Основные тенденции в обеспечении безопасности КВО отраслевых инфраструктур
Обеспечение безопасности критически важных объектов (КВО) отраслевых инфраструктур. Защита и поддержка безопасной и надежной работы ресурсов, важных для жизнедеятельности общества. Системы информационных технологий, поддерживающие бизнес-процессы.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 03.05.2019 |
Размер файла | 21,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
ОСНОВНЫЕ ТЕНДЕНЦИИ В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ КВО ОТРАСЛЕВЫХ ИНФРАСТРУКТУР
Э.П. Крюкова
кандидат технических наук
Научно-исследовательский институт
технической защиты информации
Государственное предприятие "НИИ ТЗИ"
Минск, Республика Беларусь
Обеспечение безопасности критически важных объектов (КВО) отраслевых инфраструктур сосредотачивается на том, чтобы защищать и поддерживать безопасную и надежную поставку электроэнергии, нефти, воды, бензина, химикатов, пищи и других ресурсов, важных для жизнедеятельности общества.
Неотъемлемой частью КВО отраслевых инфраструктур являются автоматизированные системы управления технологическими процессами (АСУ ТП) и системы информационных технологий (ИТ), поддерживающие бизнес-процессы.
ИТ системы в бизнес-процессах используются давно. Они имеют достаточные вычислительные ресурсы, поддерживающие внешние и встроенные средства защиты от вмешательства в их работу, имеют сложную архитектуру, используют унифицированные решения по коммуникационному взаимодействию и обеспечению информационной безопасности.
АСУ ТП КВО отличаются сложностью взаимодействия большого количества управляемых агрегатов, высокими параметрами рабочей среды, жесткими требованиями к точности контроля и регулирования. Они создавались ранее как изолированные системы, оценка их работоспособности ориентировалась на воздействие случайного фактора («защиту от дурака»), что приводило к очень надежной системе.
Современные АСУ ТП переходят на ИТ и могут создаваться полностью или состоять из готовых компьютерных систем, устройств и компонентов (SCADA, программируемые логические контроллеры, датчики и др.), специализированных или произведенных ведущими мировыми производителями средств автоматики (Rockwell Automation, General Electric, Emerson и др.). Компьютерные системы и каналы передачи данных, поддерживающие функционирование АСУ ТП КВО, по архитектуре, конфигурации или требованиям к качеству функционирования могут классифицироваться как специализированные промышленные системы управления. По исполнению они варьируются от абсолютно специализированных до, по большей части, серийных компьютерных архитектур, в основе которых лежат стандартные операционные системы, обычно настраиваемые для поддержки прикладных задач управления.
Наличие компьютерных систем вносит в архитектуру АСУ ТП свойственные им уязвимости, а наличие внешних связей усиливает риск кибернетических атак. Под кибернетической атакой понимаются электронные воздействия на ресурсы автоматизированной системы, включающие:
- умышленные целевые сетевые компьютерные атаки;
- воздействия вредоносных программ (вирусы, черви и др.);
- электромагнитные импульсы (ЭМИ);
- электромагнитные помехи (ЭМП);
- другие электронные воздействия.
Кибернетическая уязвимость АСУ ТП важна, если она может повлиять на безопасность, функциональные характеристики этой системы и управляемые ею процессы. В настоящее время кибернетическую безопасность АСУТП следует рассматривать в равной мере с тенденциями в обеспечении безопасности ИТ систем.
Потенциальные последствия от вмешательства в работу АСУ ТП могут быть разрушительными для КВО и критически важной отраслевой инфраструктуры в целом, привести к обширному каскадированию отключений электроэнергии, опасным выбросам на опасных производствах, взрывам, авариям на транспорте и т.д., создавая угрозы безопасности общества, национальной безопасности.
Главную роль в обеспечении защиты инфраструктур, состояние которых определяет уровень национальной безопасности, должно играть правительство страны. Обеспечение безопасности КВО критически инфраструктур и систем управления ими должно реализовываться в тесном партнерстве государства и владельцев КВО этих инфраструктур. Правительство должно быть гарантом безопасности критически важной инфраструктуры.
Одним из основных направлений деятельности правительства должно быть усиление роли разведки возможных враждебных актов в отношении автоматизированных систем КВО критически важных инфраструктур. Это требует усиления полномочий руководства органов разведки, проведения работ по совершенствованию их средств и возможностей. Необходима разработка новых методов сбора информации, обеспечивающих преимущества разведки и предотвращение ее компрометации. Особое значение приобретает разведка террористических угроз автоматизированным системам КВО и их источников.
В системе органов разведки должна быть создана структура, обеспечивающая непрерывное слежение и комплексное предупреждение соответствующих субъектов обо всем комплексе угроз безопасности КВО. Органы разведки должны работать совместно с отраслевыми учреждениями промышленности по разработке стандартов кибернетической и антитеррористической безопасности.
