Защита информации в АСУ ТП на критически важных объектах

Автоматизированные системы управления (АСУ) технологическими процессами критически важных объектов подвержены угрозам как со стороны обычных вирусов, так и целенаправленных атак. Поэтому защита инфраструктуры подобных объектов является важной задачей для специалистов по информационной безопасности.

Способность структуры АСУ стабильно поддерживать непрерывность технологического процесса вне зависимости от внешних факторов является основным критерием, по которому можно оценить защищенность АСУ. Под технологическим процессом подразумевается основная функциональность любого критически важного объекта – например, выработка и передача электричества, транспортировка газа, переработка руды, очистка воды, управление городскими коммунальными службами и т.д. Именно поэтому обеспечение непрерывного и правильно функционирования данного вида процессов является одной из наиболее значимых задач любой информационной системы.

С 1 января 2018 года вступил в силу Феде­ральный Закон от 26.07.2017 N 187-ФЗ «О безопасности критической ин­формационной инфраструктуры Российской Федерации», одновременно с данном ФЗ вступили в силу изменения в Уголовный кодекс РФ.

Сферы применения согласно ФЗ-187 актуально для: 

14 марта 2014 года ФСТЭК России выпустил Приказ N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Данный документ устанавливает требования к обеспечению защиты информации: от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Приказ №31 регламентирует:

• Разработку и документирование правил и процедур (политик) обеспечения безопасности;
• Требования к защите среды виртуализации;
• Обучение и отработку действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций;
• Требования по безопасной разработке ПО;
• Требования по инцидент-менеджменту и анализу угроз безопасности;
• И другие факторы, обеспечивающие должный уровень безопасности объектов.

Учитывая важность объектов и величину ущерба, который может быть нанесен окружающей среде и здоровью людей, требования Приказа №31 направлены на обеспечение функционирования АСУ технологическими процессами в штатном режиме, при котором обеспечивается соблюдение проектных значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, безопасность которых обеспечивается в соответствии с законодательством Российской Федерации.

В автоматизированной системе управления объектами защиты являются:

• Информация о параметрах (состоянии) управляемого объекта или процесса, управляющая информация, контрольно-измерительная информация, иная критически важная (технологическая) информация;
• Программно-технический комплекс, включающий технические средства, программное обеспечение, а также средства защиты информации.

Для обеспечения защиты информации в автоматизированной системе управления компания ARinteg предлагает следующие услуги:

• Формирование требований к защите информации в автоматизированной системе управления;
• Разработка системы защиты автоматизированной системы управления;
• Внедрение системы защиты автоматизированной системы управления и ввод ее в действие;
• Выдача рекомендаций и методических указаний по обеспечениюзащиты информации в ходе эксплуатации автоматизированной системы управления и при выводе ее из эксплуатации.