирование угроз рекомендуется выполнять в соответствии с документами «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (Утверждены заместителем председателя ФСТЭК России 18.05.2007г.). При проведении моделирования угроз, обязательно стоит сконцентрировать внимание на том, что в таких АСУ ТП, как КСИИ, передается информация в реальном режиме времени и основные требования к ней будут – доступность (обеспечение беспрепятственного доступа) и целостность (избежание несанкционированной модификации), в то время как требований по конфиденциальности (избежание несанкционированного разглашения) может и не быть вовсе. Модель угроз должна содержать анализ наличия вероятных нарушителей безопасности информации в АСУ ТП, рисков, актуальных угроз безопасности информации и последствий которые могу наступить в случае реализации угроз. Результатом моделирования угроз так же являются выводы об отнесении АСУ ТП к КСИИ одного из сегментов информационной и телекоммуникационной инфраструктуре России и определение уровня ее важности.

Разработка СТТ

Для организации защиты АСУ ТП, как КСИИ рекомендуется разработать специальные технические требования (СТТ). В документе должны быть отражены требования, актуальные именно для установленного уровня важности КСИИ (класса). При составлении требований должны быть учтены результаты проведения обследования текущего состояния ИБ и результаты моделирования угроз. Формирование СТТ рекомендуется выполнять в соответствии с документами «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (Утверждены заместителем председателя ФСТЭК России 18.05.2007г.), «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (Утверждены заместителем председателя ФСТЭК России 19.11.2007г.). Разработанные СТТ по обеспечению ИБ, целесообразно направить на экспертизу в профильное подразделение ФСТЭК России. Это позволит с одной стороны провести самопроверку, насколько были правильно восприняты и применены требования ФСТЭК России, с другой стороны, при проведении проверок контролирующими органами, согласованные СТТ будут весомым аргументом того, что организация защиты АСУ ТП, строится в соответствии с требованиями ФСТЭК России к КСИИ.

Разработка и реализация проекта защиты

Проект защиты АСУ ТП должен отражать перечень организационных и технических мер, которые должны быть реализованы для выполнения СТТ по ИБ. Проект должен быть утвержден и стать основой для построения системы обеспечения информационной безопасности АСУ ТП и инвестиционного планирования общества по вопросам обеспечения безопасности КСИИ.

Оценка соответствия

Для оценки соответствия реализованной защиты, планируемому уровню ИБ, целесообразно проводить аттестацию АСУ ТП, как объекта информатизации. Аттестацию имеет право проводить организация, имеющая лицензию ФСТЭК России на данный вид деятельности. По результатам оценки выдается аттестат соответствия. Весь срок реализации мероприятий по защите АСУ ТП, как КСИИ может составить два-три года. Переходя от теории к практике, рассмотрим основные требования по защите информации в КСИИ.

Требования по защите информации

Требование по защите информации в КСИИ можно сгруппировать по нескольким направлениям:

  • Защита от несанкционированного доступа
    • Управление доступом
    • Регистрация и учет
    • Обеспечение целостности
  • Антивирусная защита
  • Безопасность межсетевого взаимодействия
  • Обнаружения вторжений
  • Анализа защищенности
  • Контроль отсутствия НДВ

При формулировании специальных технических требований (СТТ) по ИБ для КСИИ должны быть приняты к сведению результаты обследования текущего состояния ИБ. По результатам формулирования требований должно стать понятно, какие требования уже закрываются в организации, какие системы внедрены и могут быть использованы для выполнения требований по КСИИ, какие системы нужно модернизировать, какие – внедрять заново. Стоит обратить внимание, что для обеспечения (повышения) доступности АСУ ТП, необходимо применять принципы дублирования (например: каналов связи) и горячего резервирования (сетевого оборудования, серверов).

