СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Статьи
Cloud Networks
31.07.2023
#Dev#ИБ#Облака

3 ключевых шага к формированию надёжной системы ИБ АСУ ТП

3 ключевых шага к формированию надёжной системы ИБ АСУ ТП

Активное использование цифровизации на промышленных предприятиях не только упрощает и ускоряет проведение операций, но и создаёт повышенный риск компьютерных атак. Для защиты организаций, населения и целостности государства созданы нормативно-правовые акты, которые определяют параметры безопасности корпоративных систем и автоматизированных систем управления технологическим процессом (АСУ ТП).

Статистика свидетельствует о росте числа атак на предприятия критической инфраструктуры. Компании, обязанные обеспечивать определённый уровень информационной безопасности (ИБ), понимают необходимость таких мероприятий. Но отсутствие достаточного опыта и компетенций в данной сфере вызывает ряд сложностей.

Недавно к специалистам Cloud Networks обратился Заказчик с просьбой провести аудит. Необходимо было определить, попадает ли предприятие под требования Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Мы провели обследование, подтвердили отношение деятельности предприятия к действию Федерального закона №187-ФЗ и определили три основных шага, позволяющих сформировать безопасную АСУ ТП.

Шаг 1. Создание центра ответственности

Информационная безопасность на предприятиях чаще всего обеспечивается специальными подразделениями. Но их зона ответственности обычно ограничивается безопасностью корпоративных систем и защитой периметра сети. Недостаток знаний и опыта в работе с ИБ АСУ ТП может стать причиной различных происшествий, включающих техногенные аварии. Они могут нести тяжёлые последствия не только для самого предприятия, но и для населения и государства в целом.

По этой причине обеспечение информационной безопасности АСУ ТП требует создания специального центра ответственности. В современной действительности из-за кадрового голода в стране привлечение в штат профессионалов в области ИБ АСУ ТП практически невозможно. Выходом из ситуации становится формирование смешанного подразделения, состоящего из экспертов по ИБ и сотрудников, обладающих знаниями и опытом в обслуживании систем автоматизации промышленных предприятий. Чтобы они смогли обеспечить должный уровень защиты, наша компания рекомендует организовать для них соответствующее переобучение.

Шаг 2. Инвентаризация активов

Работы в рамках данного шага проводятся в несколько этапов, первым из которых является определение активов. Особенности объектов, входящих в состав АСУ ТП, и опыт аудита Cloud Networks показывают, что для успешной реализации этого этапа требуется привлечения департаментов, занимающихся:

  • обслуживанием и сопровождением систем автоматизации промышленных предприятий,
  • информационными технологиями,
  • безопасностью,
  • защитой государственной тайны,
  • проведением мероприятий по ГО и ЧС.

Вторым этапом является классификация активов ‒ определение категории значимости (Постановление Правительства РФ №127 от 08.02.2018) или класса защищённости (Приказ ФСТЭК России №31 от 14.03.2014).

Третий этап ‒ определение потенциального ущерба от успешных кибератак

Для его реализации следует пользоваться информацией из следующих источников:

  1. Федерального закона от 21.07.1997 №116-ФЗ «О промышленной безопасности опасных производственных объектов».
  2. Федерального закона от 21.07.1997 №117-ФЗ «О безопасности гидротехнических сооружений».
  3. Федерального закона от 21.07.2011 No 256-ФЗ «О безопасности объектов топливно-энергетического комплекса».
  4. Других документов, позволяющих дать оценку вероятных последствий успешного проникновения.

Если в сфере работы конкретного предприятия отсутствует необходимая для прогнозирования потенциального ущерба документация, к оценке может быть привлечена экспертная комиссия. Составленное специалистами заключение должно быть запротоколировано.

Чёткая организация мероприятий по формированию информационной безопасности автоматизированных систем управления технологическим процессом является основой для обеспечения необходимого уровня защиты промышленных предприятий. Этот сложный и ответственный процесс мы рекомендуем доверять компетентным организациям, имеющим достаточный опыт работы в данной сфере. Одной из таких компаний является Cloud Networks, которая предлагает предприятиям полный комплекс услуг, включающий аудит ИБ АСУ ТП, проектирование системы безопасности, разработку мероприятий, составление организационно-распорядительной документации, поставку и внедрение средств защиты информации.

Cloud Networks
Автор: Cloud Networks
Cloud Networks — бизнес-партнёр по безопасной цифровой трансформации и экономике данных. С 2015 года проектируем, внедряем и сопровождаем ИТ-инфраструктуру ведущих компаний и крупных промышленных предприятий России с упором на информационную безопасность. Консалтинг, управление безопасностью (MSS) и другие сервисы позволяют не только создавать, но и поддерживать надёжную и защищённую цифровую среду, где бизнес работает без рисков и угроз.
Комментарии: