Обеспечение информационной безопасности АСУ – трудоемкая задача, потому что ИБ-специалистам необходимо выстроить систему защиты и организовать максимально безопасный режим функционирования АСУ, чтобы защищаемые информационные системы промышленного предприятия или объекта КИИ не подвергались внутренним и сторонним негативным воздействиям. При построении системы защиты рекомендуется учитывать международные регламенты кибербезопасности.
Чем отличается АСУ от остальных информационных систем?
Основное предназначение АСУ – управление физическими объектами (производственным, станочным и другими видами оборудования). Поэтому при функционировании АСУ должны обеспечиваться планомерность, цикличность работы оборудования, снижаться вероятность возникновения аварийных ситуаций. Из-за индустриального характера АСУ задачи по обеспечению ее безопасности должны рассматриваться обособленно от иных систем. Специфика АСУ заключается в следующем:
- составляющие части АСУ располагаются обычно в труднодоступных зонах (на высоте, на нежилых участках);
- жизненный цикл АСУ – около 25-35 лет, у обычных информационных систем – не более 5 лет;
- АСУ не располагает резервом памяти для использования функционала безопасности;
- поддержка АСУ выполняется исключительно компанией-производителем или официальным дистрибьютером;
- протоколы коммуникации для АСУ выполняются на предельно профессиональном уровне (часто применяются выделенные каналы);
- для АСУ актуально применение специфичных операционных систем с детально установленным параметрами совместимости и контролем обновлений;
- в процессе управления рисками АСУ работает с физическими процессами, обычные информационные системы – с данными;
- невозможно применять перезагрузку в качестве методики решения проблем в работе АСУ;
- АСУ работает в реальном времени (в сравнении со стандартными информационными системами).
Информационная безопасность для АСУ
При выстраивании ИБ для АСУ специалисты должны учитывать общепринятые стандарты. Чаще всего применяется стандарт ISO/IEC 27000, на основе которого создан и интегрирован отечественный ГОСТ. Находит свое использование и стандарт ISA/IEC 62443, который частично также был реализован в российских ГОСТах.
Отчасти вопрос кибербезопасности АСУ может быть решен на уровне государства. Это обусловлено тем, что такие системы должны быть лицензированы и сертифицированы – на эти процедуры обычно затрачивается около 10% от стоимости всей системы. Главной задачей обеспечения кибербезопасности для АСУ является возможность контроля рисков с функцией их предварительного ранжирования. Риски распределены по уровням:
- Управление сигнализационными устройствами, датчиками.
- Местное управление используемым оборудованием, технологическими процессами.
- Управление и отслеживание протекающих физических процессов.
- Операционное управление производственными решениями.
- Управление организацией в целом.
Для каждого представленного уровня характерны собственные риски, блокировка которых от кибератак и сбоев в работе программного обеспечения требуется для обеспечения информбезопасности. При полной организации кибербезопасности АСУ необходимо реализовать:
- доступность информации;
- ограниченность временного промежутка реакции на инциденты безопасности;
- контроль потоков информации, исключение утечек данных;
- гарантия целостности системы, связей;
- контроль эксплуатации ресурсов оборудования;
- управления идентификационными и аутентификационными решениями.
Если подобные требования будут соблюдаться, что можно рассуждать о нормальном обеспечение информационной безопасности АСУ.