Защита информации в КСИИ

Защита от несанкционированного доступа

Защита от несанкционированного доступа (НСД) состоит из нескольких задач, которые могут быть реализованы отдельными подсистемами, или уже быть учтены в других системах. Подсистема управления доступом (ПУД) должна осуществлять идентификацию, проверку подлинности и контроль доступа субъектов в систему, к устройствам, программам, файлам и т.д. в зависимости от класса защищаемой АСУ ТП. Такая проверка осуществляется механизмами аутентификации с использованием паролей, сертификатов, биометрии, карт доступа и т.д. Чем сложнее и важнее информационная система, тем более могут ужесточаться требования по управлению доступом. Подсистема регистрации и учета (ПРУ) должна осуществлять контроль входа/выхода субъектов в/из защищаемой автоматизированной системы. Это подсистема журналирования, которая, в зависимости от сложности поставленных задач, может вести журналы от входа и выхода пользователей в систему в самых простых случаях, до подробного журналирования всех действий всех субъектов информационного взаимодействия с информацией (добавление, удаление, изменение просмотр, печать и т.д.). Подсистема обеспечения целостности (ПОЦ) должна обеспечивать целостность программных средств защиты информации, самой обрабатываемой информации, а также неизменность программной среды. Целостность обычно проверяется при загрузке операционной или информационной системы путем сравнения контрольных сумм (CRC) программ и информации в самых простых случаях. К более серьезным системам разрабатываются требования по оперативному контролю и воздействию на безопасность АС, периодическому тестированию функций защиты с помощью специальных программных средств, наличию автоматических средства восстановления при сбоях. Это особенно актуально для систем, для которых сложно обеспечить физическую защиту от вмешательства и оперативный выезд специалиста. Перечисленные подсистемы ПУД, ПРУ, ПОЦ, в зависимости от требований по информационной безопасности к информационным системам, могут быть реализованы:

  • средствами операционной системы (ОС);
  • специализированными средствами защиты информации;
  • встроенными средствами АСУ ТП, путем приведения ее в соответствие требованиям руководящих документов.

У каждого метода реализации есть свои «подводные камни». При обеспечении защиты от НСД средствами сертифицированной ОС, параметры ОС необходимо настроить в соответствии с требованиями/рекомендациями руководящих документов, но требования к настройке могут быть такие, что КСИИ не будет работать. Кроме того, в связи с постоянным ростом уязвимостей, ОС необходимо периодически обновлять, а значит сертификат на ОС после обновления будет не действительным. При обеспечении защиты от НСД наложенными средствами, могут возникнуть проблемы обеспечения работоспособности КСИИ в режиме реального времени, так как в настоящий момент на рынке присутствуют наложенные средства адаптированные для защиты государственной тайны и конфиденциальной информации, которые не учитывают особенности работы систем реального времени (не в должной мере обеспечивают доступность, зачастую ложно срабатывают функции доступа – тем самым становятся местом сбоя, который может повлиять на работоспособность АСУ ТП). При обеспечении защиты от НСД средствами АСУ ТП необходимо проводить доработку ПО и сертификацию. На текущий момент требования к сертификации средств защиты избыточны для ПО АСУ ТП и поэтому трудно реализуемы (например присутствуют требования: по очистке памяти, не смотря на то, что конфиденциальной информации в АСУ ТП, как КСИИ может не быть; применение дискреционного и мандатного доступа, а не ролевого; запрещение использования идентификации/аутентификации средствами ОС). Вместе с тем, современное ПО для АСУ ТП может использовать методы аутентификации и авторизации смежных систем (например: аутентификации с использованием Active Directory, хранения правил авторизации в СУБД SQL), при этом смежные системы могут быть не сертифицированными и их сертификация экономически не целесообразна. Для встроенных а АСУ ТП средств защиты от НСД необходимо проводить сертификацию специализированной лабораторией, аттестованной и по выданному решению ФСТЭК России. Таким образом, для выбора метода реализации защиты от НСД, необходимо учитывать много факторов и, в первую очередь, требования конкретной КСИИ по доступности.

Антивирусная защита

Трудно представить организацию, в которой не использовались бы средства антивирусной защиты, но в КСИИ есть свои нюансы. Подсистема антивирусной защиты – комплекс программно-аппаратных средств для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Для организации, имеющей доступ в сеть Интернет, рекомендуется создание эшелонированной антивирусной защиты, где оборонительными эшелонами являются:

  • почтовые и интернет-шлюзы, проверяющие входящий трафик из сети Интернет (в том числе, и на наличие спама);
  • антивирус на почтовом сервере, проверяющий почтовые сообщения;
  • антивирус на файловых серверах, серверах приложений и баз данных;
  • антивирус на рабочих станциях и АРМ.

Непосредственно в КСИИ участвуют антивирусы на файловых серверах и на АРМ, подключенных к КСИИ. При использовании антивирусов в КСИИ существуют риски:

  • блокирования технологического ПО;
  • замедления работы технологического ПО.

Блокирование технологического ПО может происходить в случае, если сигнатура антивируса сработает на каком-нибудь из исполняемых файлов технологического ПО. Что бы такого не происходило целесообразно исключить из антивирусной проверки исполняемые модули, либо отправить исполняемые модули в антивирусную компанию для исключения модулей из детектирования антивируса (сделать «доверенными» для антивируса). Замедление работы технологического ПО происходит в моменты массовых антивирусных проверок исполняемых файлов и папок на АРМ и серверах. Что бы этого не происходило, приходится осуществлять перенос проверок системы на время «технологических окон» в работе КСИИ, исключать из проверки папки баз данных реального времени. Необходимо обратить внимание, что антивирусные решения требуют постоянного обновления сигнатур и на это необходимо планировать бюджетные средства.

