РЕШЕНИЯ И УСЛУГИ

Решения и услуги ИТ Безопасность

Безопасность АСУ ТП

Безопасность АСУ ТП

 

АСУ ТП – комплекс технических, программных и аппаратных средств, управляющих технологическим оборудованием на критически важных, потенциально опасных объектах, а также объектах, представляющих угрозу окружающей среде и жизни людей. АСУ ТП является составной частью ключевой системы информационной инфраструктуры (КСИИ), управляющей критичным объектом в целом. АСУ ТП применяются в частности в ЖКХ, на транспорте, в топливно-энергетическом комплексе, в промышленности на опасных производствах и т. д.

17 августа 2014 года вступил в силу приказ ФСТЭК № 31 от 14 марта 2014 года. Этот приказ регламентирует защиту информации в автоматизированных системах управления технологическим процессом (АСУ ТП). До вступления в силу 31 приказа ФСТЭК, защита информации в АСУ ТП регулировалась нормативными документами по КСИИ, наиболее значимые из которых - набор документов ФСТЭК, часть из которых для служебного пользования, и ГОСТ РО 0043-002-2012.

Содержание 31 приказа ФСТЭК во многом перекликаются с требованиями 17 и 21 приказов ФСТЭК, регламентирующих защиту ГИС и ПДн соответственно. Все они предполагают градацию защищаемых систем по уровням/классам защищенности, для каждого из которых определяется набор требований по обеспечению безопасности и предоставляется возможность гибкого выбора защитных мер. Ключевым отличием 31 приказа ФСТЭК является необязательность обеспечения конфиденциальности информации: на первое место выходят требования по обеспечению целостности и доступности информации, а конфиденциальность обеспечивается при необходимости. Помимо этого, 31 приказ ФСТЭК регламентирует мероприятия, не описанные в 17 и 21 приказах ФСТЭК, такие как: управление обновлениями, обеспечение действий в нештатных ситуациях, обучение пользователей, анализ угроз безопасности и рисков от их реализации. Также, имеются отличия в требованиях к оценке соответствия и аттестации.

Зарубежный аналог АСУ ТП – SCADA, термин, произошедший от системы управления и сбора данных, но в настоящее время прочно ассоциирующийся именно с АСУ ТП. Помимо 31 приказа ФСТЭК существует большое количество отраслевых и национальных стандартов разных стран по управлению безопасностью АСУ ТП и SCADA. В их числе стандарты Газпрома, NIST PCSRF, ISA SP99, NERC, IEC 61784-4 и многие другие. Несмотря на то, что они, в отличие от 31 приказа ФСТЭК, не обязательны к выполнению в нашей стране, их можно использовать в качестве «лучших практик» при построении системы защиты АСУ ТП.

Специалисты 4х4 помогут вам внедрить организационные и технические меры защиты информации, обеспечивающие доступность, целостность и конфиденциальность (при необходимости) на всех этапах жизненного цикла АСУ ТП.

1. При формирования требований к защите информации в АСУ ТП:

  • Сформулировать цели создания системы защиты;
  • Определить критичную информацию, нарушение доступности, целостности и конфиденциальности которой может привести к нарушению штатного режима функционирования АСУ ТП;
  • Произвести классификацию АСУ ТП по требованиям защиты информации;
  • Разработать модель угроз безопасности АСУ ТП;
  • Адаптировать и дополнить базовый набор мер защиты информации;
  • Сформулировать требования к системе защиты АСУ ТП.

2. На этапе разработки системы защиты АСУ ТП:

  • Создать проект системы защиты АСУ ТП;
  • Разработать эксплуатационную документацию на систему защиты автоматизированной системы управления.

3. На этапе внедрения системы защиты АСУ ТП:

  • Разработать и внедрить организационно-распорядительные документы;
  • Установить и настроить средства защиты АСУ ТП;
  • Провести предварительные испытания, опытную эксплуатация и приемочные испытания АСУ ТП;
  • Провести анализ уязвимостей АСУ ТП, разработать и реализовать меры по их устранению.

4. В ходе эксплуатации АСУ ТП:

  • Разработать планы действий в нештатных ситуациях;
  • Провести обучение персонала;
  • Разработать системы регистрации и управления инцидентами в АСУ ТП.

5. При выводе АСУ ТП из эксплуатации:

  • Произвести уничтожение данных и остаточной информации или уничтожение носителей информации.

Специалисты 4х4 помогут определить технические меры защиты информации в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и особенностей ее функционирования таким образом, чтобы максимально учесть уже существующие средства защиты информации. Система защиты АСУ ТП будет внедряться с учетом всех действующих правовых актов, методических и иных документов, которым должна соответствовать АСУ ТП.

 
Внедряемая система будет соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса, и не будет оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
Александр
Митрохин

Тема: Безопасность АСУ ТП

Задайте мне Ваш вопрос