Контакты
Подписка 2025
Статьи по информационной безопасности

Комплексная защита КИИ на производственном объекте

Константин Саматов, 13/05/24

Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Создание надежной комплексной системы защиты критической информационной инфраструктуры крайне важно для бесперебойной деятельности предприятия и минимизации возможного ущерба. КИИ представляет собой совокупность объектов (автоматизированных систем), а также сетей связи, обеспечивающих взаимодействие этих объектов (систем).

Основными объектами КИИ промышленных комплексов являются:

  • автоматизированные системы управления технологическими процессами (АСУТП);
  • вспомогательные информационные системы: системы мониторинга оборудования, MES (Manufacturing Execution System – система управления производственными процессами), ERP (Enterprise Resource Planning – система планирования ресурсов предприятия) и т.п.;
  • информационные системы персональных данных (достаточно редкий вид в рамках производственных объектов, но все же встречается).

Говоря о комплексной защите, или, более правильно, комплексе мероприятий по защите объектов КИИ в рамках производственного предприятия, можно выделить следующие уровни защиты:

  1. Защита от физического проникновения на объект.
  2. Защита компонентов объектов КИИ.
  3. Защита информации, обрабатываемой объектами КИИ и передаваемой между ними.
  4. Регламентация процессов информационной безопасности.
  5. Работа с персоналом.

Безопасность объектов на каждом из указанных уровней обеспечивается путем реализации набора мероприятий (см. таблицу).

ris1-May-13-2024-07-18-21-0269-AM

Приведенный в таблице набор мер является ориентировочным и подлежит адаптации в соответствии с актуальными угрозами информационной безопасности, применяемыми информационными технологиями и особенностями функционирования производственного объекта, с учетом требований следующих нормативных документов:

  • Приказ ФСТЭК России от 21.12.2017 № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
  • Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
  • Приказ ФСТЭК России от 14.03.2014 № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Выше был указан ориентировочный набор мер для обеспечения комплексной защиты объектов КИИ на производственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты.

Алгоритм создания системы защиты

Первое, с чего нужно начинать создание системы защиты, – это определение объектов защиты и состава мер, которые необходимо реализовать. Этому и была посвящена предыдущая часть статьи.

Второе – это аудит, то есть оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплексной системы защиты информации [1].

Третье – проектирование системы защиты, то есть разработка описания системы защиты, основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут использоваться для ее разработки и поддержки.

Четвертое – внедрение: закупка, установка и настройка средств защиты, образующих комплексную систему защиты информации.

Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промышленную эксплуатацию.

Если необходимо создать комплексную систему безопасности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов следует рассматривать как проект и применять для их реализации принципы проектного управления (обычно в таких случаях подходит "классическое" проектное управление, а не гибкие методологии).

Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствование. Напомню знаменитый цикл Шухарта-Деминга: Планирование (Plan) – Выполнение (Do) – Контроль (Check) – Корректировка/Улучшение (Act). В рамках процессов сопровождения рекомендую обеспечить:

  • периодическое проведение анализа эффективности системы защиты информации и внедрение необходимых изменений;
  • учет изменений, трендов и развития технологий как в области автоматизации технологических процессов, так и информационной безопасности;
  • постоянное обновление программного и аппаратного обеспечения с целью закрытия уязвимостей и поддержания устойчивого функционирования;
  • проведение регулярных аудитов безопасности, включая различные виды тестирования на проникновение (внутренний нарушитель, внешний нарушитель).

В заключение следует отметить, что создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию.

Однако работа не заканчивается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что позволит своевременно реагировать на изменения в ландшафте угроз, закрывать новые уязвимости, следить за развитием технологий защиты и повышать общий уровень безопасности производственного предприятия.

  1. Подробнее о том, что такое аудит и как его проводить, можно посмотреть в статье https://lib.itsec.ru/articles2/focus/osobennosti-provedeniya-auditainformatsionnoy-bezopasnosti-obektov-kii 
Темы:КИИАСУ ТПЖурнал "Информационная безопасность" №1, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Новый ГОСТ изменит работу с ИИ в критической информационной инфраструктуре
    Николай Павлов, архитектор MLSecOps, преподаватель Академии Softline (ГК Softline)
    ФСТЭК России опубликовала проект ГОСТ Р, устанавливающий правила обеспечения безопасности ИИ-систем в ключевых отраслях – от энергетики и транспорта до финансов и здравоохранения. При этом стоимость несоблюдения новых правил может оказаться значительной: это не только риски утечек конфиденциальных данных, но и штрафы, и потеря репутации.
  • Почему DevSecOps не приживается в АСУ ТП и MES – и как его адаптировать
    Артем Пузанков, руководитель группы внедрения практик безопасной разработки Positive Technologies
    Внедрение DevSecOps стало нормой для ИТ-разработки, однако в промышленных системах этот подход сталкивается с серьезными ограничениями. Приоритеты в этих средах – надежность, непрерывность работы и соблюдение отраслевых стандартов – изначально противоречат динамике CI/CD и гибкости DevOps. Дополнительные препятствия создают закрытые контуры, устаревшие технологии и фрагментированная структура ответственности.
  • Слепые зоны реагирования в АСУ ТП
    Классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.
  • Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
    Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности