.PNG)
Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения: 7 объектов КИИ и SIEM KUMA
Категорирование 7 объектов КИИ оборонно-промышленного предприятия, внедрение SIEM KUMA, сканера RedCheck и решений UserGate. Интеграция нестандартных источников и подключение к ГосСОПКА.
Коротко
- — Год 2023, предприятие ОПК энергетического машиностроения с долгосрочным сотрудничеством с КРЕДО-С.
- — Категорировано 7 объектов КИИ, спроектирована СБЗОКИИ, внедрено 7 продуктов: KUMA, RedCheck, UserGate.
- — Интеграция нестандартных источников в KUMA выполнена силами экспертов КРЕДО-С; обеспечено подключение к ГосСОПКА.
Задача
Предприятие энергетического машиностроения, относящееся к оборонно-промышленному комплексу Российской Федерации. Как оборонно-промышленному предприятию, заказчику важно обеспечить комплексную защиту информационных систем и объектов критической инфраструктуры. Для решения этой задачи компания много лет сотрудничает с «КРЕДО-С».
В 2023 году перед предприятием встала задача усилить существующую систему информационной безопасности — минимизировать угрозы, ускорить реакцию на инциденты и выполнить требования регуляторов, включая оперативную передачу информации в ГосСОПКА.
Этот кейс для вас, если…
- Вы — субъект КИИ в оборонной, промышленной или энергетической отрасли и готовитесь к категорированию или его актуализации.
- Нужен SIEM для централизованного мониторинга событий КИИ с последующей передачей инцидентов в ГосСОПКА.
- В инфраструктуре есть нестандартные источники данных, которые «из коробки» не поддерживаются большинством SIEM.
- Хотите перейти от реактивного реагирования к проактивному выявлению угроз на значимых объектах КИИ.
- Планируете поэтапное масштабирование системы ИБ на всё предприятие.
КИИ + SIEM: как строится мониторинг значимых объектов
Защита значимых объектов КИИ по 187-ФЗ не ограничивается документами и СЗИ — ключевое требование Приказа ФСТЭК №239 — обнаружение компьютерных атак и реагирование на них. SIEM (Security Information and Event Management) — технологическая основа для выполнения этого требования: централизованный сбор событий, корреляция и выявление подозрительной активности.
KUMA (Kaspersky Unified Monitoring and Analysis) — отечественный SIEM класса enterprise, включённый в реестр Минцифры. Для предприятий ОПК важно: KUMA разработана российским вендором, прошла необходимые сертификации и активно применяется в крупных промышленных проектах. Подключение к ГосСОПКА поддерживается нативно.
Нестандартные источники событий — типичная сложность промышленных проектов. Производственные системы, специализированные SCADA-компоненты, устаревшие АСУ ТП передают события в форматах, которые SIEM не поддерживает «из коробки». Написание кастомных коннекторов и нормализаторов требует экспертизы как в KUMA, так и в протоколах источников.
Этапность — принцип успешных крупных КИИ-проектов: сначала категорирование (понимание приоритетов), затем проектирование СБЗОКИИ (архитектура защиты), потом поэтапное внедрение СЗИ. Такой подход позволяет управлять бюджетом и рисками, а не вкладывать всё сразу.
Решение
На первом этапе проведено комплексное обследование инфраструктуры и категорирование семи объектов КИИ в соответствии с 187-ФЗ, затем приступили к проектированию Системы безопасности значимых объектов КИИ (СБЗОКИИ). В рамках построения СБЗОКИИ внедрена система оперативного мониторинга: SIEM KUMA, сканер RedCheck и решения UserGate. В несколько этапов было внедрено 7 продуктов.
Особенность проекта: интеграция KUMA предполагала подключение источников, не поддерживаемых из «коробки», что потребовало глубокой экспертизы. Эксперты КРЕДО-С изучили бизнес-процессы заказчика и успешно завершили интеграцию.
Технологический стек СБЗОКИИ: 7 продуктов на 7 объектах КИИ
Система безопасности значимых объектов КИИ построена на отечественных и сертифицированных продуктах. Описание — по публичным данным вендоров.
SIEM KUMA (Kaspersky Unified Monitoring and Analysis)
Централизованный сбор, нормализация и корреляция событий ИБ со всех источников. Выявление аномалий и признаков компьютерных атак на узлах значимых объектов КИИ. Интеграция с ГосСОПКА для передачи данных об инцидентах.
