Журнал "Information Security/ Информационная безопасность" #6, 2025

Отдельное направление – норматив- ное обеспечение функционирования системы защиты. Речь идет не просто о создании документов, а о формировании методик оценки эффективности внед- ренных мер. Соответствие требованиям регуляторов должно подтверждаться не формальными отчетами, а измеримой работоспособностью защитных меха- низмов. Особое значение имеет план реагиро- вания на инциденты. На практике этот документ нередко создают ради прове- рок, однако он должен служить реальным рабочим инструментом для персонала. План обязан фиксировать порядок дей- ствий и зоны ответственности на всех этапах – от обнаружения и эскалации до анализа причин и устранения послед- ствий, включая регламентацию постин- цидентных мероприятий и восстановле- ние технологического процесса. Профессиональное обучение остается еще одним обязательным направлением. Проблема выбивания бюджета хорошо известна, поэтому оптимальным реше- нием становится разработка целевой политики обучения, где закрепляются роли, перечень курсов и график подго- товки сотрудников. Современная обра- зовательная экосистема позволяет фор- мировать отдельные учебные траектории для инженеров АСУ ТП и ИТ-подразде- лений. В некоторых организациях успешно применяется ротация: ИТ-специалистов направляют на технологические курсы, а инженеров – на ИТ-дисциплины. Не менее важны симуляции кибератак и тренировки по реагированию. Они позволяют протестировать готовность персонала и систем, но проводить их следует исключительно в тестовых сег- ментах. Попытки моделировать атаки на боевых системах нередко приводили к нежелательным последствиям, и такая практика должна быть исключена. Управление доступом в АСУ ТП Несмотря на то, что тема управления доступом обсуждается уже много лет, на практике именно здесь продолжают возникать наиболее характерные про- блемы. Общие учетные записи, пароли, записанные на стикерах, и временные доступы, которые никто не ограничивает, до сих пор встречаются даже на крупных производственных объектах. Эффективная система управления доступом должна начинаться с четкой ролевой модели, основанной на прин- ципе минимальных привилегий. Сотруд- ник должен обладать доступом лишь к тем функциям и данным, которые необходимы ему для выполнения рабо- чих задач. Избыточные права становятся потенциальной точкой компрометации: в случае взлома одной учетной записи злоумышленник получает возможность работать с элементами системы, к кото- рым пользователь изначально не должен иметь отношения. Важной мерой остается ограничение числа попыток входа. Даже сегодня брутфорс-атаки – один из простейших и при этом весьма эффективных способов подбора паролей. К числу дополнительных, но практиче- ских мер, рекомендуемых приказом № 31, относится уведомление пользователя о правилах информационной безопасно- сти при входе в SCADA-системы. Простое напоминание о допустимых и недопусти- мых действиях формирует правильное поведение персонала и снижает веро- ятность непреднамеренных нарушений. Не менее важно обеспечить динами- ческое управление правами. Речь идет не только о блокировке учетных записей уволенных сотрудников, но и о коррек- тировке прав при любых изменениях роли – переводе в другой отдел, повы- шении или изменении зоны ответствен- ности. Жизненный цикл доступа должен быть автоматизирован, иначе в системе неизбежно останутся забытые учетные записи и устаревшие роли. Технические меры защиты Основа технологической безопасно- сти – корректная сегментация сети. На нулевом уровне, где работают сенсоры и исполнительные механизмы, необхо- дима физическая изоляция через аппа- ратные шлюзы, чтобы исключить любое внешнее несанкционированное воздей- ствие на критичное оборудование. Первый уровень включает ПЛК и устрой- ства удаленного доступа. Для их защиты используют VLAN с фильтрацией про- мышленных протоколов, чтобы предотвра- тить попадание некорректных или вредо- носных команд в технологический контур. На втором уровне находятся SCADA- системы и HMI. Их защиту обеспечивают межсетевые экраны, которые анализи- руют команды между уровнями и блоки- руют попытки несанкционированного воздействия. Над технологическим контуром фор- мируют DMZ-зону для контролируемой связи АСУ ТП с корпоративной ИТ- сетью. Здесь используют односторонние шлюзы (дата-диоды), которые позволяют передавать метрики наверх без риска обратного канала и возможной атаки. Интеграция SCADA с классическими SIEM обычно малоэффективна: SCADA генерирует неструктурированные собы- тия, создающие нагрузку и шум. Поэтому в промышленности все чаще используют OT-ориентированные средства монито- ринга (промышленные SIEM/OT IDS), которые анализируют протоколы Mod- bus, DNP3, OPC и выявляют аномалии, характерные для технологических про- цессов. Двухфакторная аутентификация оста- ется важной мерой в технологическом контуре. Для удаленного доступа к SCADA применяют связку "токен+пароль", для входа в HMI – смарт- карту и PIN, для ПЛК – биометрию с одноразовым кодом. В промышленности такие решения уже используются: напри- мер, в нефтегазе доступ к компрессор- ным станциям защищают аппаратным токеном и голосовой биометрией. СКУД в промышленной среде выпол- няет функции и физической, и логиче- ской безопасности. Интеграция с корпо- ративными ИТ-системами, прежде всего с каталогом пользователей, позволяет автоматически синхронизировать ста- тусы сотрудников: блокировка пропуска приводит к отключению их учетных запи- сей в информационных системах. Биометрические считыватели обес- печивают надежную идентификацию на проходных и в критичных помещениях, что особенно важно для серверных АСУ ТП и зон с ПЛК. СКУД также выполняет централизованное журналирование попыток входа и перемещений, что помо- гает при анализе инцидентов. Совре- менные системы могут автоматически блокировать доступ в зоны с ПЛК при срабатывании пожарной сигнализации, защищая персонал и оборудование в нестандартных ситуациях. К техническим мерам относится и без- опасная разработка ПО для технологи- ческого контура. ГОСТ Р 56939–2024 задает структурированный жизненный цикл – от анализа требований и про- ектирования до реализации, тестирова- ния и сопровождения, предусматривая контроль безопасности на каждом этапе. Резервирование – ключевая мера для обеспечения непрерывности технологи- ческих процессов. Оно включает не только создание копий данных (конфигураций ПЛК, баз SCADA, параметров HMI) с еже- дневными инкрементами и полными бэка- пами перед обновлениями, но и резерви- рование мощностей: дублирующие конт- роллеры, ИБП, дизель-генераторы и резервные каналы связи. Частые ошибки – ограничиваться только данными, не тестировать восстановление и хранить бэкапы на устаревших носителях, которые могут подвести в критический момент. Выводы Обновленный порядок категорирова- ния не увеличивает объем бюрократи- ческих процедур. Наоборот, он делает процесс более понятным – особенно если опираться на типовые перечни объ- ектов КИИ и отраслевые ориентиры. Благодаря этим документам удается избежать прежней субъективности. Поли- тика безопасности и регламенты должны быть рабочими инструментами, а не фор- мальными артефактами. Технические меры следует принимать на основе инже- нерного расчета, а не ограничиваться лишь подбором оборудования. Главный принцип остается прежним: защита от инцидентов, а не от проверок. Устойчивость технологического процесса важнее любого отчета. l • 33 ЗАЩИТА ОБЪЕКТОВ КИИ И КОМПЛАЕНС www.itsec.ru На правах рекламы 1 https://aktiv.consulting/