Журнал "Information Security/ Информационная безопасность" #5, 2018

20 • СПЕЦПРОЕКТ Тем не менее ряд мер и требований реализо- вать без применения тех- нических средств доста- точно сложно. А если объект КИИ включает системы промыш- ленной автоматизации и АСУ ТП, задача применения дополни- тельных технических средств усложняется в разы. К примеру, если взять небольшой перечень мер, обязательных к реализации для объектов КИИ всех трех категорий значимости, таких как АУД.4 (регистрация событий без- опасности), АУД.7 (мониторинг безопасности), ИНЦ.1 (выявле- ние компьютерных инцидентов), ИНЦ.2 (информирование о ком- пьютерных инцидентах), ИНЦ.3 (анализ компьютерных инциден- тов) 1 , то простой вопрос "Как это технически реализовать в АСУ ТП?", как правило, остается без ответа. АСУ ТП – это сложно На этом всем известном факте зиждется общепринятое мнение о том, что простых и эффективных решений в обла- сти кибербезопасности АСУ ТП не бывает. Слишком много интересов и зон ответственно- сти пересекается при сопри- косновении областей кибербе- зопасности, промышленной автоматизации и информа- ционных технологий. А уже- сточение требований регуля- торов и отсутствие решений, позволяющих их закрыть, усложняет и без того непро- стой процесс принятия реше- ний. Специалистам Positive Tech- nologies, имеющим многолет- нюю экспертизу в области исследований защищенности АСУ ТП, вопрос сложности решений безопасности в этой области также был всегда очевиден. Но ровно до тех пор, пока они не поставили сами себе амбициозную цель – дать рынку простое решение сложных задач. В 2016 г. ком- панией была выпущена пер- вая версия решения Industrial Security Incident Manager (PT ISIM). Решение было ори- ентировано на выявление инцидентов и кибератак на системы управления техноло- гическими процессами и стало первым в мире решением такого класса, применяемым на системах централизации управления железнодорож- ным транспортом. Сегодня продукт представ- ляет собой систему мониторин- га защищенности и управления инцидентами кибербезопасно- сти технологических сетей и систем промышленной авто- матизации. Но не только. Поми- мо непосредственного выявле- ния инцидентов и кибератак, PT ISIM выполняет автоматиче- скую инвентаризацию сети, контролирует все информа- ционное взаимодействие между компонентами АСУ ТП, выявляет попытки неавторизо- ванного управления как самой АСУ ТП, так и непосредственно технологическим процессом. Кроме того, анализируемые и хранимые в нем данные можно использовать при про- ведении расследований инци- дентов. А осенью 2018 г., раз- вивая идею простого решения сложных задач безопасности АСУ ТП, компания выпустила бесплатную версию PT ISIM – PT ISIM freeView Sensor. Инструмент для любой АСУ ТП Набор функциональных воз- можностей коммерческой вер- сии PT ISIM позволяет эффек- тивно ее использовать в АСУ ТП независимо от того, на какой платформе она построена. Например: l обеспечение безопасности самого технологического про- цесса: архитектура пассивного мониторинга PT ISIM исключает нежелательное воздействие на технологический процесс; АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение бсуждение вопросов, связанных с ФЗ-187 и приказом № 239, все больше переходит в практическое русло: уже есть понимание, какие шаги необходимо сделать предприятиям в ближайшие несколько лет, и уже вполне можно обсуждать практические аспекты реализации требований по обеспечению защиты. Если не технических, то организационных и компенсирующих – точно. Потому что именно они дают возможность закрыть больше половины требований по обеспечению безопасности объектов КИИ, не прибегая к инвестициям в технические средства защиты. О Рис. 1. Интерфейс сенсора PT Industrial Security Incident Manager (PT ISIM) 1 Список мер по обеспечению безопасности КИИ, определенный приказом ФСТЭК № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies