Обеспечение кибербезопасности АСУ ТП

Кибербезопасность АСУ ТП – относительно недавно определяющаяся в самостоятельное направление безопасности область. В силу специфики, для АСУ ТП (автоматизированная система управления технологичеким процессом) неприменим классический термин «информационная безопасность», поэтому мы используем прямой перевод распространенного в сфере информационных технологий англоязычного термина «cybersecurity».

Нормативные документы и лучшие мировые практики в области кибербезопасности АСУ ТП

При работах по обеспечению кибербезопасности АСУ ТП, ЗАО «ДиалогНаука» преимущественно руководствуется нижеперечисленными документами РФ:

1. Действующими на текущий момент требованиями ФСТЭК по обеспечению безопасности Ключевых систем информационной инфраструктуры (далее КСИИ): 
– методика определения актуальных угроз
– требования по защите КСИИ
– рекомендации по обеспечению безопасности КСИИ
2. Приказом ФСТЭК, № 31 от 14 марта 2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Так же при работе мы опираемся (или используем в качестве основного ориентира, в зависимости от требований Заказчиков) на лучшие мировые практики, в том числе следующие нормативные документы:

1. Семейство стандартов IEC 62443, пришедшее на смену семейству ISA99, подробно и детально описывающее требования и рекомендации по моделированию угроз, анализу рисков, мерам кибербезопасности, внедряемых на протяжении всего жизненного цикла систем АСУ ТП. Стандарт применим на протяжении всего жизненного цикла АСУ ТП и предоставляет хорошую методологию для проектирования, внедрения и эксплуатации систем обеспечения кибербезопасности АСУ ТП на всем жизненном цикле.
2. Специфические международные отраслевые стандарты по обеспечению защиты АСУ ТП.
Этапы работ по обеспечению кибербезопасности АСУ ТП

1. Аудит, обследование или оценка соответствия внутренним или внешним стандартам и нормативным документам.
Аудит (сравнение текущего состояния с требуемым) или обследование (анализ текущего состояния и определение целевого) предназначены для первичного сбора информации об эксплуатируемых на защищаемых объектах АСУ ТП, подконтрольных технологических процессах, сопутствующей инфраструктуре, действующих организационных и технических мерах безопасности и т.д..

При проведении аудита/обследования проводится:

• интервьюирование сотрудников;
• анализ эксплуатационной и проектной документации;
• анализ действующих политик, требований, организационных и технических мер по защите информации;
• анализ конфигураций оборудования и программного обеспечения;
• изучение сетевой архитектуры, возможностей, функций и конфигураций ПО и оборудования АСУ ТП;
• и т.д.;

При наличии технических возможностей, применяется инструментальный метод аудита с использованием автоматизированных средств обнаружения и анализа уязвимостей, анализа угроз и рисков.

На основе собранной информации проводится:

• анализ автоматизированных технологических и бизнес-процессов, определение критичных узлов и информационных потоков;
• определение и анализ ценных активов (процессов, информации, персонала, оборудования, ПО и т.п.);
• определение и анализ уязвимостей;
• анализ и оценка рисков кибербезопасности;
• моделирование угроз;
• моделирование нарушителя;
• моделирование объекта защиты и сегментирование АСУ ТП на зоны безопасности;
• определение текущего и целевого уровня безопасности;
• разработка требований/рекомендаций по обеспечению мер кибербезопасности.

2. Проектирование системы (мер) кибербезопасности

На основании проведенной при обследовании оценки рисков и построенной модели угроз, разрабатывается комплекс организационно-технических мер кибербезопасности. Меры кибербезопасности выбираются с учетом определенного Заказчиком порогового риска и с «запасом», учитывающим постоянное снижение их эффективности с течением времени (появление новых уязвимостей и методов атак, устаревание оборудования и технологий защиты, и т.п.). В зависимости от актуальных угроз и рисков, рассматриваются меры безопасности, обеспечивающие:

• идентификацию и аутентификацию, управление доступом;
• ограничение программной среды;
• защиту машинных носителей информации;
• регистрацию событий безопасности;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности информации;
• целостность и контроль целостности АСУ и информации;
• доступность технических средств и информации;
• защиту среды виртуализации;
• защиту технических средств и оборудования;
• защиту автоматизированной системы и ее компонентов;
• безопасную разработку прикладного и специального программного обеспечения разработчиком;
• управление обновлениями программного обеспечения;
• планирование мероприятий по обеспечению защиты информации;
• обеспечение действий в нештатных (непредвиденных) ситуациях;
• информирование и обучение пользователей;
• анализ угроз безопасности информации и рисков от их реализации;
• выявление инцидентов и реагирование на них (управление инцидентами);
• управление конфигурацией информационной системы и ее системы защиты;
• и другие.

Полученный комплекс мер становится основой для разработки ТЗ на систему кибербезопасности. При проектировании системы выбираются средства и меры защиты, наиболее эффективно и экономически целесообразно компенсирующие или закрывающие актуальные угрозы и отвечающие всем требованиям ТЗ. В то же время, в приоритете всегда рассматриваются средства защиты, одобренные разработчиками используемых Заказчиком АСУ ТП.

Помимо технических, специалистами ЗАО «ДиалогНаука» разрабатывается комплекс организационных мер (и организационно-распорядительных документов) и процессов кибербезопасности, обеспечивающих такие функции как:

• регулярный анализ и оценку рисков, пересмотр модели угроз и нарушителя;
• управление доступом;
• управление антивирусной защитой;
• управление контролем защищенности;
• управление аудитом событий кибербезопасности;
• реагирование на инциденты;
• управление конфигурациями средств обеспечения КБ;
• планирование мероприятий по обеспечению КБ;
• управление обновлениями ПО АСУ ТП;
• управление резервированием и восстановлением;
• информирование пользователей и повышение осведомленности в вопросах КБ;
• планирование и управление действиями в нештатных ситуациях; 
• и т.д.

3. Внедрение средств системы кибербезопасности АСУ ТП

При необходимости, перед внедрением средств КБ, наши специалисты осуществляют макетирование и стендовые испытания комплекса технических средств, проверяя взаимную совместимость средств защиты и АСУ ТП.

Для внедрения технических и программных средств кибербезопасности в обязательном порядке разрабатывается комплекс мер, обеспечивающий минимальные нарушения доступности ресурсов или прерывания в технологических процессах Заказчика. Подробный план внедрения согласовывается с Заказчиком для определения требуемых технологических окон.

Внедрение средств кибербезопасности осуществляется сертифицированными у соответствующих компаний-разработчиков высококвалифицированными и опытными специалистами под неусыпным контролем ответственного руководителя проекта.

В ходе опытной эксплуатации осуществляется постоянный мониторинг установленного комплекса технических и программных средств, наблюдение за непрерывностью и целостностью технологического процесса.

4. Сопровождение средств системы кибербезопасности АСУ ТП

В сопровождение системы обеспечения КБ АСУ ТП могут входить:

• консультации по базовой установке, штатной работе и обновлению средств защиты;
• проведение повторного аудита и оценки рисков, пересмотра политик кибербезопасности и ОРД;
• проведение работ по масштабированию или модернизации систем обеспечения кибербезопасности АСУ ТП;
• проведение работ по адаптации системы обеспечения кибербезопасности АСУ ТП и документации под изменения в нормативных документах.

Источник: https://www.dialognauka.ru/solutions/cybersecurity_iacs/