Основные аспекты информационной безопасности на предприятиях энергетической отрасли

Размещено на http://allbest.ru

¹Институт Энергетики

²Иркутский национальный исследовательский технический университет

Основные аспекты информационной безопасности на предприятиях энергетической отрасли

¹Чемезов Алексей Вениаминович,

кандидат технических наук, доцент:

²Стефановская Ольга Михайловна, магистрант

г. Иркутск

Во всех сферах национальной безопасности страны - политической, экономической, военной, энергетической, правовой, экологической - обеспечение правильной информационной защиты занимает одно из самых важных мест. Незаконное использование, хищение, а также искажение любой секретной информации ведет к тяжелым техническим и экономическим потерям. Так, национальная безопасность государства прямо зависит от качественного обеспечения информационной безопасности. Информационная безопасность - это защищенность жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз [2].

Информационная деятельность становится не только важнейшей частью для международного сотрудничества, но и частью напряженного соперничества как внутри страны, так и за ее пределами.

Электроэнергетика - отрасль, которая требует пристального внимания, особенно в вопросах организации защиты информации. Подход к информационной безопасности на уровне корпоративных сетей особо не отличается от подходов в других системах. Но важным является то, что объекты электроэнергетической отрасли не ограничиваются корпоративными офисами. Обеспечение информационной безопасности на технологических участках - один из наиболее существенных факторов.

Главным правилом при разработке систем обеспечения информационной безопасности для электроэнергетики является то, что основным активом и защищаемым объектом выступает не информация, а технологический процесс. И речь в таком случае идет о защите от нарушения технологического процесса за счет реализации киберугроз. Строить такую систему защиты необходимо, исходя из принципов обеспечения, в особенности от целостности и доступности самого технологического процесса и автоматизированных систем управления.

Если же говорить о технологических объектах, то здесь следует учитывать специфику автоматизированных систем управления технологическим процессом и систем, применяемых в электроэнергетике. При создании системы надежного обеспечения информационной безопасности необходимо досконально изучить объект защиты и сами технологические процессы, учитывая всевозможные факторы.

Сегмент электроэнергетики всегда был весомым на рынке информационной безопасности, что раньше обусловливалось повышенным вниманием руководства РАО «Единая Энергетическая Система России» к данному вопросу. Но затем отрасль подверглась влиянию нескольких внешних факторов, которые в дальнейшем изменили основные драйверы информационной безопасности в организациях.

Первым таким фактором явилась реорганизация РАО ЕЭС. Прежде всего реорганизация повлияла на децентрализацию центров принятия решений. Раньше российская энергетическая компания выступала в качестве основного отраслевого регулятора, формировавшего общее понимание концепции безопасности в энергетике. Теперь же единственным регулятором осталось Минэнерго - с гораздо меньшей степенью самомотивации к решению этих вопросов и с большей инертностью, как любое государственное ведомство.

Другим значительно важным фактором стал Закон № 152-ФЗ «О персональных данных», определивший сроки приведения информационных систем персональных данных в соответствие с ним. Компании в отрасли электроэнергетики, хотя и обрабатывающие персональные данные преимущественно только собственных работников, тем не менее быстрее всех среагировали на выполнение требований нового закона, не дожидаясь переносов сроков, изменений существующих нормативных документов. Это связано с тем, что большинство организаций в электроэнергетике являются компаниями публичными, акции которых котируются на биржах, и вопросы любого соответствия требованиям регуляторов для них связаны со стоимостью акций. Как следствие, компании энергетического сектора проявили высокую сознательность и оперативность в выполнении требований по приведению своих информационных систем в соответствие с требованиями Закона «О персональных данных» [3].

Немаловажным стимулом развития информационной безопасности в энергетических компаниях следует считать Федеральный закон № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации», который предъявляет требования к порядку использования и защиты инсайдерской информации. информационный безопасность шифрование инсайдерский

Еще один весомый фактор - развитие угроз в сфере безопасности критических инфраструктур. В этой секции произошло сразу несколько событий как внутри организации, так и за ее пределами. Примерами служит и страшная трагедия на Саяно-Шушенской ГЭС, и обнаружение вредоносного кода stuxnet на Бушерской АЭС в Иране. В Минэнерго приступили к формированию требований по обеспечению безопасности, и в короткие сроки был подготовлен Федеральный закон № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», ст. 11 которого напрямую обязывает организации ТЭК создавать системы защиты информации. А Федеральным законом № 257-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса» была введена дополнительная ответственность.

На основе анализа всех факторов можно сделать вывод, что основным движущим фактором развития и функционирования проектов информационной безопасности на предприятиях рассматриваемой отрасли является необходимость обеспечения безопасности:

- информационных систем персональных данных;

- информационных систем критических инфраструктур;

- инсайдерской информации.

Выполнение этих требований и определяет выбор основных решений информационной безопасности, внедряемых в проектах отрасли электроэнергетики.

Помимо перечисленных факторов, существуют и другие требования, отвечающие за полноценное и успешное предоставление информационной безопасности предприятию.

