© 1995-2021 Компания «Инфосистемы Джет»
Типовые подходы и решения по защите информации АСУ ТП
Информационная безопасность

Типовые подходы защиты информации АСУ ТП это не столько технические средства защиты, сколько правильное процессы

Информационная безопасность Тема номера

Типовые подходы к защите информации АСУ ТП

Автор
Алексей Петухов Менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity в РФ и Средней Азии, «Лаборатория Касперского»

20.12.2016

Посетителей: 300

Просмотров: 285

Время просмотра: 0

Обеспечение информационной безопасности АСУ ТП – узкоспециализированная сфера. Компания «Инфосистемы Джет» занимается этой тематикой уже более 5 лет и выполнила десятки проектов по защите различных автоматизированных систем: ABB, Emerson, Октопус, Wonderware Intouch, Siemens WinCC, Текон, Пилот, Квинт, АМАКС, OMRON, Yokogawa, Bentley, Honeywell и многих других. И даже если производители АСУ ТП повторялись, у разных предприятий набор применяемых мер и технических средств защиты был различный.

 

Каждый раз на новом объекте мы встречаем системы со своей спецификой, которая выражается в подходах к производственным процессам, требованиям к ним и условиям эксплуатации. Но несмотря на уникальность настроек каждой системы и отсутствие однозначных государственных требований что и как защищать мы смогли сформировать свой комплексный подход к обеспечению информационной безопасности. Наш подход позволяет оперативно обеспечить минимально необходимую защиту и определять вектор дальнейших работ по защите АСУ ТП. Он включает три основных блока: разработку стратегии и оптимизацию процессов ИБ, внедрение технических решений и подготовку кадров, причем каждый из них может быть использован в любой последовательности или параллельно. Рассмотрим каждый блок подробнее.

Блок «Разработка стратегии и оптимизация процессов ИБ».

 

Зачастую мы сталкиваемся с тем, что объем работ так масштабен, что не видно конца и края. И если делать все одновременно, не хватит ни денег, ни ресурсов. Поэтому в первую очередь необходимо определить, что критично для предприятия на данном этапе развития, в средне- и долгосрочной перспективе (рис. 1). Изучая производственные бизнес-процессы предприятия и его ИТ-инфраструктуру, мы формируем программы по информационной безопасности, которые позволят спланировать оптимальные работы для предприятия. В рамках стратегии мы помогаем структурировать и спланировать состав и последовательность работ, а также определить показатели их эффективности. Сюда же может входить разработка документов и выстраивание процессов ИБ.

 

С точки зрения планирования затрат и ресурсов, т.е. бизнеса, это очень важный блок.

 

Рисунок 1. Разработка стратегии информационной безопасности

 

 

 

Блок «Внедрение решений по обеспечению информационной безопасности и соответствующих процессов».

 

Здесь стоит понимать, что выбор решений, которые будут обеспечивать ИБ АСУ ТП – деликатная задача. В большинстве случаев требуется проверить корректность работы средства защиты информации по отношению к конкретной программе автоматизации и версиям контроллеров. Поэтому до начала работ по проектированию решений необходимо провести тестирование и определить перечень средств защиты информации, с которыми дальнейшая работа возможна в принципе.

 

Но это не значит, что каждый раз нужно начинать работу с нуля. Мы сформировали типовые подходы к ИБ АСУ ТП, которые позволяют понять минимальный набор мер и оценить порядок стоимости проекта. Как правило, именно в части технических мер защиты применяется весьма небольшой перечень решений, которые позволяют противодействовать основным угрозам. В обобщенном случае это:

 

  • авторизация и контроль действий пользователей;
  • ограничение возможностей нерегламентированного использования ресурсов:

 

  1. рабочих станций;
  2. серверов;
  3. баз данных;
  4. сетевых устройств;

 

  • обеспечение защищенного периметра сети АСУ ТП и разграничение прав пользователей внутри;
  • обеспечение безопасного удаленного доступа;
  • защита рабочих станций;
  • резервирование;
  • анализ защищенности и управление информационной безопасностью.

