Статьи | Secuteck.Ru

Аудит АСУ ТП: рекомендации Трубной металлургической компании

Written by Александр Севостьянов | 19/05/21

В рамках проводимых в промышленном секторе экономики Российской Федерации мероприятий по активному внедрению цифровых технологий в настоящее время вопросы защиты информации стали актуальными как никогда. Цифровизация производств и сопутствующих им процессов приводит не только к оптимизации затрат различного характера, но и к резкому увеличению потребностей в усилении безопасности ИТ-инфраструктуры промышленного сегмента. Дополнительное ускорение решению задач защиты информации придает ФЗ-187 "О критической информационной инфраструктуре" и ряд подзаконных актов надзорных и регулирующих отрасль органов власти, принятых в 2017 г.

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
 

На текущий момент уже должен быть выполнен ряд ключевых требований по созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования согласно приказу ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской федерации и обеспечению их функционирования" (особенно в части последних изменений от 01.01.2021 г. в отношении квалификационных требований к специалистам по защите информации). формат аудита и обследования, как правило, используется на основе полной аутсорсинговой модели либо собственными силами без участия сторонних специалистов. Что выбрать? Решение принимает владелец бизнес-процесса защиты информации, исходя из имеющихся возможностей и ресурсов.

При обследовании сетей не следует полагаться исключительно на метод сбора данных с серверного, сетевого и компьютерного оборудования путем получения данных в удаленном режиме, так как не до всех сегментов можно дотянуться и выгрузить требуемые данные – потребуется личное посещение рабочих мест.

Немного о нюансах

Дополнительно в целях сохранения непрерывности производственных процессов следует учитывать следующее:

  • объекты информатизации обеспечивают режим работы 24/7;
  • они могут быть сильно устаревшими в части железа и программного обеспечения;
  • объекты информатизации значительно распределены по локациям, территориально удалены;
  • за администрирование объектов и сопровождение могут отвечать как работники ИТ-подразделений, так и АСУ (то есть перекрестные зоны ответственности);
  • оборудование может находиться на гарантийном обслуживании у поставщика или разработчика;
  • программное обеспечение АСУ критично к малейшим сбоям по временным показателям передачи данных;
  • с оборудования и программного обеспечения управления может собираться статистика и иные телеметрические данные для отправки в адрес технической поддержки поставщика в реальном режиме времени.

С учетом изложенного наиболее эффективным будет выбор оптимального времени аудита, минимально оказывающего влияние на плановое функционирование ИТ-инфраструктуры АСУ ТП конкретного производственного сегмента. Один из распространенных вариантов – период плановых профилактических ремонтных работ в цеховых помещениях и серверных.

"Искусственный интеллект и видеоаналитика в мультирубежных периметрах защиты" читать >>

Что исследуем первично

Изначально следует уделить особое внимание вопросам соответствия – корпоративным стандартам информационной безопасности (правила и политики к моменту аудита должны быть утверждены и официально введены в действие, в том числе доведены до ответственных работников) и требованиям законодательства – 187-ФЗ (изначально до проведения проверки необходимо провести и завершить предусмотренное законом категорирование). далее обязательно проверяем наличие влияния оборудования ИТ-сегментов холдинговых (дочерних) подрядных организаций на промышленные сети предприятия в случае аренды ими вычислительных мощностей, где договорными отношениями должны быть предусмотрены обязательства о соблюдении требований информационной безопасности предприятия со стороны персонала дочерней компании.

Что проверяем предметно

На организационном уровне:

  • наличие утвержденной локальной нормативной документации по информационной безопасности, в том числе промышленных сетей (есть или нет, а может пора обновлять) и созданию систем безопасности ЗОКИИ (приказ ФСТЭК № 235);
  • ознакомление персонала АСУ с действующими требованиями по информационной безопасности (желательно под подпись);
  • есть ли ответственные за безопасность от подразделений АСУ;
  • ведется ли учет сбоев и простоев оборудования по причинам ИТ (зона повышенного внимания со стороны офицера информационной безопасности);
  • имеется и используется ли инструмент расследования инцидентов ИБ в сегменте АСУ (работает ли инцидент-менеджмент) и скорость оповещения ИБ о событиях (помним, что на реагирование в отношении ЗОКИИ установлен срок в три часа на оповещение, согласно приказу ФСБ России от 19 июня 2019 г. N 282);
  • наличие у работников, отвечающих за безопасность ЗОКИИ, профильного образования в области информационной безопасности (п. 12 приказ № 235 ФСТЭК в ред. от 01.01.21 г.).

На прикладном уровне:

  • физическую защищенность помещений АСУ (пультовые, серверные/компьютерные шкафы и места хранения запасных частей ИТ-компонентов к промышленному оборудованию;
  • наличие охранной и пожарной сигнализации;
  • контроль доступа и видеонаблюдение;
  • кондиционирование;
  • состояние компьютерной техники (визуально, защищенное изолированное исполнение или нет);
  • наличие актуальных версий программного обеспечения АСУ и операционных систем, а также прошивок PLC (патч-менеджмент), включая способ их установки (через съемные носители информации или через удаленный доступ к сайту производителя);
  • выясняем, где и у кого находятся диски с исходниками версий прошивок контроллеров;
  • наличие постороннего (в том числе пиратского) программного обеспечения на компьютерах;
  • наличие игрового и развлекательного медиаконтента;
  • наличие и работоспособность антивирусных систем;
  • методы и способы разграничения сегментов сетей (АСУ от корпоративной) и соответствие сетевой безопасности;
  • наличие контроля съемных носителей информации;
  • наличие фактов подключений Wi-Fi и 3G-/4Gмодемов к компьютерам управления.

Об ответственности

При наличии официально введенной нормативной документации по защите информации и доведенной до ответственных работников АСУ следует привлекать к дисциплинарной ответственности за грубые нарушения политик информационной безопасности в ИТ-инфраструктуре промышленного сегмента, так как цена ошибки значительна по сравнению с затратами на реализацию организационно-технических мер защиты.

Опубликовано в журнале "Системы безопасности" №1/2021
View full post