Информационная безопасность АСУ становится серьезным вызовом для ИТ-специалиста, так как нарушение безопасного режима работы автоматизированной системы управления опасным производственным объектом или объектом критической информационной инфраструктуры сулит большие проблемы. Решение задачи окажется эффективным, если опираться на международные стандарты безопасности.

Отличие АСУ от других информационных систем

АСУ предназначены для управления физическими объектами – станками, оборудованием – и должны решать задачи планомерной, цикличной работы, избегания аварий. На английском термин АСУ звучит как Industrial Control Systems (ICS) или Industrial Automation and Control Systems (IACS). Индустриальный характер системы вынуждает рассматривать вопросы обеспечения ее безопасности отдельно от других систем, рекомендации для них можно найти в руководстве NIST SP 800-82.

Основные отличия:

• в отличие от обычной ИС АСУ работает в режиме реального времени;
• перезагрузка как метод решения проблем для АСУ неприемлема;
• при управлении рисками АСУ оперирует физическими процессами, ИС – данными;
• для АСУ часто используются специализированные операционные системы с тщательно выверенными параметрами совместимости и контролем обновлений; 
• протоколы коммуникаций для АСУ всегда профессиональны, иногда используются выделенные каналы связи;
• поддержка АСУ осуществляется только производителем и поставщиком;
• АСУ, в отличие от ИС, часто не имеет резервов памяти для реализации функции безопасности;
• жизненный цикл АСУ составляет 15-30 лет, для ИС этот срок равен 3-5;
• компоненты АСУ часто расположены в физически труднодоступных местах, например, на нефтяной вышке в тундре.

Эти особенности показывают, что информационная безопасность АСУ является самостоятельной задачей. 

ИБ для АСУ

Информационная безопасность для автоматизированных систем управления должна опираться на утвержденные стандарты. Наиболее востребованным является стандарт ISO/IEC 27000 Information Technology, на базе которого разработан и внедрен российский ГОСТ. Также применяется стандарт Международной энергетической комиссии, ISA/IEC 62443 Security for Industrial Automation and Control Systems, ряд частей которого тоже работают в части ГОСТов.

Частично задача безопасности АСУ решается на государственном уровне, они в обязательном порядке лицензируются и сертифицируются, на решение этой задачи приходится до 10 % от стоимости программного обеспечения. Основной задачей при обеспечении ИБ для АСУ становится контроль рисков с их предварительным ранжированием. Риски распределяются по уровням:

• управление предприятием;
• операционное управление производством;
• управление и мониторинг физических процессов;
• локальное управление оборудованием и процессами;
• управление датчиками и системой оповещения.

На каждом из уровней выявляются свои риски, блокировать которые от информационных атак или программных сбоев необходимо для обеспечения безопасности. В полноценной модели защиты АСУ от рисков должны быть реализованы:

• управление идентификацией и аутентификацией;
• контроль использования ресурсов оборудования;
• гарантия целостности системы и связей;
• доступность данных;
• контроль потоков данных, избежание утечек;
• ограниченное время реакции на инциденты.

При соблюдении этих требований можно говорить о том, что информационная безопасность автоматизированной системы управления обеспечена. 

16.01.2020