Безопасность межсетевого взаимодействия

Безопасность межсетевого взаимодействия обеспечивается средствами межсетевого экранирования (МЭ). Межсетевой экран (брандмауэр, файервол) - обеспечивает защиту АСУ ТП посредством фильтрации трафика к информационному ресурсу или между сетями. МЭ обычно ставятся:

  • на границе ЛВС - для защиты от внешних угроз;
  • на границе сегмента КСИИ - для защиты от внутренних угроз.

МЭ должен быть настроен в соответствии с правилами межсетевого экранирования, принятого в организации и в соответствии с правилами, необходимыми и достаточными для работы сегмента КСИИ. Рекомендуется отделять технологический сегмент сети и КСИИ от локальной вычислительной сети организации с использованием МЭ. Для соответствия требованиям регулирующих органов, МЭ должны быть сертифицированы по классу защищенности в органах сертификации ФСТЭК России. Сертификат на МЭ выдается на три года, после чего необходимо продление сертификата, либо повторная сертификация для сертификации новой версии операционной системы или прошивки МЭ. Это необходимо учесть при планировании средств финансовых средств. При наличии несертифицированного МЭ и невозможности замены его на сертифицированный МЭ, можно провести его сертификацию с привлечением сертификационной лаборатории. Для МЭ могут периодически выходить обновления операционных систем (прошивок), которые так же могут быть платными. Необходимо обратить внимание, что в случае обновления МЭ, сертификат будет считаться не действительным. Поэтому необходимо взвесить все «за» и «против», какая угроза является наиболее актуальной – нарушение функционирования КСИИ или несоответствие сертификата требованиям регулятора. На рынке существуют недорогие МЭ с небольшой пропускной способностью, и дорогие стабильно работающие промышленные МЭ. Для КСИИ рекомендуется выбирать вторые и покупать их комплектом для настройки горячего резервирования.

Обнаружение вторжений

Обнаружение вторжений – это полностью техническая мера, которая реализуется с использованием систем обнаружения вторжений (СОВ). СОВ - программное или аппаратное средство, предназначенное для выявления и/или предотвращения несанкционированного доступа к информационным ресурсам. Компоненты СОВ более известны как IPS (Intrusion prevention system – система предотвращения вторжений) и IDS (Intrusion detection system – система обнаружения вторжений). Технически один и тот же компонент может выполнять обе роли – предотвращения и обнаружения, тогда в первом случае он ставится в разрез принимаемого трафика, а во втором случае работает с зеркальной копией трафика. Однако, стоит обратить внимание, что при установке компонентов в режиме IPS может резко снизиться доступность распределенной информационной системы. Это происходит в том случае, если изменения в системе происходят часто и не контролируются теми, кто настраивает фильтры сигнатур, а также в случае выхода новых сигнатур обнаружения вторжений. Обычно СОВ в режиме IDS подключается к порту на который зеркалируется анализируемый траффик (span-порту):

  • пограничного устройства сети организации для защиты от внешних угроз,
  • пограничного устройства сегмента КСИИ для защиты от внутренних угроз.

После покупки и первичного включения СОВ, необходимо проводить тюнинг каждого компонента СОВ, заключающегося в настройке сигнатур детектирования в соответствии с правилами работы сети. Технический квалифицированный персонал должен осуществлять мониторинг срабатывания сигнатур и проводить разборы инцидентов информационной безопасности. Сигнатурное поведение СОВ необходимо периодически подстраивать при изменении правил работы сети и защищаемых сегментов. СОВ может показать весь аномальный траффик не только по настроенным правилам работы сети, но и по сигнатурам, ежедневно обновляемым ведущими компаниями информационной безопасности. Для соответствия требованиям регулирующих органов, компоненты СОВ для КСИИ настраиваются в соответствии с профилями защиты ФСТЭК России. При планировании покупки СОВ, необходимо помнить, что для них необходимо постоянно обновлять базу сигнатур (как и для антивирусов), иначе они не смогут отслеживать актуальные угрозы. Сертифицированная СОВ и ежегодная покупка лицензии на обновление сигнатур к ней стоит достаточно дорого для средней организации.

