© 1995-2023 Компания «Инфосистемы Джет»
Типовые подходы и решения по защите информации АСУ ТП
Информационная безопасность Информационная безопасность

Типовые подходы защиты информации АСУ ТП это не столько технические средства защиты, сколько правильное процессы

Главная>Информационная безопасность>Типовые подходы к защите информации АСУ ТП
Информационная безопасность Тема номера

Типовые подходы к защите информации АСУ ТП

20.12.2016

Посетителей: 876

Просмотров: 804

Время просмотра: 2.3

Авторы

Спикер
Алексей Петухов Менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity в РФ и Средней Азии, «Лаборатория Касперского»
Обеспечение информационной безопасности АСУ ТП – узкоспециализированная сфера. Компания «Инфосистемы Джет» занимается этой тематикой уже более 5 лет и выполнила десятки проектов по защите различных автоматизированных систем: ABB, Emerson, Октопус, Wonderware Intouch, Siemens WinCC, Текон, Пилот, Квинт, АМАКС, OMRON, Yokogawa, Bentley, Honeywell и многих других. И даже если производители АСУ ТП повторялись, у разных предприятий набор применяемых мер и технических средств защиты был различный.

 

Каждый раз на новом объекте мы встречаем системы со своей спецификой, которая выражается в подходах к производственным процессам, требованиям к ним и условиям эксплуатации. Но несмотря на уникальность настроек каждой системы и отсутствие однозначных государственных требований что и как защищать мы смогли сформировать свой комплексный подход к обеспечению информационной безопасности. Наш подход позволяет оперативно обеспечить минимально необходимую защиту и определять вектор дальнейших работ по защите АСУ ТП. Он включает три основных блока: разработку стратегии и оптимизацию процессов ИБ, внедрение технических решений и подготовку кадров, причем каждый из них может быть использован в любой последовательности или параллельно. Рассмотрим каждый блок подробнее.

Блок «Разработка стратегии и оптимизация процессов ИБ».

 

Зачастую мы сталкиваемся с тем, что объем работ так масштабен, что не видно конца и края. И если делать все одновременно, не хватит ни денег, ни ресурсов. Поэтому в первую очередь необходимо определить, что критично для предприятия на данном этапе развития, в средне- и долгосрочной перспективе (рис. 1). Изучая производственные бизнес-процессы предприятия и его ИТ-инфраструктуру, мы формируем программы по информационной безопасности, которые позволят спланировать оптимальные работы для предприятия. В рамках стратегии мы помогаем структурировать и спланировать состав и последовательность работ, а также определить показатели их эффективности. Сюда же может входить разработка документов и выстраивание процессов ИБ.

 

С точки зрения планирования затрат и ресурсов, т.е. бизнеса, это очень важный блок.

 

Рисунок 1. Разработка стратегии информационной безопасности

 

 

 

Блок «Внедрение решений по обеспечению информационной безопасности и соответствующих процессов».

 

Здесь стоит понимать, что выбор решений, которые будут обеспечивать ИБ АСУ ТП – деликатная задача. В большинстве случаев требуется проверить корректность работы средства защиты информации по отношению к конкретной программе автоматизации и версиям контроллеров. Поэтому до начала работ по проектированию решений необходимо провести тестирование и определить перечень средств защиты информации, с которыми дальнейшая работа возможна в принципе.

 

Но это не значит, что каждый раз нужно начинать работу с нуля. Мы сформировали типовые подходы к ИБ АСУ ТП, которые позволяют понять минимальный набор мер и оценить порядок стоимости проекта. Как правило, именно в части технических мер защиты применяется весьма небольшой перечень решений, которые позволяют противодействовать основным угрозам. В обобщенном случае это:

 

  • авторизация и контроль действий пользователей;
  • ограничение возможностей нерегламентированного использования ресурсов:

 

  1. рабочих станций;
  2. серверов;
  3. баз данных;
  4. сетевых устройств;

 

  • обеспечение защищенного периметра сети АСУ ТП и разграничение прав пользователей внутри;
  • обеспечение безопасного удаленного доступа;
  • защита рабочих станций;
  • резервирование;
  • анализ защищенности и управление информационной безопасностью.