 

Отдельно хочу отметить, что в рамках внедрения решений по обеспечению ИБ АСУ ТП зачастую создается центр управления информационной безопасностью предприятия. Внедрение технических решений по защите АСУ ТП, данные с которых не собираются, не анализируются и не коррелируются, не дают значительного эффекта. Необходимо оперативно получать информацию о происходящих событиях, автоматически формировать план действий по устранению угроз, распределять задачи и отслеживать работы над ними. О многофункциональности задач, решаемых с помощью центра управления информационной безопасностью, речь пойдет в отдельной статье данного номера Jet Info.

 

Блок «Подготовка кадров».

 

Для предотвращения киберугроз нужны тренировки. Важно отрабатывать действия всех сотрудников предприятия по аналогии с обеспечением пожарной или промышленной безопасности. Каждый сотрудник, который работает за компьютером, с интерфейсом «человек–машина» или контроллером, должен проходить эту тренировку. Естественно, для каждой специальности нужно разрабатывать свою программу тренировки. Например, для обслуживающего персонала это может быть отработка ситуации по выявлению вредоносного ПО.

 

Для того чтобы тренировать сотни человек в год из различных подразделений и иметь хорошо подготовленных специалистов по ИБ, в мире практикуется создание центров подготовки кадров по противодействию киберугрозам. Формат центра определяется индивидуально. Как минимум можно создать стенд, на котором будут отрабатываться различные ситуации. На одном стенде могут тестироваться технические средства защиты информации и проводиться киберучения.

 

Наша практика показала, что использование классических способов обучения персонала путем принудительного изучения многочисленных регламентов неэффективно. Сотрудники читают документ, ставят подпись об ознакомлении и моментально все забывают. Да, теперь они несут ответственность за выполнение регламента, но во время ЧП предприятию от этого легче не будет. Проведение очного обучения в формате презентации с последующим тестированием более эффективно, но не всегда возможно. Очень хорошо себя зарекомендовало интерактивное обучение в формате игры. Сотрудник выполняет задания, отвечает на тестовые вопросы, зарабатывает баллы, проходит через различные нештатные ситуации. Информация, поданная в таком виде, запоминается отлично, а сотрудники не отлынивают от обучения. Для напоминания правил безопасности АСУ ТП можно использовать проверенный временем формат информационного плаката, но поместить его не только на стену, но и делать почтовые рассылки, использовать как заставку сохранения рабочего стола (screensaver). Тогда каждый компьютер во время простоя становится информационным стендом.

 

Вышеописанные типовые подходы ИБ АСУ ТП позволяют предварительно определять пути достижения целей. Вместе с тем каждый проект требует глубокого первичного изучения предприятия, так как организационно-штатная структура, повседневная работа подразделений и взаимоотношения между ними очень индивидуальны. ИБ АСУ ТП это не столько технические средства защиты информации, сколько правильно выстроенные процессы и грамотно подготовленные сотрудники.

 

На момент подготовки публикации Алексей Петухов работал руководителем направления обеспечения информационной безопасности АСУ ТП компании «Инфосистемы Джет»

Уведомления об обновлении тем – в вашей почте

Не наКЛИКать бы беды, или Немного о защите АСУ ТП

Впоследнем фильме Бондианы главный злодей – это не просто преступник, минирующий мосты, взрывающий космические корабли лазером и мечтающий ограбить Всемирный банк

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК «Газпром нефть»)

ИБ АСУ ТП: Перейдем на ты

Что такое безопасность автоматизированных системах управления технологическими процессами, мы попытались разобраться

Топ вопросов по ИБ АСУ ТП

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

Криптография и защита информации

Какое место должны занимать средства криптографии в рамках защиты информации в цифровой подстанции

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня