Журнал "Information Security/ Информационная безопасность" #6, 2022

Специалистам по без- опасности требуются общие подходы, которые могли бы повысить качество принятия решений относительно точек применения продуктов для сетевой сегментации АСУ ТП и объекта, на кото- ром АСУ ТП функционирует. На практике, с точки зрения реализации прак- тических мер защиты, границы АСУ ТП не все- гда могут быть установ- лены однозначно. В классическом виде термин АСУ ТП трактуется как некая группа решений технических и программных средств, предна- значенных для автоматизации управления технологическим процессом. Но в реальном при- менении АСУ ТП имеет интег- рационные связи и с другими решениями в рамках одного сетевого домена (системами мониторинга, контроллерами домена, системами резервного копирования, более общей авто- матизированной системой управления предприятием, внешними потребителями – контрагентами, подрядчиками, центрами мониторинга, центра- ми безопасности, ситуационны- ми центрами, центрами приня- тия решений и т.п.). Какие смеж- ные сети и ПО являются частью группы решений технических и программных средств, пред- назначенных для автоматизации управления технологическим процессом, а какие – нет, уста- навливают специалисты, отве- чающие за АСУ ТП. Поэтому в итоге их набор решений может не совпадать (не пересекаться один к одному) с набором реше- ний специалиста по ИБ. Наибольшие сложности при формировании множества решений возникают, когда спе- циалисты обсуждают правила сетевой сегментации и внедре- ние продуктов защиты сетевого периметра, передаваемых дан- ных (межсетевых экранов, крип- тошлюзов и т.п). Свою лепту в эту задачу вносят территори- альная распределенность и уда- ленность объектов, на которых функционирует АСУ ТП, нали- чие или отсутствие резервных каналов связи, а также степень использования общедоступных сетей передачи данных или использование собственных сетей передачи данных. Учитывая ситуацию, специа- листам по безопасности тре- буются общие подходы, кото- рые могли бы повысить каче- ство принятия решений относи- тельно точек применения про- дуктов для сетевой сегментации АСУ ТП и объекта, на котором АСУ ТП функционирует. Для этого рекомендуются следую- щие базовые пошаговые прак- тики сегментации сети и выбора характерных точек применения мер защиты: 1. Определить, где именно (программно) сосредоточены функции управления техноло- гическим процессом, обеспечи- вающие их старт и остановку, а также реализацию кризисных мер в отношении технологиче- ского процесса(ов). 2. Определить, где проходит граница физической изоляции сети АСУ ТП. Граница должна быть выбрана таким образом, чтобы объект оставался авто- номным и безопасно функцио- нирующим в условиях отсут- ствия связи с внешним миром. 3. Определить перечень инфор- мации прикладного уровня (про- мышленные, файловые, техно- логические протоколы), исполь- зуемой внешними по отношению к АСУ ТП потребителями. 4. Убедиться, что в условиях пп. 1, 2 и 3 функционирование АСУ ТП происходит надежно и безопасно. Пп. 1–4 могут быть выполнены без приобретения и применения дополнительных средств и мер защиты и завер- шаться организацией воздуш- ного зазора между защищае- мым объектом/АСУ ТП и иными доменами. 5. Применить средства защи- ты соответствующего класса, обеспечивающие передачу дан- ных потребителям без потери автономности объекта защиты. Соблюсти указанные практики поможет применение решений класса "диоды данных". Основ- 20 • СПЕЦПРОЕКТ Решение для киберзащиты без потери автономности сегмента АСУ ТП беспечение информационной безопасности и защита АСУ ТП предприятия является уже устоявшейся областью знаний. По этому направлению в образовательных заведениях существуют отдельные специальности и стандарты, ведется обучение специалистов, регулярно проводятся семинары и конференции. На каждом предприятии есть сотрудники и организационные единицы, которые отвечают за функционирование АСУ ТП и обеспечение ее безопасности. О Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП Рис. 1. АК InfoDiode MINI (аппаратный диод) Рис. 2. АК InfoDiode RACK single (аппаратный диод)