Факторы безопасности на предприятиях критической инфраструктуры России

Нормативно-правовая база: Доктрина информационной безопасности и приказы ФСТЭК № 239 и № 31

Обеспечение защиты промышленных и государственных объектов в цифровую эпоху невозможно без строгих правил игры. Когда речь идет о Критической информационной инфраструктуре (КИИ), любая уязвимость может привести не просто к утечке данных, но к техногенным авариям, остановке электростанций или коллапсу транспортных сетей. Чтобы предотвратить подобные сценарии, в России выстроена многоуровневая система нормативно-правовых актов.

Фундаментом этой системы выступают стратегические документы государственного планирования, а практическая реализация опирается на детальные технические требования профильных ведомств, в первую очередь — Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Стратегический компас: Доктрина информационной безопасности

Доктрина информационной безопасности Российской Федерации — это базовый документ стратегического планирования, который определяет национальные интересы в информационной сфере, выявляет ключевые угрозы и устанавливает главные направления обеспечения безопасности.

Доктрина не содержит конкретных инструкций по настройке межсетевых экранов или длине паролей. Ее задача — задать вектор развития для законодателей и руководителей предприятий. В документе подчеркивается, что информационные технологии стали неотъемлемой частью промышленности, энергетики и транспорта, а значит, кибератаки на эти сектора приравниваются к прямым угрозам национальной безопасности.

!Иерархия нормативной базы информационной безопасности РФ

На основе Доктрины формируются федеральные законы, такие как 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», который, в свою очередь, дает полномочия регуляторам выпускать обязательные к исполнению приказы.

Приказ ФСТЭК № 239: Защита значимых объектов КИИ

Принятый в декабре 2017 года, Приказ ФСТЭК России № 239 является одним из важнейших документов для специалистов по кибербезопасности. Он утверждает требования по обеспечению безопасности значимых объектов КИИ.

> Ущерб от кибератак на промышленные объекты может обернуться катастрофой масштаба всей страны, поэтому государство планомерно ужесточает требования к безопасности. > > securitymedia.org

Документ строго регламентирует жизненный цикл системы безопасности на предприятии. Процесс не ограничивается простой закупкой антивирусов, а представляет собой непрерывный управленческий и технический цикл.

Этапы создания системы безопасности

Согласно Приказу № 239, построение защиты включает следующие обязательные шаги:

Разработка технического задания: определение целей, задач и архитектуры будущей системы защиты.

Разработка организационных и технических мер: проектирование конкретных решений под специфику объекта.

Внедрение мер: установка средств защиты информации (СЗИ), проведение предварительных испытаний, опытная эксплуатация и обязательный анализ уязвимостей.

Обеспечение безопасности в ходе эксплуатации: регулярный мониторинг, реагирование на инциденты и обновление систем.

Вывод из эксплуатации: безопасное удаление данных и демонтаж оборудования без риска утечек.

Важным аспектом является требование к технической поддержке. Применяемые программные и аппаратно-программные средства защиты должны быть обеспечены гарантийной поддержкой от производителя. Использование устаревшего ПО без обновлений (legacy systems) на значимых объектах КИИ недопустимо.

Для понимания масштаба затрат на игнорирование этих правил можно использовать базовую оценку рисков. Финансовый риск = Вероятность инцидента × Потенциальный ущерб. Если вероятность успешной атаки на завод из-за отсутствия обновлений составляет 5% в год, а простой оборудования обойдется в 100 000 000 рублей, то базовый финансовый риск равен 5 000 000 рублей в год. Внедрение мер по Приказу № 239 снижает вероятность атаки до долей процента, окупая инвестиции в безопасность.

Приказ ФСТЭК № 31: Фокус на промышленные системы

Если Приказ № 239 охватывает все значимые объекты КИИ (включая банковские системы, здравоохранение и связь), то Приказ ФСТЭК № 31 от 14 марта 2014 года имеет более узкую, но критически важную специализацию.

Он устанавливает требования к защите информации в Автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных и потенциально опасных объектах.

!Схема защиты АСУ ТП на промышленном предприятии

Специфика АСУ ТП заключается в том, что они управляют физическими процессами: давлением в трубах, температурой в реакторах, скоростью вращения турбин. Классические IT-подходы здесь часто не работают. Например, антивирусное сканирование не должно замедлять передачу управляющего сигнала на контроллер, иначе может произойти авария.