Проблема кибернетических атак на АСУ ТП КВО привлекает в последние годы все большее внимание общества, государства, бизнеса. Анализ рынка 2017 года выявил тренды, которых стоит опасаться и на которые стоит обратить особое внимание: появление новых вирусов, программ-вымогателей, использование новых технологий для атак, рост сложности обнаружения и удаления вредоносных программ, слабость навыков защиты у персонала [1].
Для систем контроля и управления АСУ ТП КВО эти тренды требуют учета:
- целевой направленности атак (логических, электронных, физических и иных) на устройства и узлы критически важных систем;
- последствий несанкционированного вмешательства в работу систем и оборудования разработчиков программного обеспечения на стадиях его проектирования, отладки, тестирования;
- устаревания программного и старения аппаратного обеспечения, что требует своевременного обновления или замены;
- дефицита квалифицированных кадров и практического опыта персонала и др.
Существующие и вновь появляющиеся угрозы требуют интегрированного подхода к проблеме обеспечения безопасности автоматизированных систем КВО.
Современные международные стандарты устанавливают «принципы безопасности», которые требуют реализации следующих требований:
- использования наилучших доступных технологий;
- использования диверсифицированных решений для резервирования;
- проектирования систем «сверху вниз»;
- модульности архитектуры безопасности;
- четкости документации и возможности ее проверки;
- верификации решений на каждом этапе проектирования и создания модулей, подсистем и системы в целом;
- тестирования и оценки качества функционирования подсистем и модулей на этапах разработки.
Базовым в серии стандартов безопасности автоматизированных систем КВО является стандарт МЭК61508 «Функциональная безопасность электрических/электронных/программируемых электронных систем, относящихся к безопасности». На основе этого стандарта в настоящее время разрабатываются стандарты по безопасности систем контроля и управления КВО критических инфраструктур в атомной энергетике, авиации, на железнодорожном транспорте и др.
Стандарты устанавливают четкую классификацию систем управления по уровню безопасности, требования безопасности для основных компонентов этих систем в соответствии с принятой классификацией системы, жесткие требования к организации безопасного жизненного цикла систем, компонентов и архитектуры безопасности КВО в целом, правила оценки безопасности.
Выполнение требований этих стандартов определяет уровень качества функционирования систем и оборудования, необходимый для обеспечения нормальной эксплуатации автоматизированных систем КВО, правильного реагирования на события и облегчения стабильного управления оборудованием после аварии.
Особо важное значение приобретает проблема оценки эффективности систем безопасности и связанное с этим тестирование на преодоление механизмов защиты и проникновение в технологические системы и системы управления безопасностью КВО.
Тестирование на проникновение дает возможность оценить эффективность используемых механизмов защиты и обнаружения атак. Специфика АСУ ТП обуславливает сложность их тестирования. Классический подход к тестированию «действующих» систем здесь не подходит, особенно там, где производство носит непрерывный характер, прерывание которого приводит к авариям и большому ущербу.
Системы, реализующие контроль и управление безопасностью АСУ ТП должны тестироваться во всем диапазоне технического проекта; системы, ограничивающие сбои и отказы, должны быть протестированы с помощью имитационного моделирования. Любое средство защиты должно быть проверено на обеспечение целостности системы контроля и управления.
Одной из главных целей современных решений в области безопасности АСУ в процессе эксплуатации является разработка новых методов, которые могут обнаруживать и препятствовать действиям злоумышленников при получении ими доступа в систему. Для анализа надежности функционирования и устойчивости контуров управления КВО в эксплуатации в проектах на АСУТП должны предусматриваться средства автоматической диагностики функционирования систем и пропускной способности каналов связи, работающие в режиме реального времени.
Защиту критических систем и процессов КВО должна обеспечивать система глубоко эшелонированной обороны на основании политики сдерживания, расширяющей возможности средств обеспечения информационной безопасности. Она основывается на тесной интеграции способностей персонала и возможностей современных технологий и средств, предусматривает организацию защиты локальных вычислительных пространств КВО критической инфраструктуры, их периметров и сетей коммуникаций, а также создание обеспечивающей инфраструктуры. Следует заметить, что использование коммерческих продуктов в системах защиты КВО может вносить новые уязвимости, поэтому они должны проходить тщательный контроль, а в ряде случаев их использование должно быть запрещено.
Проблемы защиты критических инфраструктур нашли широкое отражение в зарубежной практике. Идеологической основой организации такой защиты является принцип государственно-частного партнерства.
Наиболее полно проблему кибернетической безопасности в энергетике отражают стандарты и руководства США. Стандарт по кибернетическая безопасности 1300 NERC (Североамериканская корпорация по надежности в энергетике) основан на стандартах по защите критически важных инфраструктур (CIP-002 - CIP-009) и устанавливает конкретные требования по предотвращению кибернетических угроз и защите критически важных кибернетических активов, которые могут влиять на надежность системы распределения энергии [2].
