Журнал "Системы Безопасности" № 1‘2021

Физическая безопасность оборудования Одним из первых таких этапов должно стать обес- печение физической безопасности оборудования технологических систем. Сложно говорить о какой бы то ни было достоверности данных с устройства, доступ к которому имеет даже северный олень. а именно так обстоит дело на удаленных объектах без постоянного пребывания персонала. Элемен- тарное решение – шкаф с сигнализацией – уже будет существенным продвижением в данном вопросе. Еще лучше организовать нормальный контур безопасности на объекте размещения измерительного и коммутационного оборудова- ния, но, к сожалению, это не всегда возможно. Каналы связи Следующим логичным шагом будет огоражива- ние каналов связи. GSM-удлинитель RS-485, вне всякого сомнения, замечательный, удобный и универсальный способ коммутации, но его без- опасность, во-первых, оставляет желать лучшего, а во-вторых, обеспечивается третьими лицами. Переход на проводные каналы связи, скорее всего, будет сопоставим по цене с небольшим островом в Тихом океане, но можно использо- вать и беспроводную связь, которая будет, с одной стороны, более защищенной, а с дру- гой – не уронит бюджет компании. Промышленные радиорелейные и Wi-Fi-сети получают все большее признание со стороны как сотрудников производств, так и специали- стов по безопасности. Чем больше объектов перейдут на нормальные каналы связи, тем проще будет и организация информационной безопасности, и работа системы в целом. Удаленный доступ После очерчивания контура на нижнем уровне необходимо провести подобную операцию на верхнем. Сделать всю систему закрытой не получится в силу и функциональных причин (доступ к системе может быть регламентирован со стороны контролирующих организаций), и эксплуатационных (в распределенных техни- ческих системах больше 70% возникающих сбоев решаются удаленно с привлечением спе- циализированных подрядных организаций, то есть третьих лиц, так как попасть на объект часто бывает невозможно именно в силу его географической удаленности). Поэтому нужно сделать так, чтобы доступ к ПТК открывался только по команде и только нужным лицам. Огромное количество инструментов безопасно- го удаленного доступа в помощь. Перечень лиц, допущенных к системе, лучше определить зара- нее и регулярно проверять его соответствие факту. на некоторых предприятиях также пред- почитают полностью изолировать технологиче- ские сети от корпоративных. Это не всегда воз- можно в век массовой интеграции и в любом случае снижает функциональные возможности единого информационного поля компании. Лучше уж потратиться на нормальный шлюз и сделать отстройку данных для межсетевого обмена. Сквозная дыра между корпоративной и технологической сетью должна быть закрыта, иначе рано или поздно она станет причиной очень больших проблем. все перечисленные действия будут актуальны вне зависимости от состава системы и плани- руемых в дальнейшем модернизаций техноло- гических систем. Настройка прав пользователей После установки внешней ограды можно при- ступать к самому строительству. начать его лучше с организационных момен- тов – аутентификации и авторизации. всех пользователей системы (и реальных, и потен- циальных) надо описать, классифицировать, наименовать, наделить правами и обязанно- стями и заставить выполнять последние. При этом надо учитывать, что часто эксплуатацией технологических систем занимаются люди, которые не имеют высоких навыков работы с какими бы то ни было компьютерами и кото- рые едва ли смогут помнить постоянно меняю- щийся абстрактный пароль из 16 символов на латинице с цифрами и специальными симво- лами. Тем не менее, применяя адекватные тре- бования к таким сотрудникам и гибко настраи- вая права пользователей, можно добиться очень высокого уровня безопасности. главным стимулом для сотрудников в равной степени станут постоянный мониторинг их дисциплины и адекватность требований информационной безопасности. Кстати, о мониторинге: возмож- ность протоколирования действий пользовате- лей не только позволит находить нарушения регламента сотрудниками, но и может стать серьезным подспорьем при разрешении ситуа- ций "оно само сломалось". Сегментирование сети После наведения хотя бы относительного орга- низационного порядка можно приступать к техническому изменению сети системы. Точеч- ная модернизация является идеальным инструментом, не требующим гигантских затрат и в то же время не способным обрушить все разом. К сожалению, она применима не всегда: старое оборудование не работает с новым ПО и, наоборот, включение дополни- тельных элементов в коммутационный канал не позволяет наладить опрос, система превра- щается в набор костылей и т.д. и т.п. Лучшим решением станет сегментирование сети: выде- ление отдельного оборудования и ПО в прак- тически независимые кластеры, разделенные физически, виртуально, организационно. Этот же подход существенно повысит информа- ционную безопасность в системе. архитектура сегментирования должна быть совместно определена службами эксплуатации, обслуживания и информационной безопасно- сти. Правильным шагом будет установка межсе- тевых шлюзов между отдельными сегментами, учитывающих разный уровень безопасности и доступа третьих лиц. При начале модернизации отдельных сегментов надо опять-таки учитывать фактор удаленности. Те же пароли доступа на некотором оборудовании можно поменять толь- ко на месте его установки. После каждой опера- ции надо подтверждать нормальное функцио- нирование системы и только после этого дви- гаться дальше. а еще держать одну-две аварий- но-восстановительные бригады в резерве. Решение есть всегда итог всего вышесказанного: при обеспечении информационной безопасности в технических системах действовать нужно очень и очень аккуратно. возможно, придется пожертвовать частью функций системы или рекомендациями нормативных документов в угоду существова- нию системы в целом. Универсального решения этой задачи нет, и каждому предприятию при- дется отыскать свое. n www.secuteck.ru февраль – март 2021 Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 63 СПЕЦПРОЕКТ КибЕРбЕзОПаСнОСТь ЦифРОвОгО ПРЕдПРияТия Т ехнологические системы – очень инертная информационная среда, требующая медленных изменений. Каждое дополнительное действие должно быть проверено нормальным функционированием АСУ ТП и ИИС в течение некоторого промежутка времени. Только после получения адекватных результатов на одном этапе реализации ИБ можно присту- пать к следующему А рхитектура сегментирования должна быть совместно определена службами эксплуатации, обслуживания и информационной безопасно- сти. Правильным шагом будет установка межсетевых шлюзов между отдельными сегментами, учитывающих разный уровень безопасности и доступа третьих лиц Редакция советует Уникальные решения для реализации режима конфиденциальности данных разрабатывают партнеры компании "ГРОТЕК". Компания Perimetrix концентрирует свой потенциал, инновационный подход и уникальный опыт на создании корпоративной платформы внутренней информационной безопасности и интеграции с актуальными бизнес-процессами, организационной и технологической инфраструктурой заказчика. ОКБ САПР разрабатывает программно-аппаратные (в том числе криптогра- фические) средства защиты информации от несанкционированного доступа. Ваше мнение и вопросы по статье направляйте на ss @groteck.ru