Аудит АСУ ТП: рекомендации Трубной металлургической компании
Александр Севостьянов, 19/05/21
В рамках проводимых в промышленном секторе экономики Российской Федерации мероприятий по активному внедрению цифровых технологий в настоящее время вопросы защиты информации стали актуальными как никогда. Цифровизация производств и сопутствующих им процессов приводит не только к оптимизации затрат различного характера, но и к резкому увеличению потребностей в усилении безопасности ИТ-инфраструктуры промышленного сегмента. Дополнительное ускорение решению задач защиты информации придает ФЗ-187 "О критической информационной инфраструктуре" и ряд подзаконных актов надзорных и регулирующих отрасль органов власти, принятых в 2017 г.
На текущий момент уже должен быть выполнен ряд ключевых требований по созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования согласно приказу ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской федерации и обеспечению их функционирования" (особенно в части последних изменений от 01.01.2021 г. в отношении квалификационных требований к специалистам по защите информации). формат аудита и обследования, как правило, используется на основе полной аутсорсинговой модели либо собственными силами без участия сторонних специалистов. Что выбрать? Решение принимает владелец бизнес-процесса защиты информации, исходя из имеющихся возможностей и ресурсов.
При обследовании сетей не следует полагаться исключительно на метод сбора данных с серверного, сетевого и компьютерного оборудования путем получения данных в удаленном режиме, так как не до всех сегментов можно дотянуться и выгрузить требуемые данные – потребуется личное посещение рабочих мест.
Немного о нюансах
Дополнительно в целях сохранения непрерывности производственных процессов следует учитывать следующее:
- объекты информатизации обеспечивают режим работы 24/7;
- они могут быть сильно устаревшими в части железа и программного обеспечения;
- объекты информатизации значительно распределены по локациям, территориально удалены;
- за администрирование объектов и сопровождение могут отвечать как работники ИТ-подразделений, так и АСУ (то есть перекрестные зоны ответственности);
- оборудование может находиться на гарантийном обслуживании у поставщика или разработчика;
- программное обеспечение АСУ критично к малейшим сбоям по временным показателям передачи данных;
- с оборудования и программного обеспечения управления может собираться статистика и иные телеметрические данные для отправки в адрес технической поддержки поставщика в реальном режиме времени.
С учетом изложенного наиболее эффективным будет выбор оптимального времени аудита, минимально оказывающего влияние на плановое функционирование ИТ-инфраструктуры АСУ ТП конкретного производственного сегмента. Один из распространенных вариантов – период плановых профилактических ремонтных работ в цеховых помещениях и серверных.
"Искусственный интеллект и видеоаналитика в мультирубежных периметрах защиты" читать >>
Что исследуем первично
Изначально следует уделить особое внимание вопросам соответствия – корпоративным стандартам информационной безопасности (правила и политики к моменту аудита должны быть утверждены и официально введены в действие, в том числе доведены до ответственных работников) и требованиям законодательства – 187-ФЗ (изначально до проведения проверки необходимо провести и завершить предусмотренное законом категорирование). далее обязательно проверяем наличие влияния оборудования ИТ-сегментов холдинговых (дочерних) подрядных организаций на промышленные сети предприятия в случае аренды ими вычислительных мощностей, где договорными отношениями должны быть предусмотрены обязательства о соблюдении требований информационной безопасности предприятия со стороны персонала дочерней компании.
Что проверяем предметно
На организационном уровне:
- наличие утвержденной локальной нормативной документации по информационной безопасности, в том числе промышленных сетей (есть или нет, а может пора обновлять) и созданию систем безопасности ЗОКИИ (приказ ФСТЭК № 235);
- ознакомление персонала АСУ с действующими требованиями по информационной безопасности (желательно под подпись);
- есть ли ответственные за безопасность от подразделений АСУ;
- ведется ли учет сбоев и простоев оборудования по причинам ИТ (зона повышенного внимания со стороны офицера информационной безопасности);
- имеется и используется ли инструмент расследования инцидентов ИБ в сегменте АСУ (работает ли инцидент-менеджмент) и скорость оповещения ИБ о событиях (помним, что на реагирование в отношении ЗОКИИ установлен срок в три часа на оповещение, согласно приказу ФСБ России от 19 июня 2019 г. N 282);
- наличие у работников, отвечающих за безопасность ЗОКИИ, профильного образования в области информационной безопасности (п. 12 приказ № 235 ФСТЭК в ред. от 01.01.21 г.).
На прикладном уровне:
- физическую защищенность помещений АСУ (пультовые, серверные/компьютерные шкафы и места хранения запасных частей ИТ-компонентов к промышленному оборудованию;
- наличие охранной и пожарной сигнализации;
- контроль доступа и видеонаблюдение;
- кондиционирование;
- состояние компьютерной техники (визуально, защищенное изолированное исполнение или нет);
- наличие актуальных версий программного обеспечения АСУ и операционных систем, а также прошивок PLC (патч-менеджмент), включая способ их установки (через съемные носители информации или через удаленный доступ к сайту производителя);
- выясняем, где и у кого находятся диски с исходниками версий прошивок контроллеров;
- наличие постороннего (в том числе пиратского) программного обеспечения на компьютерах;
- наличие игрового и развлекательного медиаконтента;
- наличие и работоспособность антивирусных систем;
- методы и способы разграничения сегментов сетей (АСУ от корпоративной) и соответствие сетевой безопасности;
- наличие контроля съемных носителей информации;
- наличие фактов подключений Wi-Fi и 3G-/4Gмодемов к компьютерам управления.
Об ответственности
При наличии официально введенной нормативной документации по защите информации и доведенной до ответственных работников АСУ следует привлекать к дисциплинарной ответственности за грубые нарушения политик информационной безопасности в ИТ-инфраструктуре промышленного сегмента, так как цена ошибки значительна по сравнению с затратами на реализацию организационно-технических мер защиты.