В Федеральном законе № 187-ФЗ прямо указано, что любая информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, принадлежащие субъекту КИИ на законном основании, считаются объектом КИИ. Поэтому АСУ ТП подлежат категорированию так же, как и другие системы, особенно в промышленности, где технологические процессы напрямую влияют на устойчивость предприятия.
Автор: Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING
Изменения в нормативной базе
Базовым документом для категорирования объектов КИИ остается постановление Правительства РФ № 127. Его структура и подходы давно знакомы большинству специалистов, поэтому детально останавливаться на нем нет необходимости. Гораздо важнее отметить те нововведения, которые появились в последние два года и существенно уточнили порядок работы с АСУ ТП.
Первым таким документом стал Федеральный закон № 58-ФЗ от 7 апреля 2024 г., который внес дополнения в 187-ФЗ. Эти изменения не пересобирают систему заново, но делают процесс категорирования более прозрачным. Закон закрепляет ориентацию на перечни типовых объектов КИИ, подчеркивает необходимость учитывать отраслевые особенности и тем самым устраняет прежние зоны неопределенности. По сути, это набор методических уточнений, облегчающих субъектам КИИ выполнение требований.
Следующий важный шаг – инструкция Минпромторга от 12 января 2024 г., ориентированная на промышленные организации, включая оборонный комплекс, химическую и металлургическую отрасли. Документ устанавливает порядок подготовки к категорированию, ведения перечней объектов КИИ, планов мероприятий и паспортов безопасности. В нем впервые официально закреплена ведущая роль ФГУП "НПП "Гамма" как методического центра, анализирующего отчетность предприятий и дающего рекомендации по ее корректировке.
В 2025 г. появились и перечни типовых объектов КИИ для отдельных отраслей промышленности – химической, оборонной, металлургической и др. Основная часть перечней опубликована весной-летом 2025 г. Отдельные сферы, например финансовая, пока находятся на стадии проектов.
Стоит также упомянуть отраслевые особенности категорирования объектов КИИ. Эти документы пока остаются на стадии проектов и не вступили в силу, хотя ранее предполагалось, что они будут действовать с 1 сентября 2025 г. Их появление станет следующим шагом к детализации требований, поскольку в них фиксируются специфические риски и критерии оценки значимости для конкретных отраслей.
Обновленная логика категорирования
Новые нормативные документы существенно уточнили порядок категорирования АСУ ТП, но базовая логика процесса осталась прежней. Первый шаг – формирование комиссии. И здесь подход заметно изменился. Если ранее в состав комиссии часто входили преимущественно руководители подразделений, то теперь инструкция Минпромторга прямо ориентирует организации на включение специалистов, отвечающих за эксплуатацию АСУ ТП. Именно они глубже других понимают технологическую цепочку, знают реальные зависимости и способны адекватно оценить влияние отказов.
Следующий этап – инвентаризация АСУ ТП, которая теперь проводится с ориентацией на перечни типовых объектов КИИ. Перечни позволяют сопоставлять собственные системы с отраслевыми примерами и исключают прежнюю ситуацию, когда каждая организация формировала перечень с нуля.
После инвентаризации производится анализ критических процессов, которые поддерживает каждая из систем. В типовых перечнях и, особенно, в проектах отраслевых особенностей, подробно указано, какие процессы считаются критичными для конкретных видов промышленности.
Затем следует оценка значимости, которая по-прежнему основывается на критериях, закрепленных в постановлении № 127: социальной, экономической, экологической и значимости для обороноспособности. Для АСУ ТП именно эти критерии оказываются наиболее чувствительными, поскольку технологические процессы напрямую влияют на безопасность людей, устойчивость производства и состояние окружающей среды.
Завершается процедура присвоением категории объекту КИИ и направлением сведений в ФСТЭК России.
Организационные меры защиты
Главным нормативным документом, регулирующим организационные меры защиты в АСУ ТП, остается приказ ФСТЭК России № 31, устанавливающий требования к обеспечению безопасности в автоматизированных системах управления. По своей структуре он близок к приказам № 21 и № 239, а центральным элементом документа является перечень обязательных мер, сгруппированных по направлениям.