RedCheck (сканер анализа защищённости)
Отечественный сканер уязвимостей ИТ-инфраструктуры с проверкой на соответствие требованиям ФСТЭК и БДУ. Периодическая инвентаризация и сканирование узлов значимых объектов КИИ для выявления незакрытых уязвимостей.
Решения UserGate
Отечественный комплекс сетевой безопасности: межсетевое экранирование, контроль трафика, веб-фильтрация, контроль доступа. Обеспечивает сегментацию сети и контроль на периметре значимых объектов КИИ.
Кастомные коннекторы для KUMA
Разработка интеграций для нестандартных источников событий — производственных и специализированных систем, не поддерживаемых KUMA из «коробки». Потребовала глубокой экспертизы команды КРЕДО-С в архитектуре KUMA и протоколах источников.
Интеграция с ГосСОПКА
Настройка автоматической передачи данных об инцидентах в НКЦКИ в соответствии с требованиями 187-ФЗ и Приказа ФСТЭК №239.
Описание продуктов — по публичным данным вендоров. Конкретные параметры развёртывания у заказчика не раскрываются.
Результаты
Проведено категорирование 7 объектов КИИ и спроектирована СБЗОКИИ в соответствии с 187-ФЗ
Внедрено 7 продуктов ИБ: SIEM KUMA, сканер RedCheck, решения UserGate и другие
Система непрерывно отслеживает события, выявляет аномалии и формирует оповещения на узлах значимых объектов КИИ
Скорость реакции на инциденты увеличилась, общий уровень ИБ повысился
В планах — масштабировать проект на всё предприятие и выполнить работы по 152-ФЗ
Обеспечена готовность к расчёту показателя КЗИ по приказу ФСТЭК №117
Категорируйте КИИ и внедрите SIEM в рамках единого проекта
Регуляторный контекст: КИИ ОПК и 187-ФЗ
Предприятие ОПК энергетического машиностроения — субъект КИИ с обязанностями по нескольким федеральным законам.
187-ФЗ «О безопасности КИИ»
Действует с 01.01.2018Обязывает субъектов КИИ категорировать объекты, создавать системы безопасности, подключиться к ГосСОПКА и передавать сведения об инцидентах. Ответственность — вплоть до уголовной.
Приказ ФСТЭК России № 239
Требования по обеспечению безопасности значимых объектов КИИ. Обязывает реализовать меры по обнаружению атак и реагированию — что и обеспечивает SIEM-компонент СБЗОКИИ.
Постановление Правительства РФ № 127
Правила категорирования объектов КИИ: критерии, перечень показателей, порядок передачи сведений во ФСТЭК.
Приказ ФСТЭК России № 17
Требования к защите государственных ИС — применимо к ИС предприятия ОПК, работающим с государственными заказами.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика расчёта показателя КЗИ. SIEM-мониторинг — ключевой фактор обеспечения требуемого уровня защищённости.
Соответствие нормативным требованиям подтверждается по результатам аудита уполномоченной организацией.
Угрозы предприятиям ОПК: целевые атаки на промышленность
Оборонно-промышленные предприятия — приоритетная цель для государственных хакерских групп, промышленного шпионажа и кибераналогов диверсий.
- Целевые атаки на ОПК направлены на: кражу конструкторской документации и результатов НИОКР, нарушение производственных процессов (простой оборудования, брак продукции), компрометацию систем с государственной тайной, атаки через цепочки поставок.
- Рост числа атак на промышленные предприятия фиксируется ежегодно: переход к дистанционному управлению и цифровизация производства расширяют поверхность атаки при сохранении legacy-инфраструктуры, которую невозможно быстро заменить.
- Характерные техники атак на предприятия ОПК: адресный фишинг на сотрудников, компрометация цепочки поставок, горизонтальное перемещение через удалённые службы, скрытый вывод данных, целенаправленный вывод оборудования из строя для срыва производства.
- SIEM — первая линия обороны: непрерывный мониторинг событий позволяет выявить признаки атаки на ранней стадии — до перехода злоумышленника к деструктивной фазе. Без SIEM среднее время обнаружения атаки на ОПК — несколько месяцев.