Так, отсутствие обновлений ПО - одна из наиболее распространенных проблем в защите информации. Нужно учитывать, что многие технологические сети изолированы от сети Интернет, а собственная система обновлений в организации отсутствует. К тому же установка обновлений на технические средства, работающие в постоянном режиме, связана с простоями и рисками сбоев после обновлений, не допустимыми на большинстве технологических объектов. Для преодоления данных рисков необходимо построить процесс получения, тестирования и установки обновлений.

Требования к скорости передачи данных являются еще одной важной характеристикой информационной безопасности. Ряд систем в электроэнергетике особенно чувствителен к характеристикам каналов передачи данных. Применение в них дополнительных средств защиты может существенно снизить скорость реакции, что недопустимо с точки зрения технологического процесса. Чтобы избежать снижения скорости реакции, нужно при проектировании системы обеспечения информационной безопасности точно определять, на каких участках сети передачи данных необходимо обеспечить максимальную скорость обмена данными.

Немаловажная проблема обеспечения безопасности - отсутствие контролируемой зоны. Из всех мер физической охраны на объектах есть видеонаблюдение и сигнализация, а иногда все ограничивается только замком. При этом оборудование, установленное на этих объектах, включено в общую технологическую сеть, что может стать «удобной» точкой входа для злоумышленника и привести к атакам практически на любые объекты технологической сети [4].

На некоторых объектах нет систем управления микроклиматом, а это значит, что к техническим средствам, устанавливаемым на таких объектах, предъявляются дополнительные требования по защите от внешних воздействий. Чтобы избежать последствий данной ситуации, нужно выбирать средства защиты, которые соответствуют требованиям по устойчивости к климатическим воздействиям, электромагнитной совместимости. На рынке средств защиты информации наблюдается острый дефицит качественных продуктов, поддерживающих используемые в электроэнергетике протоколы передачи данных, обладающих достаточной надежностью, функциональностью и защитой от внешних климатических и электромагнитных воздействий [1].

Самое важное, что следует помнить при разработке систем информационной безопасности для отрасли электроэнергетики, - последствия от реализации угроз информационной безопасности могут включать в себя не только финансовые, технические потери, но и нанести ущерб жизни и здоровью людей, окружающей среде и инфраструктуре города в целом. Во избежание такой ситуации необходимо при проектировании систем обеспечения информационной безопасности подробно изучить объект защиты и провести детальную оценку рисков при моделировании возможных угроз.

Библиографический список

1. Бацюн Н.В., Зацепина К.Н. Научный мониторинг и эколого-экономическая безопасность города Иркутска. Новая наука: история становления, современное состояние, перспективы развития. Иркутск: ИРНИТУ, 2016. С. 35-37.

2. Конюхов В.Ю., Оханова А.М. Перспективы Китая как возможного лидера «зеленых» инноваций. Технико-экономические проблемы развития регионов. Иркутск: ИРНИТУ, 2016. С. 15-16.

3. Шамарова Н.А., Крупенев Д.С., Конюхов В.Ю. Влияние возобновляемых источников энергии на надежность электроснабжения потребителей. Повышение эффективности производства и использования энергии в условиях Сибири. Иркутск: ИРНИТУ, 2016. С. 423-424.

4. Шилова О.С., Бацюн Н.В., Нашиванкина Д.А., Кербан Н.В. Корпоративные коммуникации. Информатизация и виртуализация экономической и социальной жизни. Иркутск: ИРНИТУ, 2016. С. 255-258.

Аннотация

УДК 620.9

Основные аспекты информационной безопасности на предприятиях энергетической отрасли. Чемезов Алексей Вениаминович, кандидат технических наук, доцент Института Энергетики, e-mail: olyastefanovskaya@mail.ru; Стефановская Ольга Михайловна, магистрант, e-mail: olyastefanovskaya@mail.ru. Иркутский национальный исследовательский технический университет, Российская Федерация, 664074, г. Иркутск, ул. Лермонтова, 83.

Рассмотрено понятие: «информационная безопасность на энергетическом предприятии». Отмечены ключевые моменты по анализу факторов, влияющих на правильное функционирование предприятия и способных повысить его безопасность. Сделан вывод, что последствия от реализации угроз информационной безопасности могут включать в себя не только финансовые, технические потери, но и нанести ущерб жизни и здоровью людей, окружающей среде и инфраструктуре города в целом. Сделаны рекомендации по проектированию систем обеспечения информационной безопасности и проведению детальной оценки рисков при моделировании возможных угроз.

Ключевые слова: информационная безопасность; электроэнергетика; экономическое влияние; риски; проектирование.

Abstract

Key aspects of information security in the energy industry. Alexey V. Chemezov, Candidate of Technical Sciences, associate professor Institute Energetics, e-mail: olyastefanovskaya@mail.ru; Olga M. Stefanovskaya, undergraduate, e-mail: olyastefanovskaya@mail.ru. Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, 664074, Russian Federation.

The article addresses the concept of "information security in the energy industry". The article highlights key points for analyzing the factors that influence the correct functioning of an enterprise and can improve its security. The article concludes that the effects of threats to information security may include not only financial, technical losses but also damage to the life and health of the people, the environment and the infrastructure of the city as a whole. The article provides guidelines for designing information security systems and conducting detailed risk assessments when modeling possible threats.

Keywords: information security; power industry; economic influence; risks; design

Размещено на Allbest.ru