Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Создание надежной комплексной системы защиты критической информационной инфраструктуры крайне важно для бесперебойной деятельности предприятия и минимизации возможного ущерба. КИИ представляет собой совокупность объектов (автоматизированных систем), а также сетей связи, обеспечивающих взаимодействие этих объектов (систем).
Основными объектами КИИ промышленных комплексов являются:
автоматизированные системы управления технологическими процессами (АСУТП);
вспомогательные информационные системы: системы мониторинга оборудования, MES (Manufacturing Execution System – система управления производственными процессами), ERP (Enterprise Resource Planning – система планирования ресурсов предприятия) и т.п.;
информационные системы персональных данных (достаточно редкий вид в рамках производственных объектов, но все же встречается).
Говоря о комплексной защите, или, более правильно, комплексе мероприятий по защите объектов КИИ в рамках производственного предприятия, можно выделить следующие уровни защиты:
Защита от физического проникновения на объект.
Защита компонентов объектов КИИ.
Защита информации, обрабатываемой объектами КИИ и передаваемой между ними.
Регламентация процессов информационной безопасности.
Работа с персоналом.
Безопасность объектов на каждом из указанных уровней обеспечивается путем реализации набора мероприятий (см. таблицу).
Приведенный в таблице набор мер является ориентировочным и подлежит адаптации в соответствии с актуальными угрозами информационной безопасности, применяемыми информационными технологиями и особенностями функционирования производственного объекта, с учетом требований следующих нормативных документов:
Приказ ФСТЭК России от 21.12.2017 № 235 “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”.
Приказ ФСТЭК России от 25.12.2017 № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
Приказ ФСТЭК России от 14.03.2014 № 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.
Приказ ФСТЭК России от 18.02.2013 № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
Выше был указан ориентировочный набор мер для обеспечения комплексной защиты объектов КИИ на производственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты.
Алгоритм создания системы защиты
Первое, с чего нужно начинать создание системы защиты, – это определение объектов защиты и состава мер, которые необходимо реализовать. Этому и была посвящена предыдущая часть статьи.
Второе – это аудит, то есть оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплексной системы защиты информации [1].
Третье – проектирование системы защиты, то есть разработка описания системы защиты, основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут использоваться для ее разработки и поддержки.
Четвертое – внедрение: закупка, установка и настройка средств защиты, образующих комплексную систему защиты информации.
Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промышленную эксплуатацию.
Если необходимо создать комплексную систему безопасности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов следует рассматривать как проект и применять для их реализации принципы проектного управления (обычно в таких случаях подходит “классическое” проектное управление, а не гибкие методологии).
Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствование. Напомню знаменитый цикл Шухарта-Деминга: Планирование (Plan) – Выполнение (Do) – Контроль (Check) – Корректировка/Улучшение (Act). В рамках процессов сопровождения рекомендую обеспечить:
периодическое проведение анализа эффективности системы защиты информации и внедрение необходимых изменений;
учет изменений, трендов и развития технологий как в области автоматизации технологических процессов, так и информационной безопасности;
постоянное обновление программного и аппаратного обеспечения с целью закрытия уязвимостей и поддержания устойчивого функционирования;
проведение регулярных аудитов безопасности, включая различные виды тестирования на проникновение (внутренний нарушитель, внешний нарушитель).
В заключение следует отметить, что создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию.
Однако работа не заканчивается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что позволит своевременно реагировать на изменения в ландшафте угроз, закрывать новые уязвимости, следить за развитием технологий защиты и повышать общий уровень безопасности производственного предприятия.
Подробнее о том, что такое аудит и как его проводить, можно посмотреть в статье https://lib.itsec.ru/articles2/focus/osobennosti-provedeniya-auditainformatsionnoy-bezopasnosti-obektov-kii
ITSec_articles