 

Отдельно хочу отметить, что в рамках внедрения решений по обеспечению ИБ АСУ ТП зачастую создается центр управления информационной безопасностью предприятия. Внедрение технических решений по защите АСУ ТП, данные с которых не собираются, не анализируются и не коррелируются, не дают значительного эффекта. Необходимо оперативно получать информацию о происходящих событиях, автоматически формировать план действий по устранению угроз, распределять задачи и отслеживать работы над ними. О многофункциональности задач, решаемых с помощью центра управления информационной безопасностью, речь пойдет в отдельной статье данного номера Jet Info.

 

Блок «Подготовка кадров».

 

Для предотвращения киберугроз нужны тренировки. Важно отрабатывать действия всех сотрудников предприятия по аналогии с обеспечением пожарной или промышленной безопасности. Каждый сотрудник, который работает за компьютером, с интерфейсом «человек–машина» или контроллером, должен проходить эту тренировку. Естественно, для каждой специальности нужно разрабатывать свою программу тренировки. Например, для обслуживающего персонала это может быть отработка ситуации по выявлению вредоносного ПО.

 

Для того чтобы тренировать сотни человек в год из различных подразделений и иметь хорошо подготовленных специалистов по ИБ, в мире практикуется создание центров подготовки кадров по противодействию киберугрозам. Формат центра определяется индивидуально. Как минимум можно создать стенд, на котором будут отрабатываться различные ситуации. На одном стенде могут тестироваться технические средства защиты информации и проводиться киберучения.

 

Наша практика показала, что использование классических способов обучения персонала путем принудительного изучения многочисленных регламентов неэффективно. Сотрудники читают документ, ставят подпись об ознакомлении и моментально все забывают. Да, теперь они несут ответственность за выполнение регламента, но во время ЧП предприятию от этого легче не будет. Проведение очного обучения в формате презентации с последующим тестированием более эффективно, но не всегда возможно. Очень хорошо себя зарекомендовало интерактивное обучение в формате игры. Сотрудник выполняет задания, отвечает на тестовые вопросы, зарабатывает баллы, проходит через различные нештатные ситуации. Информация, поданная в таком виде, запоминается отлично, а сотрудники не отлынивают от обучения. Для напоминания правил безопасности АСУ ТП можно использовать проверенный временем формат информационного плаката, но поместить его не только на стену, но и делать почтовые рассылки, использовать как заставку сохранения рабочего стола (screensaver). Тогда каждый компьютер во время простоя становится информационным стендом.

 

Вышеописанные типовые подходы ИБ АСУ ТП позволяют предварительно определять пути достижения целей. Вместе с тем каждый проект требует глубокого первичного изучения предприятия, так как организационно-штатная структура, повседневная работа подразделений и взаимоотношения между ними очень индивидуальны. ИБ АСУ ТП это не столько технические средства защиты информации, сколько правильно выстроенные процессы и грамотно подготовленные сотрудники.

 

На момент подготовки публикации Алексей Петухов работал руководителем направления обеспечения информационной безопасности АСУ ТП компании «Инфосистемы Джет»

Уведомления об обновлении тем – в вашей почте

Не наКЛИКать бы беды, или Немного о защите АСУ ТП

Впоследнем фильме Бондианы главный злодей – это не просто преступник, минирующий мосты, взрывающий космические корабли лазером и мечтающий ограбить Всемирный банк

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Обеспечение ИБ АСУ ТП: взгляд изнутри

Роман Попов делится своим практическим опытом процесса построения информационной безопасности АСУ ТП в ПАО «Юнипро»

Топ вопросов по ИБ АСУ ТП

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

Информационно-аналитические системы, или Чем думает центр управления безопасностью

Мозгом любого ситуационного центра является ИАС, позволяющая управлять информационно-технической безопасностью

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня