Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
AI
Маркетплейсы
Право
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Cloud Networks

3 важных шага к обеспечению информационной безопасности АСУ ТП

Высокий уровень цифровизации промышленных предприятий создает риски кибератак. Государство старается защищать их (и себя) с помощью нормативно-правовых актов, которые предписывают предприятиям обеспечивать безопасность как корпоративных систем, так и систем промышленной автоматизации.

3 важных шага к обеспечению информационной безопасности АСУ ТП

Принимая во внимание сложившуюся статистику компьютерных инцидентов, требования нормативных документов и возможные риски от их реализации, предприятия понимают необходимость обеспечения информационной безопасности систем промышленной автоматизации (АСУ ТП), но не знают, с чего начать. Зачастую эта проблема связана с отсутствием компетенций и опыта в этой сфере.

Приведем пример. Недавно к нам в Cloud Networks поступил запрос на проведение аудита с целью определения попадания под требования Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», так как у Заказчика (мы не будем называть компанию) не было ни опыта, ни компетентного персонала. Специалисты Cloud Networks провели обследование и выдали исчерпывающие доводы о принадлежности одной из сфер, которая попадают под действие Федерального закона №187-ФЗ. Далее были даны рекомендации по последующим шагам выстраивания системы информационной безопасности.

Мы определили 3 ключевых шага в обеспечении информационной безопасности систем промышленной автоматизации. Это некая основа основ.

ШАГ 1

Определить лицо или подразделение, ответственное за обеспечение информационной безопасности систем промышленной автоматизации

Как правило, на промышленных предприятиях уже существуют подразделения, обеспечивающие информационную безопасность. Однако, они занимаются обеспечением безопасности корпоративных систем и защитой сети периметра предприятия. Наш опыт проведенных аудитов показывает, что данные специалисты не видят всех нюансов в обеспечении кибербезопасности систем промышленной автоматизации и зачастую для них они являются «темным лесом». Применение требований обеспечения безопасности корпоративных систем к системам промышленной автоматизации может привести к нарушению функционирования таких систем - в том числе техногенным авариям, которые имеют очень тяжелые последствия.

Сегодня ИБ-рынок испытывает кадровый голод, а свободные специалисты по информационной безопасности систем промышленной автоматизации вообще отсутствуют. Одна из рекомендаций - создание смешанного подразделения, которое состоит из специалистов по информационной безопасности и специалистов, которые в прошлом занимались обслуживанием систем промышленной автоматизации. При этом для них следует провести дополнительную переподготовку (обучение) по этому направлению. Только так подразделение будет обладать необходимыми компетенциями.

ШАГ 2

Проведение инвентаризации активов

После того, как подразделение будет сформировано (или выделен штатный специалист по информационной безопасности), необходимо определить, какие активы имеются на предприятии, и провести их классификацию. Опыт проведения аудитов ИБ показывает, что к инвентаризации следует привлекать не только обслуживающий персонал. Ярким примером является определение АСУ ТП, под которыми прежде всего подразумевают автоматизацию технологических установок, при этом упуская из виду объекты энергетики (распределительные пункты, электроподстанции и т.д.). Поэтому для проведения инвентаризации и классификации необходимо привлечь:

  • ИТ – подразделение
  • подразделения, осуществляющие обслуживание (сопровождение) систем промышленной автоматизации, в том числе службу главного энергетика
  • подразделение безопасности
  • подразделение по защите государственной тайны
  • подразделение промышленной безопасности
  • подразделение по гражданской обороне и чрезвычайным ситуациям

После определения активов необходимо их классифицировать (определить категорию значимости в соответствии с Постановлением Правительства РФ № 127 от 08.02.2018 или определить класс защищенности в соответствии с Приказом ФСТЭК России №31 от 14.03.2014) и определить возможный ущерб от реализации компьютерных атак в соответствии с нормативными документами Российской Федерации в области обеспечения информационной безопасности. Для оценки ущерба можно использовать данные из следующих источников:

  • декларацию промышленной безопасности опасного производственного объекта в соответствии со статьёй 14 Федерального закона от 21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных объектов»
  • декларацию безопасности гидротехнического сооружения в соответствии с Федеральным законом от 21.07.1997 № 117-ФЗ «О безопасности гидротехнических сооружений»
  • паспорт безопасности объекта топливно-энергетического комплекса в соответствии с требованиями Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
  • а также другие документы, по которым можно установить возможный ущерб техногенного характера

В случае отсутствия вышеуказанных документов для оценки ущерба можно использовать экспертное комиссионное мнение, документально закрепив его протоколом.

ШАГ 3

Построение системы защиты

Следующим шагом является построение системы защиты. Для этого необходимо выполнить следующие мероприятия:

  • распределить ответственность за реализацию мер по обеспечению информационной безопасности между структурными подразделениями предприятия. Зачастую между подразделениями возникают разногласия в реализации мероприятий по обеспечению информационной безопасности, поэтому в организационно-распорядительных документах и положении о структурном подразделении очень важно закрепить зоны ответственности подразделений
  • разработать организационно – распорядительную документацию, регламентирующую обеспечение информационной безопасности
  • сформировать требования к системе защиты, исходя из ранее определенного класса (категории) и структуры активов, в соответствии нормативными документами Российской Федерации в области обеспечения информационной безопасности

После формирования требований к системе защиты необходимо приступить к реализации выполнения мер по обеспечению информационной безопасности систем промышленной автоматизации. Мы рекомендуем привлечь для решения данных вопросов организации, имеющие соответствующие компетенции и опыт реализации подобных проектов. Так, например, поступают многие крупные предприятия, обращаясь с таким запросом к Cloud Networks.

11
реклама
разместить
1 комментарий
Cloud Networks
Автор

БЕЗОПАСНОСТЬ

Ответить