Базовые меры защиты

Оба приказа оперируют стандартизированными группами мер защиты, которые предприятие обязано внедрить в зависимости от присвоенной категории или класса защищенности. К ключевым группам относятся:

* ИАФ (Идентификация и аутентификация): проверка того, кто именно пытается получить доступ к системе. * УПД (Управление доступом): разграничение прав пользователей (инженер не должен иметь прав администратора безопасности). * АУД (Аудит безопасности): регистрация всех событий в системе для последующего расследования инцидентов. * ОЦЛ (Обеспечение целостности): защита от несанкционированного изменения конфигураций контроллеров и программного кода.

Сравнение нормативных актов

Для лучшего понимания области применения документов, рассмотрим их ключевые отличия.

| Характеристика | Приказ ФСТЭК № 239 | Приказ ФСТЭК № 31 | | --- | --- | --- | | Год принятия | 2017 | 2014 | | Область применения | Значимые объекты КИИ (ИТ-системы, ИТС, АСУ ТП) | АСУ ТП на потенциально опасных объектах | | Основание | 187-ФЗ «О безопасности КИИ» | Постановления Правительства РФ о защите информации | | Ключевой фокус | Комплексная безопасность значимых объектов в масштабах государства | Защита технологических процессов от несанкционированного вмешательства |

На практике крупное промышленное предприятие часто вынуждено выполнять требования обоих приказов одновременно. Если заводская система управления конвейером признана значимым объектом КИИ, специалисты по информационной безопасности будут проектировать систему защиты, опираясь на симбиоз требований 31-го и 239-го приказов, выбирая наиболее строгие меры из обоих документов.

Грамотное применение нормативно-правовой базы позволяет не только избежать штрафов со стороны регуляторов (compliance), но и выстроить реально работающую эшелонированную защиту, способную противостоять современным киберугрозам.

Риск-ориентированный подход и методика оценки угроз для АСУ ТП энергообъектов и КИИ

В предыдущих материалах мы установили, что фундаментом защиты критической информационной инфраструктуры (КИИ) выступает строгая нормативно-правовая база, в частности приказы ФСТЭК № 239 и № 31. Эти документы определяют обязательные требования к защите систем. Однако на практике простого выполнения требований «для галочки» недостаточно. Чтобы защита была эффективной и экономически обоснованной, предприятия переходят от формального соответствия к риск-ориентированному подходу.

Суть этого подхода заключается в том, чтобы не пытаться защитить всё одинаково сильно, а сфокусировать ресурсы на тех уязвимостях, эксплуатация которых принесет наибольший ущерб технологическому процессу и бизнесу.

От формального соответствия к управлению рисками

Исторически многие предприятия выстраивали безопасность по принципу compliance (соответствие требованиям). Специалисты брали нормативный акт, видели требование установить антивирус и устанавливали его, не задумываясь, как именно злоумышленник может проникнуть в сеть.

Риск-ориентированный подход меняет эту парадигму. Он заставляет специалистов по информационной безопасности мыслить категориями вероятности атаки и размера потенциального ущерба.

> Риск-ориентированный подход к определению актуальных киберугроз в АСУ ТП энергообъектов позволяет субъекту КИИ не только оптимизировать затраты, но и ответить на главный вопрос — каков реальный уровень защищенности объекта. > > safe-surf.ru

Для наглядности рассмотрим разницу между двумя подходами в таблице.

| Характеристика | Подход на основе соответствия (Compliance) | Риск-ориентированный подход | | --- | --- | --- | | Главная цель | Успешно пройти проверку регулятора и избежать штрафов | Предотвратить реальные аварии и финансовые потери | | Распределение бюджета | Равномерное закрытие всех пунктов из приказа | Инвестиции направляются на защиту самых критичных узлов | | Адаптивность | Низкая (изменения вносятся только после обновления законов) | Высокая (защита меняется вслед за ландшафтом киберугроз) | | Отношение к уязвимостям | Устраняются все найденные уязвимости подряд | Устраняются те уязвимости, которые могут быть реально проэксплуатированы |

Методика ФСТЭК 2021 года: новый стандарт оценки

Чтобы унифицировать процесс управления рисками на государственных и промышленных предприятиях, 5 февраля 2021 года ФСТЭК России утвердила новый методический документ — «Методика оценки угроз безопасности информации».

Этот документ стал настольной книгой для специалистов по защите КИИ. Он отменил устаревшие разрозненные рекомендации и предложил единый, структурированный алгоритм моделирования угроз.

