Защита информации в АСУ | Безопасность автоматизированных систем управления технологическим процессом

Главная — ИБ-аутсорсинг — Защита информации — Защита информации в АСУ

Под защитой информации в автоматизированных системах управления технологическим процессом (АСУ ТП) следует понимать комплекс практических взаимосвязанных мероприятий, направленных на предотвращение раскрытия, несанкционированного использования, изменения, искажения, уничтожения, копирования, шпионажа и прочих негативных вмешательств в АСУ.

Для усовершенствования мероприятий, направленных на обеспечение безопасности АСУ ТП, профессиональные сообщества ведут совместные разработки базовых методик в области защиты баз данных (БД). Деятельность в этом направлении включает стандартизацию технических мероприятий, разработку нормативных документов, создание методик обучения администраторов и пользователей.

Автоматизированные системы управления осуществляют сбор, хранение и систематизацию данных, необходимые для оптимального контроля над технологическими процессами.

АСУ ТП создаются на основе надежной вычислительной техники промышленной разработки и предназначены для круглосуточного долгосрочного использования на технологическом объекте. Последствия сбоя в работе АСУ ТП представляют серьезную опасность для людей, оборудования, окружающей среды, могут иметь катастрофический характер.

Для выстраивания грамотной и эффективной защиты следует выявить потенциальных нарушителей в АСУ, определить уровень угроз. Основную угрозу АСУ представляют террористически настроенные группы, цель которых заключается во вмешательстве в процесс управления автоматизированной системой с последующим выводом ее из строя. Террористические группировки собирают технические детали для разработки и проведения атак, поэтому следует вовремя обезопасить систему. Способность структуры АСУ ТП стабильно обеспечивать непрерывный технологический процесс, не зависящий от внешних факторов воздействия, является ее основополагающим показателем.

Сохранность ресурсов в автоматизированной системе

Мероприятия для обеспечения сохранности ресурсов автоматизированной системы управления технологическим и производственным процессом включают:

Построение системы защиты для АСУ ТП. Для моделирования системы информационной безопасности первоначально следует выделить необходимую базу данных, провести ее структурирование. Структурирование проводится методом классификации защищаемых данных согласно задачам и функциям.
Утверждение требований по защите и хранению данных в АСУ ТП. Данный этап предусматривает исследование информационных ресурсов, их структуры, состава и характеристик. На основании эксплуатационно-технической, организационной и распорядительной документации утверждается регламент дальнейшей работы.
Введение в действие системы АСУ ТП. Запуск производится согласно установленному на предварительном этапе техническому проекту. Проводятся установка и наладка технических средств защиты информации. Мероприятия по испытанию и запуску в действие системы для хранения данных документально фиксируются, делается заключение, после чего проводится запуск внедренных защитных комплексов.
Утверждение правил для обеспечения защиты и безопасного функционирования АСУ ТП. При их разработке учитывается специфика подразделения. Администраторы и ответственные за безопасность выбирают наиболее оптимальный вариант защиты информационной базы.
Документирование действий персонала в случае возникновения непредусмотренных обстоятельств. Данная документация применяется в дальнейшей практической деятельности и позволяет усовершенствовать собственную нормативную базу, вести учет, планирование и оптимизацию затрат.
Анализ угроз безопасности. Рассматриваются возможные модели нарушителей и угроз. Риски, связанные с безопасностью информации, прогнозируются путем оценивания мотивации и потенциальных возможностей внутренних и внешних источников опасности, методов осуществления угрозы. Анализируются уязвимость автоматизированной системы управления и вероятные последствия.
Разработку рекомендаций и методик, позволяющих обеспечить сохранность данных при попытке несанкционированного доступа, утечки и разглашения.
Организацию мероприятий, направленных на обеспечение безопасности. Соблюдение главных принципов и простых правил облегчает выполнение задачи по сохранению сведений, предотвращает их потерю и позволяет избежать морального, материального и финансового риска.

Классификация данных в информационной базе

Вся информационная база автоматизированной системы управления подлежит строгой классификации.

Имеющийся информационный ресурс классифицируется по условным категориям:

общедоступно;
конфиденциально;
строго конфиденциально;
секретно.

Сотрудники предприятия не имеют права на распространение данных, имеющих категорию выше общедоступной. Пользователи автоматизированных систем управления подразделяются на категории, которые определяют их уровень допуска к информационной базе:

Администраторы АСУ являются специалистами службы информационной защиты, имеют допуск к ресурсам автоматизированной системы с возможностью администрирования.
Сотрудники – данная категория включает всех сотрудников предприятия АСУ.
Стажеры являются сотрудниками предприятия на период испытательного срока. Пользователи данной категории имеют ограниченный допуск в АСУ.

Разработка и внедрение инновационных технологий в сфере охраны сведений АСУ рассматривается как приоритетная задача на государственном уровне, поскольку сохранность такой информации напрямую связана с безопасной обстановкой в стране. Следовательно, к критериям безопасности производства стратегически важно добавить нормативные составляющие для обеспечения грамотного подхода к проектированию и внедрению системы. При технически грамотном процессе система защиты сведений будет закрыта от пользователей, причем данный факт не повлияет на функциональность. Следует заметить, что программный и технический комплекс мер, направленный на сохранение информации в АСУ ТП, является общим для всех сфер и отраслей, в которых применяется.

Выполнение данных требований и рекомендаций позволяет обеспечить бесперебойное действие автоматизированной системы управления в стандартных режимах, а при условии возникновения угрозы – значительно снизить риски несанкционированного вторжения.

Безопасность автоматизированных систем управления технологическим процессом

Важнейшей составляющей промышленной инфраструктуры является автоматизированная система управления технологическим процессом. Обеспечить максимально возможную многоуровневую защиту АСУ ТП – приоритетная задача. Увеличение объема накопленных сведений в АСУ значительно расширило границы использования системы. Ведущими специалистами созданы комплексные методики обеспечения безопасности автоматизированной системы для управления технологическим процессом.

Есть основные типы способов защиты – физические мероприятия, организационные протоколы, технические средства.

Физические мероприятия:

ограждение территории и охрана сооружений с оборудованием;
установка контрольно-пропускного пункта у входа в помещение с оборудованием, установка специальных замков для регулирования доступа;
установка системы охранной сигнализации.

Организационные протоколы ориентированы на человеческий фактор. Основная их задача заключается в определении и выполнении норм по обеспечению слаженного функционирования составляющих компонентов АСУ ТП путем утверждения пакета соответствующей документации.

Программа технической безопасности является основным фактором, обеспечивающим охрану автоматизированной системы управления. Она включает следующие мероприятия:

Управление системой обеспечения безопасности АСУ ТП.
Управление доступом к АСУ.
Организация антивирусной безопасности АСУ.
Обеспечение безопасного сетевого взаимодействия АСУ.
Выявление вторжений в систему.
Анализ безопасности АСУ ТП.
Реагирование на инциденты.

На текущий момент задача обеспечения защиты и безопасности АСУ ТП становится все более актуальной. Особое внимание следует уделить не столько соблюдению конфиденциальности АСУ, сколько сохранению цельности и непрерывности ее функционирования, поскольку корректный и контролируемый технологический процесс обеспечивает прежде всего безопасность здоровья и жизнедеятельности людей, а также защиту окружающей среды.

06.11.2019

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.