Сегодня одним из наиболее масштабных национальных проектов является «Цифровая экономика Российской Федерации»: различные отрасли экономики постепенно переводят на «цифровые» рельсы, внедряя сложные системы автоматизации. В том числе промышленные предприятия, которые в области автоматизации достигли высокого уровня. К сожалению, помимо очевидного прогресса и роста эффективности технологических процессов, существенно вырос риск кибератак злоумышленников. Государство, естественно, старается снижать риски – через нормативно-правовые акты. Иными словами, обязывая предприятия обеспечивать информационную безопасность как корпоративных систем, так и систем промышленной автоматизации. Сегодня мы поговорили с Иваном Алексеевым – Ведущим инженером управления ИБ АСУ ТП Cloud Networks – о том, какие шаги необходимо предпринять предприятиям для обеспечения надлежащего уровня безопасности.
Иван, расскажите, пожалуйста, с какими проблемами сталкиваются промышленные предприятия, когда дело доходит до безопасности АСУ ТП?
Одна из ключевых проблем – промышленные предприятия не знают, с чего начать. У многих из них нет соответствующих компетенций. То есть они знают статистику инцидентов, знают нормативные акты, риски от реализации. Иногда в штате банально нет специалистов, которые скажут, например, с чего начать, что наиболее критично и т.д. Как пример – совсем недавно к нам в Cloud Networks поступил запрос на проведение аудита для определения попадания под требования Федерального закона №187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации»). У Заказчика не было ни опыта, ни специалистов. Наши эксперты провели обследование и дали исчерпывающие доводы по принадлежности одной из сфер, попадающих под действие данного ФЗ.
Хорошо, допустим, предприятие решило самостоятельно обеспечить безопасность систем промышленной автоматизации. С чего начать?
В первую очередь, нужно определить лицо или подразделение, ответственное за обеспечение информационной безопасности этих систем. На самом деле, в большинстве предприятий такое подразделение уже есть, но оно занимается корпоративными системами и защитой периметра. Исходя из нашего опыта, а аудитов крупных предприятий мы провели очень много, такие специалисты не видят всех нюансов в обеспечении кибербезопасности систем промышленной автоматизации: для них они - «темный лес». Если применять требования безопасности корпоративных систем к системам промышленной автоматизации – это может привести к нарушению их функционирования. А это, в свою очередь, может привести к техногенным авариям, которые могут иметь серьезные последствия.
Конечно, сейчас на рынке довольно мало специалистов, а свободных специалистов по ИБ АСУ ТП, мне кажется, вообще нет. Как вариант – смешанное подразделение, состоящее из специалистов по информационной безопасности и специалистов, которые в прошлом занимались обслуживанием систем промышленной автоматизации. Но для последних необходимо провести дополнительное обучение по этому направлению.
Допустим, мы сформировали такое подразделение. Что следующее?
Допустим, вы сформировали подразделение или выделили штатного специалиста по ИБ. Далее необходимо определить, какие активы имеются на предприятии, затем провести их классификацию. Опыт проведения аудитов показывает, что в инвентаризации должен участвовать не только обслуживающий персонал.
Под АСУ ТП прежде всего подразумевают автоматизацию технологических установок, забывая при этом о таких важных составляющих технологического процесса, как объекты энергетики – распределительные пункты, электроподстанции и т.д.
И какой получается окончательный список сотрудников для проведения?
Для проведения инвентаризации и классификации необходимо привлечь ИТ-подразделение, подразделения, которые осуществляют обслуживание и сопровождение систем промышленной автоматизации, в том числе службу главного энергетика, подразделения безопасности, по защите государственной тайны, промышленной безопасности, по гражданской обороне и чрезвычайным ситуациям.
После этого необходимо их классифицировать – определить категорию значимости в соответствии с Постановлением Правительства РФ №127 от 08.02.2018 или определить класс защищенности в соответствии с Приказом ФСТЭК России №31 от 14.03.2014. Затем определить возможный ущерб от реализации компьютерных атак в соответствии с нормативными документами Российской Федерации в области обеспечения информационной безопасности.
А как определить ущерб? Есть какие-то нормативные акты?
Для оценки ущерба можно использовать данные из следующих источников:
- декларацию промышленной безопасности опасного производственного объекта в соответствии со статьёй 14 Федерального закона от 21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных объектов»
- декларацию безопасности гидротехнического сооружения в соответствии с Федеральным законом от 21.07.1997 № 117-ФЗ «О безопасности гидротехнических сооружений»
- паспорт безопасности объекта топливно-энергетического комплекса в соответствии с требованиями Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
- а также другие документы, по которым можно установить возможный ущерб техногенного характера
В случае отсутствия этих документов, для оценки ущерба можно использовать мнение экспертной комиссии, но следует документально закрепить его протоколом.
И последний шаг – построение системы защиты.
Что он включает?
Сначала нужно распределить ответственность за реализацию мер по обеспечению информационной безопасности между структурными подразделениями предприятия. К сожалению, между подразделениями часто возникают разногласия в реализации мероприятий по обеспечению информационной безопасности, поэтому в организационно-распорядительных документах и положении о структурном подразделении очень важно закрепить зоны ответственности подразделений. Далее необходимо разработать организационно – распорядительную документацию, регламентирующую обеспечение информационной безопасности. И в конце сформировать требования к системе защиты, исходя из ранее определенного класса и структуры активов, в соответствии нормативными документами Российской Федерации в области обеспечения информационной безопасности.
Выполнив все эти пункты, вы приступите к реализации мер по обеспечению кибербезопасности систем промышленной автоматизации. Задача сложная, требует глубоких знаний и объемного опыта, поэтому для ее выполнения рекомендую привлекать партнеров, имеющие соответствующие компетенции и обширную практику в проектах ИБ АСУ ТП. Так поступают многие крупные предприятия, работая с командой Cloud Networks. Мы с удовольствием делимся опытом и знаниями наших профильных экспертов, реализуя в проектах наиболее современные подходы к информационной безопасности систем промышленной автоматизации.