Первая задача – формирование комплекса корпоративных документов. В приказе № 31 каждая группа мер открывается позицией с идентификатором ".0", которая отражает необходимость регламентации соответствующего процесса: обучения персонала, идентификации и аутентификации, управления доступом и др. Для каждой такой меры требуется рабочий регламент. При этом допускается объединение регламентов, если процессы близки по содержанию.
Важно обеспечить согласованность всех документов, относящихся к технологической инфраструктуре, с корпоративной системой управления информационной безопасностью. Политики, принципы и роли должны быть унифицированы: иначе технологический контур превращается в параллельную систему безопасности, живущую по собственным правилам.
Хорошей практикой становится ведение единого реестра активов, включающего оборудование, программное обеспечение, данные и ответственных лиц. Такой реестр – не только инструмент инвентаризации, но и основа для анализа уязвимостей.
Отдельное направление – нормативное обеспечение функционирования системы защиты. Речь идет не просто о создании документов, а о формировании методик оценки эффективности внедренных мер. Соответствие требованиям регуляторов должно подтверждаться не формальными отчетами, а измеримой работоспособностью защитных механизмов.
Особое значение имеет план реагирования на инциденты. На практике этот документ нередко создают ради проверок, однако он должен служить реальным рабочим инструментом для персонала. План обязан фиксировать порядок действий и зоны ответственности на всех этапах – от обнаружения и эскалации до анализа причин и устранения последствий, включая регламентацию постинцидентных мероприятий и восстановление технологического процесса.
Профессиональное обучение остается еще одним обязательным направлением. Проблема выбивания бюджета хорошо известна, поэтому оптимальным решением становится разработка целевой политики обучения, где закрепляются роли, перечень курсов и график подготовки сотрудников. Современная образовательная экосистема позволяет формировать отдельные учебные траектории для инженеров АСУ ТП и ИТ-подразделений. В некоторых организациях успешно применяется ротация: ИТ-специалистов направляют на технологические курсы, а инженеров – на ИТ-дисциплины.
Не менее важны симуляции кибератак и тренировки по реагированию. Они позволяют протестировать готовность персонала и систем, но проводить их следует исключительно в тестовых сегментах. Попытки моделировать атаки на боевых системах нередко приводили к нежелательным последствиям, и такая практика должна быть исключена.
Управление доступом в АСУ ТП
Несмотря на то, что тема управления доступом обсуждается уже много лет, на практике именно здесь продолжают возникать наиболее характерные проблемы. Общие учетные записи, пароли, записанные на стикерах, и временные доступы, которые никто не ограничивает, до сих пор встречаются даже на крупных производственных объектах.
Эффективная система управления доступом должна начинаться с четкой ролевой модели, основанной на принципе минимальных привилегий. Сотрудник должен обладать доступом лишь к тем функциям и данным, которые необходимы ему для выполнения рабочих задач. Избыточные права становятся потенциальной точкой компрометации: в случае взлома одной учетной записи злоумышленник получает возможность работать с элементами системы, к которым пользователь изначально не должен иметь отношения.
Важной мерой остается ограничение числа попыток входа. Даже сегодня брутфорс-атаки – один из простейших и при этом весьма эффективных способов подбора паролей.
К числу дополнительных, но практических мер, рекомендуемых приказом № 31, относится уведомление пользователя о правилах информационной безопасности при входе в SCADA-системы. Простое напоминание о допустимых и недопустимых действиях формирует правильное поведение персонала и снижает вероятность непреднамеренных нарушений.
Не менее важно обеспечить динамическое управление правами. Речь идет не только о блокировке учетных записей уволенных сотрудников, но и о корректировке прав при любых изменениях роли – переводе в другой отдел, повышении или изменении зоны ответственности. Жизненный цикл доступа должен быть автоматизирован, иначе в системе неизбежно останутся забытые учетные записи и устаревшие роли.