!Схема алгоритма оценки угроз по методике ФСТЭК

Согласно новой Методике, процесс оценки угроз состоит из нескольких последовательных шагов:

Определение негативных последствий. На этом этапе комиссия предприятия решает, что самое страшное может произойти. Для завода это может быть остановка конвейера, для банка — кража средств, для ТЭЦ — отключение подачи тепла в город зимой.

Инвентаризация объектов воздействия. Определяются конкретные серверы, контроллеры, автоматизированные рабочие места (АРМ) операторов и каналы связи, через которые можно вызвать негативные последствия.

Определение источников угроз. Кто может атаковать систему? Это может быть внешний хакер, конкурирующее государство (APT-группировки) или внутренний нарушитель — обиженный уволенный сотрудник или некомпетентный инженер.

Оценка способов реализации. Анализируются векторы атак: заражение через USB-накопитель, фишинговое письмо в корпоративной сети, взлом через удаленный доступ подрядчика.

Оценка актуальности. Угроза признается актуальной, если существует техническая возможность ее реализации и она ведет к недопустимым последствиям.

Специфика энергообъектов: от SCADA до Smart Grid

Применение риск-ориентированного подхода особенно критично в электроэнергетике. Энергетические объекты (ТЭЦ, ГЭС, подстанции) используют сложные Автоматизированные системы управления технологическим процессом (АСУ ТП).

Основой управления здесь выступают системы SCADA (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных). Особенность SCADA-систем в том, что они часто создавались десятилетия назад, когда киберугроз в их современном понимании не существовало. В них могут отсутствовать базовые механизмы шифрования или аутентификации.

Сегодня энергетика переживает цифровую трансформацию, переходя к концепции Smart Grid (интеллектуальные энергетические системы). Внедряются системы синхронизированных векторных измерений (WAMS), умные счетчики и IoT-датчики.

Парадигма цифровой энергетики требует постоянного обмена данными между технологическим сегментом и корпоративной сетью. Это разрушает традиционный «воздушный зазор» (физическую изоляцию сетей), многократно увеличивая поверхность атаки.

!Схема взаимодействия корпоративной сети и изолированной сети АСУ ТП

Например, инженер может подключиться к контроллеру турбины удаленно из дома для диагностики. Если его домашний ноутбук заражен вредоносным ПО, злоумышленник получает прямой туннель в сердце критической инфраструктуры.

Оценка рисков в цифрах: практический пример

Чтобы обосновать руководству необходимость закупки средств защиты, безопасники переводят абстрактные угрозы в конкретные финансовые показатели. Базовая логика оценки опирается на простое правило: Риск равен произведению вероятности инцидента на потенциальный ущерб от него.

Рассмотрим пример крупной теплоэлектростанции (ТЭС) с энергоблоком мощностью 500 МВт.

Допустим, анализ показал уязвимость в устаревшем программном обеспечении АРМ оператора. Эксплуатация этой уязвимости может привести к ложному срабатыванию противоаварийной автоматики и остановке энергоблока на 12 часов.

Стоимость простоя такого энергоблока (недоотпуск электроэнергии, штрафы на оптовом рынке, износ оборудования при экстренной остановке) оценивается в 5 000 000 рублей за один час. Таким образом, общий потенциальный ущерб составит 60 000 000 рублей (12 часов умножить на 5 млн).

Экспертная комиссия оценивает вероятность успешной атаки через эту уязвимость в течение года в 5% (или 0,05).

Финансовое выражение риска = 60 000 000 рублей × 0,05 = 3 000 000 рублей в год.

Если стоимость внедрения системы сегментации сети и обновления ПО, которая снизит вероятность атаки до нуля, составляет 1 000 000 рублей, то инвестиция абсолютно оправдана. Риск-ориентированный подход наглядно показывает бизнесу, что безопасность — это не бездонная бочка для затрат, а инструмент сохранения капитала.

Интеграция в общую систему управления

Оценка угроз по методике ФСТЭК — это не разовая акция. Инфраструктура предприятия постоянно меняется: закупается новое оборудование, обновляются операционные системы, появляются новые подрядчики.

Поэтому риск-ориентированный подход требует непрерывного мониторинга. Модель угроз должна пересматриваться как минимум раз в год или при любых значимых изменениях в архитектуре АСУ ТП. Только так предприятие критической инфраструктуры сможет сохранять устойчивость в условиях постоянно эволюционирующих кибератак.