Контакты
Подписка 2025

Методы обеспечения ИБ для промышленных IoT-систем

Константин Саматов, 03/02/21

Тенденции перехода к “цифровому обществу” вывели на первый план информационные инфраструктуры, состоящие из устройств Интернета вещей, причем в последние годы наблюдается тенденция роста использования Интернета вещей в промышленном сегменте. Однако увеличение количества указанных систем неизбежно приводит к увеличению рисков для их безопасности. В рамках данной статьи поговорим об особенностях обеспечения информационной безопасности промышленных IoT-систем.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

Что такое промышленный Интернет вещей?

На текущий момент нет единого толкования понятий "Интернет вещей" и "промышленный Интернет вещей".

Так, п. 3.1. ПНСТ1 419-2020 "Информационные технологии. Интернет вещей. Общие положения"2 определяет Интернет вещей (Internet of Things, loT) как инфраструктуру взаимосвязанных сущностей, систем и информационных ресурсов, а также служб, позволяющих обрабатывать информацию о физическом и виртуальном мире и реагировать на нее. Данное определение скопировано из ISO/IEC 20924:2018 Information technology – Internet of Things (IoT) – Vocabulary ("Информационные технологии – Интернет вещей (IoT) – Словарь").

В свою очередь, п. 4 Стратегии развития информационного общества в Российской Федерации на 2017–2030 гг. (утв. Указом Президента Российской Федерации от 9 мая 2017 г. No 203) дает следующие определения:

  • индустриальный интернет – концепция построения информационных и коммуникационных инфраструктур на основе подключения к информационно-телекоммуникационной сети "Интернет" промышленных устройств, оборудования, датчиков, сенсоров, систем управления технологическими процессами, а также интеграции данных программно-аппаратных средств между собой без участия человека;
  • интернет вещей – концепция вычислительной сети, соединяющей вещи (физические предметы), оснащенные встроенными информационными технологиями для взаимодействия друг с другом или с внешней средой без участия человека.

Таким образом, из анализа определений можно сделать вывод о том, что промышленный Интернет вещей (Industrial IoT, далее – IIoT) представляет собой совокупность автоматизированных систем управления производственным и/или технологическим процессом, а также отдельных их компонентов, образующих единую информационную инфраструктуру посредством информационно-телекоммуникационной сети "Интернет".

Методы обеспечения информационной безопасности IIoT

Для того чтобы определить методы обеспечения информационной безопасности, в первую очередь необходимо понять, какими характеристиками обладает тот или иной объект защиты.

Характеристики систем IoT определены в разделе 7 ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура (см. табл.).

С точки зрения обеспечения информационной безопасности важными являются характеристики доверенности системы IoT. Доверенность определяется как степень доверия к тому, что система работает, согласно ожиданиям, с такими свойствами, как безопасность, защищенность, приватность, надежность и способность к восстановлению в условиях воздействия окружающей среды, ошибок персонала, системных сбоев и атак3. При этом следует обратить внимание на то, что по сути системы IIoT являются автоматизированными системами управления, подключенными к информационно-телекоммуникационной сети Интернет, а следовательно большинство методов по обеспечению их информационной безопасности будут обусловлены предъявляемыми к системам данного вида требованиями по информационной безопасности, установленными приказами ФСТЭК России от 14.03.2014 г. No 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" и от 25.12.2017 г. No 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Рассмотрение общих методов защиты автоматизированных систем управления видится нецелесообразным ввиду наличия большого количества публикаций, посвященных данной тематике, поэтому далее в статье рассмотрим только методы обеспечения безопасности, характерные исключительно для систем IIoT, которые, естественно, должны применяться в комплексе с реализацией установленных законодательством требований по обеспечению информационной безопасности.

Общеизвестно, что безопасность информации представляет собой состояние, при котором обеспечиваются такие свойства информации, как конфиденциальность, доступность и целостность.

В части конфиденциальности для систем IIoT характерно то, что указанные системы могут содержать в себе персональные данные или набор информации, которая путем агрегации, анализа или применения других способов может стать персональными данными.

С учетом того, что система имеет подключение к глобальной информационно-телекоммуникационной сети, основными методами обеспечения конфиденциальности будут:

  • запрет чтения данных или управляющих сообщений для неавторизованных людей или систем;
  • разграничение доступа между авторизованными пользователями и компонентами служб, в том числе с применением механизмов криптографии;
  • обработка минимально необходимого набора персональных данных и их удаление сразу после утраты необходимости в их обработке.

Следует обратить внимание на часто встречающееся заблуждение, что учетные записи пользователей IIoT якобы не являются персональными данными. Набор таких данных, как фамилия, имя и отчество, должность или роль в системе, как правило, позволяет достоверно идентифицировать конкретное физическое лицо, а согласие работника организации на то, что указанные данные являются общедоступными, не убирает их из категории персональных данных.

Согласно ГОСТ Р ИСО/МЭК 27000–20124 доступность – это свойство быть доступным и готовым к использованию по запросу авторизованной сущности. В части доступности для систем IIoT характерно то, что авторизованными сущностями могут быть как пользователи, так и компоненты служб.

В этой связи доступность для IIoT следует рассматривать в трех аспектах5:

  1. Доступность самого устройства, которая связана как с его внутренними свойствами корректной работы на протяжении времени, так и с сетевой подключаемостью, возможностью взаимодействия с другими устройствами по сети Интернет.
  2. Доступность данных, которая связана со способностью системы осуществлять прием-передачу требуемых данных из системного компонента или в него.
  3. Доступность служб, которая связана со способностью системы предоставлять запрошенную службу пользователям с предварительно определенным качеством обслуживания.

Соответственно, учитывая вышеизложенные особенности, можно сказать, что на передний план выходят следующие методы обеспечения информационной безопасности:

  • резервирование каналов связи;
  • мониторинг событий информационной безопасности и раннее предупреждение компьютерных атак.

Целостность является критически важной характеристикой систем IIoT. Данные, используемые для процессов принятия решений в системе и исполняемом программном обеспечении, не должны быть изменены неисправными или неавторизованными устройствами, злоумышленниками или условиями окружающей среды6.

Помимо стандартных методов обеспечения целостности, реализуемых в рамках исполнения требований регуляторов, в части IIoT-систем следует обратить внимание на то, что важно обеспечить целостность программного кода, исполняемого в процессе работы системы, обеспечить защиту от внесения в него изменений в целях прекращения или изменения нормальной работы системы. В этой связи важное значение приобретают такие методы обеспечения безопасности, как:

  • статический и динамический анализ исходного кода;
  • выстраивание процессов безопасной разработки;
  • обеспечение целостности исходного кода средствами электронной подписи.

  1. Предварительный национальный стандарт.
  2. Вступает в силу 01.01.2021 и действует до 01.01.2024 г.
  3. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
  4. ГОСТ Р ИСО/МЭК 27000–2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология.
  5. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
  6. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
Темы:Интернет вещей (IoT)Персональные данныеБезопасная разработкаАСУ ТПЖурнал "Информационная безопасность" №6, 2020

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...