Подписка
Подписка
МЕНЮ
Подписка
Статьи

Ближайшие темы обзоров проекта "СИСТЕМЫ БЕЗОПАСНОСТИ" * Безопасность мест с массовым пребыванием людей. Антитеррор * Технические решения для мониторинга и защиты верхней полусферы * Бюджетные видеокамеры * Турникеты для объектов с высокой проходимостью Изучайте тематический план и становитесь автором журнала!

Аудит АСУ ТП: рекомендации Трубной металлургической компании

Александр Севостьянов, 19/05/21

В рамках проводимых в промышленном секторе экономики Российской Федерации мероприятий по активному внедрению цифровых технологий в настоящее время вопросы защиты информации стали актуальными как никогда. Цифровизация производств и сопутствующих им процессов приводит не только к оптимизации затрат различного характера, но и к резкому увеличению потребностей в усилении безопасности ИТ-инфраструктуры промышленного сегмента. Дополнительное ускорение решению задач защиты информации придает ФЗ-187 "О критической информационной инфраструктуре" и ряд подзаконных актов надзорных и регулирующих отрасль органов власти, принятых в 2017 г.

 

На текущий момент уже должен быть выполнен ряд ключевых требований по созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования согласно приказу ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской федерации и обеспечению их функционирования" (особенно в части последних изменений от 01.01.2021 г. в отношении квалификационных требований к специалистам по защите информации). формат аудита и обследования, как правило, используется на основе полной аутсорсинговой модели либо собственными силами без участия сторонних специалистов. Что выбрать? Решение принимает владелец бизнес-процесса защиты информации, исходя из имеющихся возможностей и ресурсов.

При обследовании сетей не следует полагаться исключительно на метод сбора данных с серверного, сетевого и компьютерного оборудования путем получения данных в удаленном режиме, так как не до всех сегментов можно дотянуться и выгрузить требуемые данные – потребуется личное посещение рабочих мест.

Немного о нюансах

Дополнительно в целях сохранения непрерывности производственных процессов следует учитывать следующее:

  • объекты информатизации обеспечивают режим работы 24/7;
  • они могут быть сильно устаревшими в части железа и программного обеспечения;
  • объекты информатизации значительно распределены по локациям, территориально удалены;
  • за администрирование объектов и сопровождение могут отвечать как работники ИТ-подразделений, так и АСУ (то есть перекрестные зоны ответственности);
  • оборудование может находиться на гарантийном обслуживании у поставщика или разработчика;
  • программное обеспечение АСУ критично к малейшим сбоям по временным показателям передачи данных;
  • с оборудования и программного обеспечения управления может собираться статистика и иные телеметрические данные для отправки в адрес технической поддержки поставщика в реальном режиме времени.

С учетом изложенного наиболее эффективным будет выбор оптимального времени аудита, минимально оказывающего влияние на плановое функционирование ИТ-инфраструктуры АСУ ТП конкретного производственного сегмента. Один из распространенных вариантов – период плановых профилактических ремонтных работ в цеховых помещениях и серверных.

"Искусственный интеллект и видеоаналитика в мультирубежных периметрах защиты" читать >>

Что исследуем первично

Изначально следует уделить особое внимание вопросам соответствия – корпоративным стандартам информационной безопасности (правила и политики к моменту аудита должны быть утверждены и официально введены в действие, в том числе доведены до ответственных работников) и требованиям законодательства – 187-ФЗ (изначально до проведения проверки необходимо провести и завершить предусмотренное законом категорирование). далее обязательно проверяем наличие влияния оборудования ИТ-сегментов холдинговых (дочерних) подрядных организаций на промышленные сети предприятия в случае аренды ими вычислительных мощностей, где договорными отношениями должны быть предусмотрены обязательства о соблюдении требований информационной безопасности предприятия со стороны персонала дочерней компании.

Что проверяем предметно

На организационном уровне:

  • наличие утвержденной локальной нормативной документации по информационной безопасности, в том числе промышленных сетей (есть или нет, а может пора обновлять) и созданию систем безопасности ЗОКИИ (приказ ФСТЭК № 235);
  • ознакомление персонала АСУ с действующими требованиями по информационной безопасности (желательно под подпись);
  • есть ли ответственные за безопасность от подразделений АСУ;
  • ведется ли учет сбоев и простоев оборудования по причинам ИТ (зона повышенного внимания со стороны офицера информационной безопасности);
  • имеется и используется ли инструмент расследования инцидентов ИБ в сегменте АСУ (работает ли инцидент-менеджмент) и скорость оповещения ИБ о событиях (помним, что на реагирование в отношении ЗОКИИ установлен срок в три часа на оповещение, согласно приказу ФСБ России от 19 июня 2019 г. N 282);
  • наличие у работников, отвечающих за безопасность ЗОКИИ, профильного образования в области информационной безопасности (п. 12 приказ № 235 ФСТЭК в ред. от 01.01.21 г.).

На прикладном уровне:

  • физическую защищенность помещений АСУ (пультовые, серверные/компьютерные шкафы и места хранения запасных частей ИТ-компонентов к промышленному оборудованию;
  • наличие охранной и пожарной сигнализации;
  • контроль доступа и видеонаблюдение;
  • кондиционирование;
  • состояние компьютерной техники (визуально, защищенное изолированное исполнение или нет);
  • наличие актуальных версий программного обеспечения АСУ и операционных систем, а также прошивок PLC (патч-менеджмент), включая способ их установки (через съемные носители информации или через удаленный доступ к сайту производителя);
  • выясняем, где и у кого находятся диски с исходниками версий прошивок контроллеров;
  • наличие постороннего (в том числе пиратского) программного обеспечения на компьютерах;
  • наличие игрового и развлекательного медиаконтента;
  • наличие и работоспособность антивирусных систем;
  • методы и способы разграничения сегментов сетей (АСУ от корпоративной) и соответствие сетевой безопасности;
  • наличие контроля съемных носителей информации;
  • наличие фактов подключений Wi-Fi и 3G-/4Gмодемов к компьютерам управления.

Об ответственности

При наличии официально введенной нормативной документации по защите информации и доведенной до ответственных работников АСУ следует привлекать к дисциплинарной ответственности за грубые нарушения политик информационной безопасности в ИТ-инфраструктуре промышленного сегмента, так как цена ошибки значительна по сравнению с затратами на реализацию организационно-технических мер защиты.

Опубликовано в журнале "Системы безопасности" №1/2021
Темы:КибербезопасностьЖурнал "Системы безопасности" №1/2021
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022

ПОСЕТИТЬ МЕРОПРИЯТИЯ
 
Подписка

Мы в соцсетях

Copyright ©  Secuteck.Ru