Процесс аттестации определяет уровень защищённости и выявляет уязвимые места системы, о которых расскажем далее.
Уязвимости АСУ ТП
Уязвимые места АСУ ТП представляют собой незащищённые участки, которые могут быть использованы злоумышленниками для несанкционированного доступа к информации или для нарушения работы оборудования.
Примеры уязвимостей:
Неправильная настройка средств защиты информации (СЗИ), что может привести к доступу к внутренним сегментам сети и самой АСУ.
Ошибки в программном обеспечении, например, в системе мониторинга и управления технологическими процессами (SCADA), позволяющие удалённое выполнение кода.
Отсутствие сегментации сети между корпоративными и производственными системами, увеличивающее риск несанкционированного доступа.
Недостаточный контроль доступа без многофакторной аутентификации, повышающий вероятность несанкционированного использования.
Слабая защита удалённых интерфейсов управления СУ, подверженных компрометации.
Отсутствие мониторинга угроз безопасности, что препятствует своевременному выявлению и предотвращению атак.
Этапы проведения аттестации АСУ ТП
Процесс включает несколько ключевых этапов:
Подготовительный этап
- Изучение структуры и функций системы: Комплексный анализ архитектуры, основных технологических операций и функциональных компонентов. Заказчик предоставляет документацию по архитектуре, схемы сетей и технические паспорта оборудования.
- Определение границ аттестации и категорий защищаемой информации: Чёткое установление компонентов, подлежащих проверке, в зависимости от объёма обрабатываемых данных и критичности операций.
- Сбор необходимой документации: Подготовка документов для проведения проверки, таких как политика безопасности, регламенты, планы реагирования на инциденты и проектные документы на внедрённые средства защиты.
Анализ угроз и моделей нарушителей
- Идентификация потенциальных угроз безопасности информации: Анализ рисков для системы, включая внутренние угрозы и внешние кибератаки, несанкционированный доступ к данным или оборудованию. Каждая угроза моделируется с учётом особенностей, что позволяет оценить её возможное воздействие.
- Оценка вероятных сценариев реализации угроз: Анализ способов, которыми могут быть реализованы выявленные угрозы, например, атаки на удалённые интерфейсы или эксплуатация уязвимостей ПО. Это позволяет разработать рекомендации по усилению мер защиты.
- Модели нарушителей: Определение типичных профилей потенциальных злоумышленников, включая их мотивацию (финансовая выгода, шпионаж, саботаж), уровень технических навыков, доступные ресурсы и возможные методы атаки. Понимание этих моделей помогает прогнозировать действия нарушителей и разрабатывать эффективные меры защиты.
Разработка организационно-распорядительных документов
- Формирование политики информационной безопасности: Стратегический документ, описывающий подходы и принципы защиты информации в организации, регулирующий процессы доступа, обработки и хранения данных.
- Создание инструкций и положений по защите информации: Разработка регламентов для сотрудников, определяющих правила обращения с информационными системами и данными, например, использование средств аутентификации, обновление паролей и контроль доступа.
Проведение испытаний
- Тестирование на соответствие установленным требованиям ИБ: Практические испытания, такие как имитация атак для выявления слабых мест, проверяющие эффективность мер защиты.
- Оценка эффективности используемых СЗИ: Проверка работы внедрённых средств защиты, таких как антивирусные системы, системы обнаружения вторжений и межсетевые экраны. В случае неэффективности выдаются рекомендации по настройке или замене.
Оформление результатов аттестации
- Подготовка отчёта о проведённых работах: Детализированный отчёт, включающий информацию об обнаруженных уязвимостях, принятых мерах по их устранению и общую оценку защищённости.
- Выдача аттестата соответствия: В случае успешного прохождения проверки и соответствия нормативным требованиям выдается документ, подтверждающий безопасность и пригодность системы для использования в критических условиях.
Требования к организации для прохождения аттестации
- Соответствие нормативным требованиям: Соблюдение нормативных документов по защите информации. Более подробная информация о нормативных документах представлена ниже по тексту.
- Наличие сертифицированных средств защиты: Все используемые средства защиты информации (СЗИ) должны иметь действующие сертификаты соответствия.
- Разработанная документация по безопасности: Подготовка полного пакета документов, включая политику безопасности, инструкции и регламенты.
- Квалификация персонала: Обучение сотрудников и ознакомление с инструкциями по вопросам ИБ.
Нормативные акты, регулирующие защиту информации в АСУ ТП
Федеральный закон № 187-ФЗ от 26 июля 2017 года: Устанавливает требования защиты критической информационной инфраструктуры (КИИ) в России, включая АСУ ТП на объектах КИИ.
Приказ ФСТЭК России № 239 от 25 декабря 2017 года: Уточняет защиту информации на объектах КИИ, акцентируя организационные и технические меры, контроль и аудит.
Приказ ФСТЭК России № 31 от 14 марта 2014 года: Определяет порядок оценки соответствия систем защиты информации в АСУ ТП, включая контроль доступа, мониторинг угроз и эффективность защитных мер.
ГОСТ Р 56939–2016: Устанавливает стандарты информационной безопасности для АСУ ТП, включая защиту периметра, управление доступом, отказоустойчивость и мониторинг инцидентов.
Кто может проводить аттестацию автоматизированных систем
Аттестацию АСУ ТП могут проводить только аккредитованные организации, получившие аккредитацию от ФСТЭК и ФСБ России. Такие организации обладают необходимыми лицензиями и допусками на проведение работ по технической защите информации (ТЗКИ).
Компания «Управление информационной безопасности» является лицензиатом ФСБ и ФСТЭК России для проведения аттестаций объектов информатизации.
Стоимость аттестации
Цена на проведение аттестации АСУ ТП зависит от следующих факторов:
- Сложность и масштаб системы: Большие и сложные системы требуют большего объёма работ и, соответственно, увеличивают стоимость.
- Количество объектов аттестации: Рост числа элементов, подлежащих проверке, увеличивает стоимость.
- Текущая степень готовности: Частичное соответствие нормам безопасности снижает затраты.
- Срочность выполнения работ: Ускоренное проведение работ может увеличить стоимость.
Для оценки объёма работ, расчёта и подготовки коммерческого предложения рекомендуем связаться с нашими менеджерами.
Аттестация АСУ ТП экспертами компании УИБ
Доверьте проведение аттестации АСУ ТП компании «Управление информационной безопасности»:
Лицензиат ФСБ и ФСТЭК России на проведение аттестаций объектов информатизации.
Аттестация АСУ ТП от предварительного аудита до выдачи аттестата.
Команда сертифицированных экспертов с опытом в информационной безопасности более 14 лет.
Учитываем особенности каждой системы и требования заказчика.
Строгое соответствие нормативным требованиям и стандартам.
Ценообразование и гибкая система скидок.
Для получения подробной консультации позвоните по телефону 8 (843) 207-17-17 или отправьте запрос на email sales@uibcom.ru. Наши специалисты ответят на все ваши вопросы.
