Контакты
Подписка 2024
Контакты
Подписка
Статьи по информационной безопасности

Методы обеспечения ИБ для промышленных IoT-систем

Константин Саматов, 03/02/21

Тенденции перехода к “цифровому обществу” вывели на первый план информационные инфраструктуры, состоящие из устройств Интернета вещей, причем в последние годы наблюдается тенденция роста использования Интернета вещей в промышленном сегменте. Однако увеличение количества указанных систем неизбежно приводит к увеличению рисков для их безопасности. В рамках данной статьи поговорим об особенностях обеспечения информационной безопасности промышленных IoT-систем.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

Что такое промышленный Интернет вещей?

На текущий момент нет единого толкования понятий "Интернет вещей" и "промышленный Интернет вещей".

Так, п. 3.1. ПНСТ1 419-2020 "Информационные технологии. Интернет вещей. Общие положения"2 определяет Интернет вещей (Internet of Things, loT) как инфраструктуру взаимосвязанных сущностей, систем и информационных ресурсов, а также служб, позволяющих обрабатывать информацию о физическом и виртуальном мире и реагировать на нее. Данное определение скопировано из ISO/IEC 20924:2018 Information technology – Internet of Things (IoT) – Vocabulary ("Информационные технологии – Интернет вещей (IoT) – Словарь").

В свою очередь, п. 4 Стратегии развития информационного общества в Российской Федерации на 2017–2030 гг. (утв. Указом Президента Российской Федерации от 9 мая 2017 г. No 203) дает следующие определения:

  • индустриальный интернет – концепция построения информационных и коммуникационных инфраструктур на основе подключения к информационно-телекоммуникационной сети "Интернет" промышленных устройств, оборудования, датчиков, сенсоров, систем управления технологическими процессами, а также интеграции данных программно-аппаратных средств между собой без участия человека;
  • интернет вещей – концепция вычислительной сети, соединяющей вещи (физические предметы), оснащенные встроенными информационными технологиями для взаимодействия друг с другом или с внешней средой без участия человека.

Таким образом, из анализа определений можно сделать вывод о том, что промышленный Интернет вещей (Industrial IoT, далее – IIoT) представляет собой совокупность автоматизированных систем управления производственным и/или технологическим процессом, а также отдельных их компонентов, образующих единую информационную инфраструктуру посредством информационно-телекоммуникационной сети "Интернет".

Методы обеспечения информационной безопасности IIoT

Для того чтобы определить методы обеспечения информационной безопасности, в первую очередь необходимо понять, какими характеристиками обладает тот или иной объект защиты.

Характеристики систем IoT определены в разделе 7 ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура (см. табл.).

С точки зрения обеспечения информационной безопасности важными являются характеристики доверенности системы IoT. Доверенность определяется как степень доверия к тому, что система работает, согласно ожиданиям, с такими свойствами, как безопасность, защищенность, приватность, надежность и способность к восстановлению в условиях воздействия окружающей среды, ошибок персонала, системных сбоев и атак3. При этом следует обратить внимание на то, что по сути системы IIoT являются автоматизированными системами управления, подключенными к информационно-телекоммуникационной сети Интернет, а следовательно большинство методов по обеспечению их информационной безопасности будут обусловлены предъявляемыми к системам данного вида требованиями по информационной безопасности, установленными приказами ФСТЭК России от 14.03.2014 г. No 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" и от 25.12.2017 г. No 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Рассмотрение общих методов защиты автоматизированных систем управления видится нецелесообразным ввиду наличия большого количества публикаций, посвященных данной тематике, поэтому далее в статье рассмотрим только методы обеспечения безопасности, характерные исключительно для систем IIoT, которые, естественно, должны применяться в комплексе с реализацией установленных законодательством требований по обеспечению информационной безопасности.

Общеизвестно, что безопасность информации представляет собой состояние, при котором обеспечиваются такие свойства информации, как конфиденциальность, доступность и целостность.

В части конфиденциальности для систем IIoT характерно то, что указанные системы могут содержать в себе персональные данные или набор информации, которая путем агрегации, анализа или применения других способов может стать персональными данными.

С учетом того, что система имеет подключение к глобальной информационно-телекоммуникационной сети, основными методами обеспечения конфиденциальности будут:

  • запрет чтения данных или управляющих сообщений для неавторизованных людей или систем;
  • разграничение доступа между авторизованными пользователями и компонентами служб, в том числе с применением механизмов криптографии;
  • обработка минимально необходимого набора персональных данных и их удаление сразу после утраты необходимости в их обработке.

Следует обратить внимание на часто встречающееся заблуждение, что учетные записи пользователей IIoT якобы не являются персональными данными. Набор таких данных, как фамилия, имя и отчество, должность или роль в системе, как правило, позволяет достоверно идентифицировать конкретное физическое лицо, а согласие работника организации на то, что указанные данные являются общедоступными, не убирает их из категории персональных данных.

Согласно ГОСТ Р ИСО/МЭК 27000–20124 доступность – это свойство быть доступным и готовым к использованию по запросу авторизованной сущности. В части доступности для систем IIoT характерно то, что авторизованными сущностями могут быть как пользователи, так и компоненты служб.

В этой связи доступность для IIoT следует рассматривать в трех аспектах5:

  1. Доступность самого устройства, которая связана как с его внутренними свойствами корректной работы на протяжении времени, так и с сетевой подключаемостью, возможностью взаимодействия с другими устройствами по сети Интернет.
  2. Доступность данных, которая связана со способностью системы осуществлять прием-передачу требуемых данных из системного компонента или в него.
  3. Доступность служб, которая связана со способностью системы предоставлять запрошенную службу пользователям с предварительно определенным качеством обслуживания.

Соответственно, учитывая вышеизложенные особенности, можно сказать, что на передний план выходят следующие методы обеспечения информационной безопасности:

  • резервирование каналов связи;
  • мониторинг событий информационной безопасности и раннее предупреждение компьютерных атак.

Целостность является критически важной характеристикой систем IIoT. Данные, используемые для процессов принятия решений в системе и исполняемом программном обеспечении, не должны быть изменены неисправными или неавторизованными устройствами, злоумышленниками или условиями окружающей среды6.

Помимо стандартных методов обеспечения целостности, реализуемых в рамках исполнения требований регуляторов, в части IIoT-систем следует обратить внимание на то, что важно обеспечить целостность программного кода, исполняемого в процессе работы системы, обеспечить защиту от внесения в него изменений в целях прекращения или изменения нормальной работы системы. В этой связи важное значение приобретают такие методы обеспечения безопасности, как:

  • статический и динамический анализ исходного кода;
  • выстраивание процессов безопасной разработки;
  • обеспечение целостности исходного кода средствами электронной подписи.
  1. Предварительный национальный стандарт.
  2. Вступает в силу 01.01.2021 и действует до 01.01.2024 г.
  3. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
  4. ГОСТ Р ИСО/МЭК 27000–2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология.
  5. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
  6. ПНСТ 438-2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
Темы:Интернет вещейПерсональные данныеIIoTБезопасная разработкаАСУ ТПЖурнал "Информационная безопасность" №6, 2020

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"