Технические меры защиты
Основа технологической безопасности – корректная сегментация сети. На нулевом уровне, где работают сенсоры и исполнительные механизмы, необходима физическая изоляция через аппаратные шлюзы, чтобы исключить любое внешнее несанкционированное воздействие на критичное оборудование.
Первый уровень включает ПЛК и устройства удаленного доступа. Для их защиты используют VLAN с фильтрацией промышленных протоколов, чтобы предотвратить попадание некорректных или вредоносных команд в технологический контур.
На втором уровне находятся SCADA-системы и HMI. Их защиту обеспечивают межсетевые экраны, которые анализируют команды между уровнями и блокируют попытки несанкционированного воздействия.
Над технологическим контуром формируют DMZ-зону для контролируемой связи АСУ ТП с корпоративной ИТ-сетью. Здесь используют односторонние шлюзы (дата-диоды), которые позволяют передавать метрики наверх без риска обратного канала и возможной атаки.
Интеграция SCADA с классическими SIEM обычно малоэффективна: SCADA генерирует неструктурированные события, создающие нагрузку и шум. Поэтому в промышленности все чаще используют OT-ориентированные средства мониторинга (промышленные SIEM/OT IDS), которые анализируют протоколы Modbus, DNP3, OPC и выявляют аномалии, характерные для технологических процессов.
Двухфакторная аутентификация остается важной мерой в технологическом контуре. Для удаленного доступа к SCADA применяют связку "токен+пароль", для входа в HMI – смарт-карту и PIN, для ПЛК – биометрию с одноразовым кодом. В промышленности такие решения уже используются: например, в нефтегазе доступ к компрессорным станциям защищают аппаратным токеном и голосовой биометрией.
СКУД в промышленной среде выполняет функции и физической, и логической безопасности. Интеграция с корпоративными ИТ-системами, прежде всего с каталогом пользователей, позволяет автоматически синхронизировать статусы сотрудников: блокировка пропуска приводит к отключению их учетных записей в информационных системах.
Биометрические считыватели обеспечивают надежную идентификацию на проходных и в критичных помещениях, что особенно важно для серверных АСУ ТП и зон с ПЛК. СКУД также выполняет централизованное журналирование попыток входа и перемещений, что помогает при анализе инцидентов. Современные системы могут автоматически блокировать доступ в зоны с ПЛК при срабатывании пожарной сигнализации, защищая персонал и оборудование в нестандартных ситуациях.
К техническим мерам относится и безопасная разработка ПО для технологического контура. ГОСТ Р 56939 –2024 задает структурированный жизненный цикл – от анализа требований и проектирования до реализации, тестирования и сопровождения, предусматривая контроль безопасности на каждом этапе.
Резервирование – ключевая мера для обеспечения непрерывности технологических процессов. Оно включает не только создание копий данных (конфигураций ПЛК, баз SCADA, параметров HMI) с ежедневными инкрементами и полными бэкапами перед обновлениями, но и резервирование мощностей: дублирующие контроллеры, ИБП, дизель-генераторы и резервные каналы связи. Частые ошибки – ограничиваться только данными, не тестировать восстановление и хранить бэкапы на устаревших носителях, которые могут подвести в критический момент.
Выводы
Обновленный порядок категорирования не увеличивает объем бюрократических процедур. Наоборот, он делает процесс более понятным – особенно если опираться на типовые перечни объектов КИИ и отраслевые ориентиры.
Благодаря этим документам удается избежать прежней субъективности. Политика безопасности и регламенты должны быть рабочими инструментами, а не формальными артефактами. Технические меры следует принимать на основе инженерного расчета, а не ограничиваться лишь подбором оборудования.
Главный принцип остается прежним: защита от инцидентов, а не от проверок. Устойчивость технологического процесса важнее любого отчета.
Реклама: АО «Актив-софт». ИНН 7729361030. Erid: 2SDnjefZAB2