В 2005 году NRC (Комиссия по ядерному регулированию при правительстве) одобрила правила кибернетической безопасности, и к маю 2008 года все 104 атомные электростанции США реализовали их добровольно. В марте 2009 года NRC опубликовала дополнение к Правилам ядерной безопасности по кибернетической безопасности 10 CFR 73.54 «Защита цифровых компьютерных и коммуникационных систем и сетей».
Руководство установило: к 23 ноября 2009 года каждое из 104 американских предприятий и компании, желающие получить лицензию на новые предприятия, должны представить комплексный план кибернетической безопасности, включая предлагаемый график реализации. Планы кибернетической безопасности должны включать меры по:
- обеспечению возможности своевременного обнаружения и реагирования на кибернетические атаки;
- смягчению последствий таких атак;
- исправлению уязвимостей;
- восстановлению поврежденных систем, сетей и оборудования.
Особую важность приобретает проблема обеспечения защиты КВО от разрушительных террористических атак. Наиболее полное отражение эта проблема нашла в руководстве Министерства обороны США (МО) UFC 4-020-01 [3]. Документ предназначен командирам, сотрудникам по вопросам безопасности и антитеррористической деятельности, планировщикам и другим членам групп по планированию проектов и др. для определения и оценки критериев проектирования объектов министерства обороны, затрат на реализацию этих критериев и вариантов их реализации. Руководство устанавливает систему унифицированных критериев, охватывающих планирование, проектирование, строительство, сопровождение, восстановление, модернизацию КВО во всех областях деятельности МО.
Руководство опубликовано и рекомендовано для применения во всех критически важных отраслях, что является одним из примеров государственно-частного партнерства.
Важность партнерства силовых и гражданских структур в обеспечении кибернетической безопасности подчеркнута в [4]. Для защиты и продвижения интересов США в киберпространстве МО стремится взаимодействовать с правительственными учреждениями США по обмену и координации информации в интегрированном виде по целому ряду кибернетических мероприятий. Например, если МО узнает о вредоносной кибернетической деятельности, которая повлияет на важные сети и системы критических инфраструктур США, имеющих жизненно важное значение для национальной, экономической безопасности или безопасности общества, оно передает Министерству национальной безопасности и Федеральному бюро расследований информацию об угрозах, например, о технических показателях потенциальной атаки для передачи предприятиям США, а иногда и других стран.
безопасность важный объект инфраструктура
Список литературы
[1] Cyber Security Forum 6 февраля 2018 года, Москва.
[2] NERC Cyber Security Standard 1300, 2004 (Стандарт по кибернетической безопасности. 2004, Корпорация Северной Америки по надежности в энергетике)
[3] Unified Facilities Criteria. DoD Security Engineering Facilities Planning Manual/ США, 2008 (Унифицированные критерии объектов. 2008, Руководство Министерства обороны по разработке Инженерных Сооружений Безопасности)
[4] The Department of Defense. Cyber Strategy, April 2015 (Министерство обороны. Стратегия кибернетической безопасности, 2015).
Размещено на Allbest.ru
Подобные документы
Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Классы информационных объектов, а также производственные системы и процессы на предприятии, подлежащих защите. Предполагаемые угрозы и нарушители информационной безопасности, внешние и внутренние. Защита от несанкционированного доступа в организации.
курсовая работа [36,0 K], добавлен 14.02.2016Создание международных критериев оценки безопасности компьютерных систем. Правовые и нормативные ресурсы в обеспечении информационной безопасности. Стандартизация в области информационных технологий. Применение эффективной программы безопасности.
курсовая работа [1,1 M], добавлен 21.12.2016Протокол как основа сетевых технологий. Сети TCP/IP - ключевые адреса и имена. Средства IP-безопасности для защиты от многочисленных атак. Особенности организации информационных ресурсов Интернета. Хакинг и антихакинг: защита и нападение на практике.
презентация [2,2 M], добавлен 18.12.2013Структурная схема ЛВС. Информационные ресурсы (классификация объектов). Пользователи ИС (классификация субъектов). Класс безопасности. Управление рисками. Экономический аспект. Процедуры информационной безопасности. Поддержка работоспособности системы.
курсовая работа [1,3 M], добавлен 28.11.2008Субъекты и объекты информационной системы с точки зрения защиты ее безопасности, их классификация и взаимодействие. Заинтересованность субъектов информационных отношений в обеспечении их безопасности. Способы и принципы защиты субъектов от пиратства.
реферат [32,2 K], добавлен 07.02.2016Проблема защиты информации. Корпоративная локальная сеть ООО "Диалог ИТ" как объект защиты. Структура системы факторов риска. Алгоритмизация матрицы отношений. Синтез системы защиты информации, оценка их результативности. Основные цели безопасности.
курсовая работа [3,8 M], добавлен 22.03.2014Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа [38,8 K], добавлен 17.06.2013Уровень развития информационных технологий. Зависимость безопасности Российской Федерации от обеспечения информационной безопасности. Характеристика интернет-попрошайничества. Мошенничества, связанные с интернет-магазинами. Виды компьютерных вирусов.
презентация [188,1 K], добавлен 06.04.2015