Обеспечение информационной безопасности объектов критической информационной инфраструктуры (КИИ) является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям. Поэтому, создание надежной комплексной системы защиты КИИ крайне важно для бесперебойной деятельности предприятия и минимизации возможного ущерба.
Критическая информационная инфраструктура (далее - КИИ), как известно, представляет собой совокупность объектов (автоматизированных систем), а также сетей связи обеспечивающих взаимодействие этих объектов (систем).Основными объектами КИИ промышленных комплексов являются:
- автоматизированные системы управления технологическими процессами (далее – АСУТП);
- вспомогательные информационные системы: системы мониторинга оборудования, MES (Manufacturing Execution System - система управления производственными процессами), ERP (Enterprise Resource Planning – система планирования ресурсов предприятия) и т.п.;
- информационные системы персональных данных (достаточно редкий вид в рамках производственных объектов, но все же встречается).
Говоря о комплексной защите или, более правильно, комплексе мероприятий по защите объектов КИИ в рамках производственного предприятия можно выделить следующие уровни защиты:
- Защита от физического проникновения на объект
- Защита компонентов объектов КИИ
- Защита информации, обрабатываемой объектами КИИ и передаваемой между ними
- Регламентация процессов информационной безопасности
- Работа с персоналом
Безопасность объектов на каждом из указанных уровней обеспечивается путем реализации набора мероприятий – см. Таблица 1.
Безусловно, приведенный в Таблице 1 набор мер является ориентировочным и подлежит адаптации в соответствии с актуальными угрозами информационной безопасности, применяемыми информационными технологиями и особенностями функционирования производственного объекта, с учетом требований нормативных документов:
- Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Выше был указан ориентировочный набор мер для обеспечения комплексной защиты объектов КИИ на производственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты:
Первое, с чего нужно начинать создание системы защиты это с определения объектов защиты и состава мер которые необходимо реализовать. Этому, как раз и была посвящена предыдущая часть статьи.
Второе – это аудит, т.е. оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплексной системы защиты информации1.
Третье – проектирование системы защиты, т.е. разработка описания системы защиты основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут использоваться для её разработки и поддержки.
Четвертое – внедрение: закупка, установка и настройка средств защиты образующих комплексную систему защиты информации.
Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промышленную эксплуатацию.
Если необходимо создать комплексную систему безопасности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов, по мнению автора, следует рассматривать как проект и применять для их реализации принципы проектного управления (обычно в таких случаях подходит «классическое» проектное управление, а не гибкие методологии).
Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствования (напомню знаменитый цикл «Шухарта-Деминга»: Планирование (Plan) - Выполнение (Do) - Контроль (Check) - Корректировка/Улучшение (Act). В рамках процессов сопровождения, по мнению автора, рекомендуется обеспечить:
- Периодическое проведение анализа эффективности системы защиты информации и внедрение необходимых изменений.
- Учет изменений, трендов и развития технологий как в области автоматизации технологических процессов, так и информационной безопасности.
- Постоянное обновление программного и аппаратного обеспечения с целью закрытия уязвимостей и поддержания устойчивого функционирования.
- Проведение регулярных аудитов безопасности, включая различные виды тестирования на проникновение (внутренний нарушитель, внешний нарушитель).
В заключении следует отметить, что создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию.
Однако работа не заканчивается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что позволит своевременно реагировать на изменения в ландшафте угроз, закрывать новые уязвимости, следить за развитием технологий защиты и повышать общий уровень безопасности производственного предприятия.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Источник: https://cs.groteck.ru/IB_1_2024/10/index.html
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ruСтавьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!