Аттестация АСУ ТП

Аттестация автоматизированных систем управления технологическими процессами (АСУ ТП) — это процедура, направленная на подтверждение соответствия программно-аппаратных комплексов установленным требованиям информационной безопасности (ИБ). Этот процесс необходим для обеспечения защиты данных и предотвращения несанкционированного доступа к технологическим процессам.

Процесс аттестации определяет уровень защищённости и выявляет уязвимые места системы, о которых расскажем далее.

Уязвимости АСУ ТП

Уязвимые места АСУ ТП представляют собой незащищённые участки, которые могут быть использованы злоумышленниками для несанкционированного доступа к информации или для нарушения работы оборудования.

Примеры уязвимостей:

• Неправильная настройка средств защиты информации (СЗИ), что может привести к доступу к внутренним сегментам сети и самой АСУ.
• Ошибки в программном обеспечении, например, в системе мониторинга и управления технологическими процессами (SCADA), позволяющие удалённое выполнение кода.
• Отсутствие сегментации сети между корпоративными и производственными системами, увеличивающее риск несанкционированного доступа.
• Недостаточный контроль доступа без многофакторной аутентификации, повышающий вероятность несанкционированного использования.
• Слабая защита удалённых интерфейсов управления СУ, подверженных компрометации.
• Отсутствие мониторинга угроз безопасности, что препятствует своевременному выявлению и предотвращению атак.

Этапы проведения аттестации АСУ ТП

Процесс включает несколько ключевых этапов:

Подготовительный этап

• Изучение структуры и функций системы: Комплексный анализ архитектуры, основных технологических операций и функциональных компонентов. Заказчик предоставляет документацию по архитектуре, схемы сетей и технические паспорта оборудования.
• Определение границ аттестации и категорий защищаемой информации: Чёткое установление компонентов, подлежащих проверке, в зависимости от объёма обрабатываемых данных и критичности операций.
• Сбор необходимой документации: Подготовка документов для проведения проверки, таких как политика безопасности, регламенты, планы реагирования на инциденты и проектные документы на внедрённые средства защиты.

Анализ угроз и моделей нарушителей

• Идентификация потенциальных угроз безопасности информации: Анализ рисков для системы, включая внутренние угрозы и внешние кибератаки, несанкционированный доступ к данным или оборудованию. Каждая угроза моделируется с учётом особенностей, что позволяет оценить её возможное воздействие.
• Оценка вероятных сценариев реализации угроз: Анализ способов, которыми могут быть реализованы выявленные угрозы, например, атаки на удалённые интерфейсы или эксплуатация уязвимостей ПО. Это позволяет разработать рекомендации по усилению мер защиты.
• Модели нарушителей: Определение типичных профилей потенциальных злоумышленников, включая их мотивацию (финансовая выгода, шпионаж, саботаж), уровень технических навыков, доступные ресурсы и возможные методы атаки. Понимание этих моделей помогает прогнозировать действия нарушителей и разрабатывать эффективные меры защиты.

Разработка организационно-распорядительных документов

• Формирование политики информационной безопасности: Стратегический документ, описывающий подходы и принципы защиты информации в организации, регулирующий процессы доступа, обработки и хранения данных.
• Создание инструкций и положений по защите информации: Разработка регламентов для сотрудников, определяющих правила обращения с информационными системами и данными, например, использование средств аутентификации, обновление паролей и контроль доступа.

Проведение испытаний

• Тестирование на соответствие установленным требованиям ИБ: Практические испытания, такие как имитация атак для выявления слабых мест, проверяющие эффективность мер защиты.
• Оценка эффективности используемых СЗИ: Проверка работы внедрённых средств защиты, таких как антивирусные системы, системы обнаружения вторжений и межсетевые экраны. В случае неэффективности выдаются рекомендации по настройке или замене.

Оформление результатов аттестации

• Подготовка отчёта о проведённых работах: Детализированный отчёт, включающий информацию об обнаруженных уязвимостях, принятых мерах по их устранению и общую оценку защищённости.
• Выдача аттестата соответствия: В случае успешного прохождения проверки и соответствия нормативным требованиям выдается документ, подтверждающий безопасность и пригодность системы для использования в критических условиях.

Требования к организации для прохождения аттестации

• Соответствие нормативным требованиям: Соблюдение нормативных документов по защите информации. Более подробная информация о нормативных документах представлена ниже по тексту.
• Наличие сертифицированных средств защиты: Все используемые средства защиты информации (СЗИ) должны иметь действующие сертификаты соответствия.
• Разработанная документация по безопасности: Подготовка полного пакета документов, включая политику безопасности, инструкции и регламенты.
• Квалификация персонала: Обучение сотрудников и ознакомление с инструкциями по вопросам ИБ.

Нормативные акты, регулирующие защиту информации в АСУ ТП

• Федеральный закон № 187-ФЗ от 26 июля 2017 года: Устанавливает требования защиты критической информационной инфраструктуры (КИИ) в России, включая АСУ ТП на объектах КИИ.
• Приказ ФСТЭК России № 239 от 25 декабря 2017 года: Уточняет защиту информации на объектах КИИ, акцентируя организационные и технические меры, контроль и аудит.
• Приказ ФСТЭК России № 31 от 14 марта 2014 года: Определяет порядок оценки соответствия систем защиты информации в АСУ ТП, включая контроль доступа, мониторинг угроз и эффективность защитных мер.
• ГОСТ Р 56939–2016: Устанавливает стандарты информационной безопасности для АСУ ТП, включая защиту периметра, управление доступом, отказоустойчивость и мониторинг инцидентов.

Кто может проводить аттестацию автоматизированных систем

Аттестацию АСУ ТП могут проводить только аккредитованные организации, получившие аккредитацию от ФСТЭК и ФСБ России. Такие организации обладают необходимыми лицензиями и допусками на проведение работ по технической защите информации (ТЗКИ).

Компания «Управление информационной безопасности» является лицензиатом ФСБ и ФСТЭК России для проведения аттестаций объектов информатизации.

Стоимость аттестации

Цена на проведение аттестации АСУ ТП зависит от следующих факторов:

• Сложность и масштаб системы: Большие и сложные системы требуют большего объёма работ и, соответственно, увеличивают стоимость.
• Количество объектов аттестации: Рост числа элементов, подлежащих проверке, увеличивает стоимость.
• Текущая степень готовности: Частичное соответствие нормам безопасности снижает затраты.
• Срочность выполнения работ: Ускоренное проведение работ может увеличить стоимость.

Для оценки объёма работ, расчёта и подготовки коммерческого предложения рекомендуем связаться с нашими менеджерами.

Аттестация АСУ ТП экспертами компании УИБ

Доверьте проведение аттестации АСУ ТП компании «Управление информационной безопасности»:

• Лицензиат ФСБ и ФСТЭК России на проведение аттестаций объектов информатизации.
• Аттестация АСУ ТП от предварительного аудита до выдачи аттестата.
• Команда сертифицированных экспертов с опытом в информационной безопасности более 14 лет.
• Учитываем особенности каждой системы и требования заказчика.
• Строгое соответствие нормативным требованиям и стандартам.
• Ценообразование и гибкая система скидок.

Для получения подробной консультации позвоните по телефону 8 800-707-94-97 или отправьте запрос на email info@uibcom.ru. Наши специалисты ответят на все ваши вопросы.