Анализ защищенности

Анализ защищенности реализуется с использованием системы анализа защищенности (САЗ). САЗ – предназначена для контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, а также контролирует безопасность программного обеспечения. С помощью таких средств производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях. Средства сканирования уязвимостей могут функционировать на сетевом уровне, уровне операционной системы и уровне приложения. Применяя сканирующее ПО, можно составить карту доступных узлов информационной системы, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации несанкционированного доступа. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки. В САЗ присутствуют два режима анализа: режим audit и режим pentest. Для режима audit необходимы учетные записи исследуемого оборудования с правами администратора. Режим audit гарантирует, что не будет выполнено никаких деструктивных действий на проверяемом оборудовании. Результатом проверки в режиме audit является отчет, содержащий все расхождения в текущих настройках и версиях операционных систем с рекомендациями производителей и аналитиков. В режиме pentest САЗ ведет себя как хакер, подбирая учетные данные и ломая системы с использованием известных уязвимостей. Не рекомендуется проводить анализ в режиме pentest на КСИИ, введенной в промышленную эксплуатацию даже во время «технологического окна». Для режима pentest рекомендуется использовать полигон КСИИ. Некоторые САЗ представляют режим compliance – расширение позволяющее проводить аудит на соответствие собственным установленным политикам, а так же сравнивать результаты предыдущих аудитов. Таким образом, при включении САЗ рекомендуется:

  • проводить аудит для КСИИ не в автоматическом периодическом режиме, а по заявке с информированием эксплуатирующих служб;
  • тщательно выбирать оборудование для аудита и проводить аудит порциями (например: по одной заявке сетевое оборудование, по другой заявке серверное, по третьей - АРМ), это позволит сократить размер «технологического окна» и сконцентрироваться на конкретных задачах.

Квалификация персонала во многом зависит от функциональности ПО САЗ. Анализ с использованием свободно распространяемых утилит может быть сделан только квалифицированным инженером, которому можно доверить, что он ничего не забудет и не пропустить. Сертифицированное ПО стоит дорого, но с ним может справится пользователь, обладающий средней компетенцией в вопросах ИБ. При покупке ПО необходимо планировать деньги на ежегодное обновление сигнатур.

Контроль отсутствия НДВ

Для программного обеспечения, используемого при защите информации в КСИИ (в том числе, когда функции защиты информации встроены в прикладное ПО КСИИ), должен быть обеспечен определенный уровень контроля недекларируемых возможностей. Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Контроль недекларируемых возможностей осуществляется путем сертификации специализированной лабораторией, аттестованной и по выданному решению ФСТЭК России. По результатам проведения контроля выдается сертификат на ПО. Проведение сертификации несет за собой дополнительные затраты по доработке ПО, оформлению документации разработчиком в соответствии с требованием ФСТЭК России, оплату услуг сертификационной лаборатории, но затраты приемлемые. Есть несколько вариантов сертификации ПО:

  • сертификация экземпляра – целесообразно проводить тогда, когда нужно сертифицировать одно ПО для одного объекта;
  • сертификация партии – целесообразно проводить тогда, когда нужно сертифицировать одно ПО для нескольких объектов (например: филиалов);
  • сертификация производства - целесообразно проводить разработчику ПО тогда, когда ПО находится в стадии доработки и расширения постоянно.

Не смотря на кажущуюся сложность, сертификация ПО стоит приемлемых денег.

Выводы

  • Требования по защите АСУ ТП существуют. Требования не всегда выполнимы, поэтому их нужно тщательно адаптировать для своей организации, но достаточны, для того чтобы повысить информационную безопасность АСУ ТП.
  • Требования регуляторов не учитывают особенности АСУ ТП для обеспечения доступности, не учитываются текущие реалии (тесная интеграция с ОС) и новые реалии (виртуализация).
  • В организации должны быть специалисты по ИБ досконально разбирающиеся в вопросах ИБ АСУ ТП и работе АСУ. Специалисты внешней организации их заменить не смогут, могут только дополнить.
  • Применение наложенных сертифицированных средств защиты от НСД (неправильная настройка или их «ложное» срабатывание) может нарушить доступность АСУ.
  • Выполнять требования регуляторов по ИБ для готовой системы АСУ ТП достаточно дорого, поэтому необходимо учитывать требования ИБ на стадии задумки и создания АСУ ТП, это может существенное снизить затраты на ИБ при внедрении системы.
  • При реализации обеспечения ИБ присутствуют проблемы, выходящие за рамки компетенции работников ИБ: отсутствует законодательный акт, обязывающей выполнять требования по защите КСИИ, пока это только рекомендации регулятора; средства для обеспечения защиты систем стоят очень дорого и иногда сопоставимы со стоимостью самой системы, а то и выше.

Источник: Журнал Connect №9, 2013