Контакты
Подписка 2024

Комплексная защита КИИ на производственном объекте

Константин Саматов, 13/05/24

Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Создание надежной комплексной системы защиты критической информационной инфраструктуры крайне важно для бесперебойной деятельности предприятия и минимизации возможного ущерба. КИИ представляет собой совокупность объектов (автоматизированных систем), а также сетей связи, обеспечивающих взаимодействие этих объектов (систем).

Основными объектами КИИ промышленных комплексов являются:

  • автоматизированные системы управления технологическими процессами (АСУТП);
  • вспомогательные информационные системы: системы мониторинга оборудования, MES (Manufacturing Execution System – система управления производственными процессами), ERP (Enterprise Resource Planning – система планирования ресурсов предприятия) и т.п.;
  • информационные системы персональных данных (достаточно редкий вид в рамках производственных объектов, но все же встречается).

Говоря о комплексной защите, или, более правильно, комплексе мероприятий по защите объектов КИИ в рамках производственного предприятия, можно выделить следующие уровни защиты:

  1. Защита от физического проникновения на объект.
  2. Защита компонентов объектов КИИ.
  3. Защита информации, обрабатываемой объектами КИИ и передаваемой между ними.
  4. Регламентация процессов информационной безопасности.
  5. Работа с персоналом.

Безопасность объектов на каждом из указанных уровней обеспечивается путем реализации набора мероприятий (см. таблицу).

ris1-May-13-2024-07-18-21-0269-AM

Приведенный в таблице набор мер является ориентировочным и подлежит адаптации в соответствии с актуальными угрозами информационной безопасности, применяемыми информационными технологиями и особенностями функционирования производственного объекта, с учетом требований следующих нормативных документов:

  • Приказ ФСТЭК России от 21.12.2017 № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
  • Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
  • Приказ ФСТЭК России от 14.03.2014 № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Выше был указан ориентировочный набор мер для обеспечения комплексной защиты объектов КИИ на производственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты.

Алгоритм создания системы защиты

Первое, с чего нужно начинать создание системы защиты, – это определение объектов защиты и состава мер, которые необходимо реализовать. Этому и была посвящена предыдущая часть статьи.

Второе – это аудит, то есть оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплексной системы защиты информации [1].

Третье – проектирование системы защиты, то есть разработка описания системы защиты, основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут использоваться для ее разработки и поддержки.

Четвертое – внедрение: закупка, установка и настройка средств защиты, образующих комплексную систему защиты информации.

Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промышленную эксплуатацию.

Если необходимо создать комплексную систему безопасности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов следует рассматривать как проект и применять для их реализации принципы проектного управления (обычно в таких случаях подходит "классическое" проектное управление, а не гибкие методологии).

Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствование. Напомню знаменитый цикл Шухарта-Деминга: Планирование (Plan) – Выполнение (Do) – Контроль (Check) – Корректировка/Улучшение (Act). В рамках процессов сопровождения рекомендую обеспечить:

  • периодическое проведение анализа эффективности системы защиты информации и внедрение необходимых изменений;
  • учет изменений, трендов и развития технологий как в области автоматизации технологических процессов, так и информационной безопасности;
  • постоянное обновление программного и аппаратного обеспечения с целью закрытия уязвимостей и поддержания устойчивого функционирования;
  • проведение регулярных аудитов безопасности, включая различные виды тестирования на проникновение (внутренний нарушитель, внешний нарушитель).

В заключение следует отметить, что создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию.

Однако работа не заканчивается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что позволит своевременно реагировать на изменения в ландшафте угроз, закрывать новые уязвимости, следить за развитием технологий защиты и повышать общий уровень безопасности производственного предприятия.


  1. Подробнее о том, что такое аудит и как его проводить, можно посмотреть в статье https://lib.itsec.ru/articles2/focus/osobennosti-provedeniya-auditainformatsionnoy-bezopasnosti-obektov-kii 
Темы:КИИАСУ ТПЖурнал "Информационная безопасность" №1, 2024

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?
  • Облако перспектив для объектов критической инфраструктуры
    Алексей Кубарев, директор по информационной безопасности Т1 Облако
    В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...