Типовые подходы к защите информации АСУ ТП

Блок «Разработка стратегии и оптимизация процессов ИБ».

Зачастую мы сталкиваемся с тем, что объем работ так масштабен, что не видно конца и края. И если делать все одновременно, не хватит ни денег, ни ресурсов. Поэтому в первую очередь необходимо определить, что критично для предприятия на данном этапе развития, в средне- и долгосрочной перспективе (рис. 1). Изучая производственные бизнес-процессы предприятия и его ИТ-инфраструктуру, мы формируем программы по информационной безопасности, которые позволят спланировать оптимальные работы для предприятия. В рамках стратегии мы помогаем структурировать и спланировать состав и последовательность работ, а также определить показатели их эффективности. Сюда же может входить разработка документов и выстраивание процессов ИБ.

С точки зрения планирования затрат и ресурсов, т.е. бизнеса, это очень важный блок.

Рисунок 1. Разработка стратегии информационной безопасности

Блок «Внедрение решений по обеспечению информационной безопасности и соответствующих процессов».

Здесь стоит понимать, что выбор решений, которые будут обеспечивать ИБ АСУ ТП – деликатная задача. В большинстве случаев требуется проверить корректность работы средства защиты информации по отношению к конкретной программе автоматизации и версиям контроллеров. Поэтому до начала работ по проектированию решений необходимо провести тестирование и определить перечень средств защиты информации, с которыми дальнейшая работа возможна в принципе.

Но это не значит, что каждый раз нужно начинать работу с нуля. Мы сформировали типовые подходы к ИБ АСУ ТП, которые позволяют понять минимальный набор мер и оценить порядок стоимости проекта. Как правило, именно в части технических мер защиты применяется весьма небольшой перечень решений, которые позволяют противодействовать основным угрозам. В обобщенном случае это:

• авторизация и контроль действий пользователей;
• ограничение возможностей нерегламентированного использования ресурсов:

1. рабочих станций;
2. серверов;
3. баз данных;
4. сетевых устройств;

• обеспечение защищенного периметра сети АСУ ТП и разграничение прав пользователей внутри;
• обеспечение безопасного удаленного доступа;
• защита рабочих станций;
• резервирование;
• анализ защищенности и управление информационной безопасностью.

Отдельно хочу отметить, что в рамках внедрения решений по обеспечению ИБ АСУ ТП зачастую создается центр управления информационной безопасностью предприятия. Внедрение технических решений по защите АСУ ТП, данные с которых не собираются, не анализируются и не коррелируются, не дают значительного эффекта. Необходимо оперативно получать информацию о происходящих событиях, автоматически формировать план действий по устранению угроз, распределять задачи и отслеживать работы над ними. О многофункциональности задач, решаемых с помощью центра управления информационной безопасностью, речь пойдет в отдельной статье данного номера Jet Info.

Блок «Подготовка кадров».

Для предотвращения киберугроз нужны тренировки. Важно отрабатывать действия всех сотрудников предприятия по аналогии с обеспечением пожарной или промышленной безопасности. Каждый сотрудник, который работает за компьютером, с интерфейсом «человек–машина» или контроллером, должен проходить эту тренировку. Естественно, для каждой специальности нужно разрабатывать свою программу тренировки. Например, для обслуживающего персонала это может быть отработка ситуации по выявлению вредоносного ПО.

Для того чтобы тренировать сотни человек в год из различных подразделений и иметь хорошо подготовленных специалистов по ИБ, в мире практикуется создание центров подготовки кадров по противодействию киберугрозам. Формат центра определяется индивидуально. Как минимум можно создать стенд, на котором будут отрабатываться различные ситуации. На одном стенде могут тестироваться технические средства защиты информации и проводиться киберучения.

Наша практика показала, что использование классических способов обучения персонала путем принудительного изучения многочисленных регламентов неэффективно. Сотрудники читают документ, ставят подпись об ознакомлении и моментально все забывают. Да, теперь они несут ответственность за выполнение регламента, но во время ЧП предприятию от этого легче не будет. Проведение очного обучения в формате презентации с последующим тестированием более эффективно, но не всегда возможно. Очень хорошо себя зарекомендовало интерактивное обучение в формате игры. Сотрудник выполняет задания, отвечает на тестовые вопросы, зарабатывает баллы, проходит через различные нештатные ситуации. Информация, поданная в таком виде, запоминается отлично, а сотрудники не отлынивают от обучения. Для напоминания правил безопасности АСУ ТП можно использовать проверенный временем формат информационного плаката, но поместить его не только на стену, но и делать почтовые рассылки, использовать как заставку сохранения рабочего стола (screensaver). Тогда каждый компьютер во время простоя становится информационным стендом.

Вышеописанные типовые подходы ИБ АСУ ТП позволяют предварительно определять пути достижения целей. Вместе с тем каждый проект требует глубокого первичного изучения предприятия, так как организационно-штатная структура, повседневная работа подразделений и взаимоотношения между ними очень индивидуальны. ИБ АСУ ТП это не столько технические средства защиты информации, сколько правильно выстроенные процессы и грамотно подготовленные сотрудники.

На момент подготовки публикации Алексей Петухов работал руководителем направления обеспечения информационной безопасности АСУ ТП компании «Инфосистемы Джет»