Журнал "Системы Безопасности" № 1‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 59 Н а текущий момент уже должен быть выпол- нен ряд ключевых требований по созданию систем безопасности значимых объектов крити- ческой информационной инфраструктуры и по обеспечению их функционирования согласно приказу фСТЭК № 235 "Об утверждении Требо- ваний к созданию систем безопасности значи- мых объектов критической информационной инфраструктуры Российской федерации и обес- печению их функционирования" (особенно в части последних изменений от 01.01.2021 г. в отношении квалификационных требований к специалистам по защите информации). формат аудита и обследования, как правило, используется на основе полной аутсорсинговой модели либо собственными силами без участия сторонних специалистов. Что выбрать? Решение принимает владелец бизнес-процесса защиты информации, исходя из имеющихся возможно- стей и ресурсов. При обследовании сетей не следует полагаться исключительно на метод сбора данных с сер- верного, сетевого и компьютерного оборудова- ния путем получения данных в удаленном режиме, так как не до всех сегментов можно дотянуться и выгрузить требуемые данные – потребуется личное посещение рабочих мест. Немного о нюансах дополнительно в целях сохранения непрерыв- ности производственных процессов следует учитывать следующее: l объекты информатизации обеспечивают режим работы 24/7; l они могут быть сильно устаревшими в части железа и программного обеспечения; l объекты информатизации значительно распре- делены по локациям, территориально удалены; l за администрирование объектов и сопровож- дение могут отвечать как работники иТ-под- разделений, так и аСУ (то есть перекрестные зоны ответственности); l оборудование может находиться на гарантий- ном обслуживании у поставщика или разра- ботчика; l программное обеспечение аСУ критично к малейшим сбоям по временным показате- лям передачи данных; l с оборудования и программного обеспечения управления может собираться статистика и иные телеметрические данные для отправки в адрес технической поддержки поставщика в реальном режиме времени. С учетом изложенного наиболее эффектив- ным будет выбор оптимального времени аудита, минимально оказывающего влияние на плановое функционирование иТ-инфра- структуры аСУ ТП конкретного производствен- ного сегмента. Один из распространенных вариантов – период плановых профилактиче- ских ремонтных работ в цеховых помещениях и серверных. Что исследуем первично изначально следует уделить особое внимание вопросам соответствия – корпоративным стан- дартам информационной безопасности (прави- ла и политики к моменту аудита должны быть утверждены и официально введены в действие, в том числе доведены до ответственных работ- ников) и требованиям законодательства – 187-фз (изначально до проведения проверки необходимо провести и завершить предусмот- ренное законом категорирование). далее обязательно проверяем наличие влияния оборудования иТ-сегментов холдинговых (дочерних) подрядных организаций на про- мышленные сети предприятия в случае аренды ими вычислительных мощностей, где договор- ными отношениями должны быть предусмотре- ны обязательства о соблюдении требований информационной безопасности предприятия со стороны персонала дочерней компании. Что проверяем предметно На организационном уровне: l наличие утвержденной локальной нормативной документации по информационной безопасно- сти, в том числе промышленных сетей (есть или нет, а может пора обновлять) и созданию систем безопасности зОКии (приказ фСТЭК№235); l ознакомление персонала аСУ с действующи- ми требованиями по информационной без- опасности (желательно под подпись); l есть ли ответственные за безопасность от под- разделений аСУ; l ведется ли учет сбоев и простоев оборудова- ния по причинам иТ (зона повышенного вни- мания со стороны офицера информационной безопасности); l имеется и используется ли инструмент рассле- дования инцидентов иб в сегменте аСУ (рабо- тает ли инцидент-менеджмент) и скорость оповещения иб о событиях (помним, что на реагирование в отношении зОКии установлен срок в три часа на оповещение, согласно при- казу фСб России от 19 июня 2019 г. N 282); l наличие у работников, отвечающих за без- опасность зОКии, профильного образования в области информационной безопасности (п. 12 приказ №235 фСТЭК в ред. от 01.01.21 г.). На прикладном уровне: l физическую защищенность помещений аСУ (пультовые, серверные/компьютерные шкафы и места хранения запасных частей иТ-компо- нентов к промышленному оборудованию; l наличие охранной и пожарной сигнализации; l контроль доступа и видеонаблюдение; l кондиционирование; l состояние компьютерной техники (визуально, защищенное изолированное исполнение или нет); l наличие актуальных версий программного обеспечения аСУ и операционных систем, а также прошивок PLC (патч-менеджмент), включая способ их установки (через съемные носители информации или через удаленный доступ к сайту производителя); l выясняем, где и у кого находятся диски с исходниками версий прошивок контроллеров; l наличие постороннего (в том числе пиратского) программного обеспечения на компьютерах; l наличие игрового и развлекательного медиа- контента; l наличие и работоспособность антивирусных систем; l методы и способы разграничения сегментов сетей (аСУ от корпоративной) и соответствие сетевой безопасности; l наличие контроля съемных носителей инфор- мации; l наличие фактов подключений Wi-Fi и 3G-/4G- модемов к компьютерам управления. Об ответственности При наличии официально введенной норматив- ной документации по защите информации и доведенной до ответственных работников аСУ следует привлекать к дисциплинарной ответ- ственности за грубые нарушения политик информационной безопасности в иТ-инфра- структуре промышленного сегмента, так как цена ошибки значительна по сравнению с затра- тами на реализацию организационно-техниче- ских мер защиты. n www.secuteck.ru февраль – март 2021 СПЕЦПРОЕКТ КибЕРбЕзОПаСнОСТь ЦифРОвОгО ПРЕдПРияТия Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Александр Севостьянов Начальник отдела защиты информации СЭБ ПАО "ТМК" Аудит АСУ ТП: рекомендации Трубной металлургической компании В рамках проводимых в промышленном секторе экономики Российской Федерации мероприятий по активному внедрению цифровых технологий в настоящее время вопросы защиты информации стали актуальными как никогда. Цифровизация про- изводств и сопутствующих им процессов приводит не только к оптимизации затрат различного характера, но и к резкому увеличению потребностей в усилении безопас- ности ИТ-инфраструктуры промышленного сегмента. Дополнительное ускорение решению задач защиты информации придает ФЗ-187 "О критической информацион- ной инфраструктуре" и ряд подзаконных актов надзорных и регулирующих отрасль органов власти, принятых в 2017 г.