Источники:
- — Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
- — Банк данных угроз ФСТЭК России (БДУ) — реестр актуальных уязвимостей промышленного ПО.
- — Positive Technologies — аналитика атак на промышленные и ОПК-предприятия России.
- — Kaspersky ICS-CERT — отчёты по угрозам промышленным системам управления.
Частые вопросы
Почему для КИИ ОПК выбирают KUMA, а не другие SIEM?
KUMA (Kaspersky Unified Monitoring and Analysis) — российская разработка, включённая в реестр Минцифры, с нативной поддержкой отечественных источников данных и интеграцией с ГосСОПКА. Для объектов КИИ ОПК принципиально важно использование сертифицированных российских продуктов. KUMA имеет опыт внедрений на промышленных предприятиях и среди субъектов КИИ.
Что значит «нестандартные источники» и почему это сложно?
Большинство SIEM поддерживают популярные коммерческие и open-source системы «из коробки» (Windows EventLog, Syslog, Cisco, etc.). Промышленные предприятия используют специализированные SCADA, отечественные АСУ ТП, производственные системы с нестандартными форматами логов. Для их подключения требуется разработка кастомных нормализаторов и коннекторов — задача, требующая понимания как SIEM-платформы, так и конкретного источника.
Как RedCheck помогает поддерживать защищённость объектов КИИ?
RedCheck — отечественный сканер уязвимостей, сертифицированный по требованиям ФСТЭК и работающий с БДУ. Для объектов КИИ: периодическое сканирование выявляет новые CVE, проверяет конфигурации на соответствие требованиям Приказа №239, формирует отчёты для регулятора. Интеграция с KUMA позволяет обогащать события SIEM данными об уязвимостях конкретных хостов.
Как КРЕДО-С обеспечивает передачу данных в ГосСОПКА?
КРЕДО-С обеспечивает передачу данных об инцидентах в ГосСОПКА/НКЦКИ в рамках 187-ФЗ. В проекте настраивается интеграция KUMA с НКЦКИ: при выявлении инцидента SIEM автоматически формирует уведомление в требуемом формате. КРЕДО-С сопровождает процесс: от технической настройки до регламентов взаимодействия.
Что значит «масштабирование на всё предприятие» и когда его делать?
Первый этап охватил значимые объекты КИИ — приоритет по 187-ФЗ. Масштабирование — распространение системы мониторинга (KUMA) на все ИС предприятия: административные, производственные, вспомогательные. Это расширяет видимость угроз и позволяет выявлять атаки на ранних стадиях, до перехода к объектам КИИ.
Сколько стоит внедрение SIEM и защита КИИ для промышленного предприятия?
Стоимость складывается из нескольких составляющих: лицензии на SIEM и СЗИ, работы по категорированию и проектированию СБЗОКИИ, внедрение и интеграция продуктов. Оценка формируется по результатам предпроектного обследования — оставьте заявку для начала.
Смежные задачи, с которыми помогаем
Задействованные услуги
Другие проекты
Защита КИИ и АСУ ТП химического предприятия: 6 этапов по 187-ФЗ и Приказу ФСТЭК №31
Комплексная защита КИИ и АСУ ТП химического предприятия по 187-ФЗ и Приказу ФСТЭК №31: аудит, класс защищённости, модель угроз, проектирование и внедрение Kaspersky, Secret Net Studio, Check Point, Кибер Бэкап.
- Обеспечена защита промышленной сети предприятия согласно 187-ФЗ и Приказу ФСТЭК № 31
- Определён класс защищённости АСУ ТП, разработана модель угроз
- Внедрены сертифицированные СЗИ: Kaspersky, Secret Net Studio, Check Point, «Кибер Бэкап»
Защита объектов КИИ международного аэропорта: актуализация категорий и проектирование СБЗОКИИ
Актуализация категорий значимых объектов КИИ и разработка систем безопасности одного из крупнейших международных аэропортов Москвы — в сжатые сроки в условиях актуальных угроз.
- Актуализированы сведения о категориях значимых объектов КИИ аэропорта с учётом текущих реалий ИБ
- Разработана организационная и проектная документация на системы безопасности объектов КИИ
- Заказчик получил документацию для внедрения организационных и технических мер с учётом особенностей объектов КИИ
SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.
- За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
- Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
- Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение