-->
Сохранность ресурсов в автоматизированной системе управления процессами — это основной элемент защиты информации. Важно обеспечить, чтобы все компоненты системы, такие как программное обеспечение, оборудование и данные, были защищены от несанкционированного доступа, потерь и повреждений. Для этого необходимо использовать различные методы защиты, включая шифрование, контроль доступа и системы резервного копирования.
Зачастую самый простой способ защиты АСУТП - это обеспечить изоляцию (так называемый “воздушный зазор”) от основной ИТ системы предприятия. Причем сделать это не в теории, а гарантировать, что нигде нет никаких “перемычек”, позволяющих проникнуть из Интернет (и ИТ сегментов предприятия) в критичные для воздействия системы АСУТП.
Для обеспечения сохранности ресурсов на всех уровнях системы требуется комплексный подход. Это включает как технические решения, такие как межсетевые экраны, системы мониторинга, так и организационные меры, которые касаются управления доступом и обеспечения безопасности на уровне пользователей. Таким образом, защита ресурсов становится важной частью стратегического подхода к информационной безопасности.
Автоматизированные системы управления (АСУ), используемые на промышленных предприятиях, в энергетике, на объектах водоснабжения, транспорте, в здравоохранении и других отраслях, обрабатывают не просто информацию — они управляют реальными технологическими процессами, от которых зависят безопасность, стабильность и жизнедеятельность общества. Именно поэтому такие системы, особенно в составе критической информационной инфраструктуры (КИИ), подлежат особой классификации и защите.
Согласно требованиям Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», владельцы таких систем обязаны:
Например, автоматизированная система управления на швейном производстве и система регулирования давления в ядерном реакторе — это принципиально разные по уровню риска объекты. Однако обе могут входить в периметр КИИ, если нарушение их работы способно повлечь за собой последствия для жизни, здоровья, экономики или экологии. Поэтому классификация данных в таких системах включает в себя:
Ошибочная или неконтролируемая обработка этих данных может привести к остановке производства, авариям или техногенным катастрофам — поэтому защита строится с приоритетом на устойчивость, отказоустойчивость и недопустимость вмешательства извне.
АСУТП — это специализированные автоматизированные комплексы, предназначенные для управления технологическими процессами на объектах промышленности, энергетики, транспорта и других отраслях. Их особенность — высокая степень интеграции с физическим оборудованием (датчики, исполнительные механизмы, контроллеры), что делает защиту таких систем не только вопросом информационной безопасности, но и физической безопасности людей и объектов.
Основные угрозы безопасности АСУТП включают:
Для обеспечения безопасности АСУТП применяются следующие меры:
Важно понимать, что в АСУТП невозможны подходы, типичные для классических ИТ-систем — например, автоматическое обновление ПО или широкое использование антивирусов. Здесь превалирует подход киберустойчивости: система должна продолжать функционировать даже при частичном нарушении или атаке, и при этом сохранять управление критическими параметрами.