Согласно отраслевой статистике, объекты промышленности и организации нефтегазового и энергетического комплекса являются одним из ключевых интересов современных злоумышленников, что связано со следующими направлениями их деятельности:
- бизнес-разведка и промышленный шпионаж со стороны конкурентов;
- акты вандализма и угрозы кибертерроризма (Stuxnet, Duqu и др.).
Основным законодательным актом, регламентирующим требования к организации процессов по защите информации при ее обработке в автоматизированных системах управления технологическими процессами (АСУ ТП), является приказ ФСТЭК России №31 от 14 марта 2014 года «Об утверждении требований к обеспечению защиты информации в АСУ ТП …».
Проведение аудита безопасности АСУ ТП и систем SCADA позволит оценить защищенность ключевых элементов промышленной сетевой инфраструктуры от возможных злонамеренных внутренних и внешних воздействий:
- системы реального времени (СРВ);
- системы управления технологическими процессами (АСУ ТП);
- системы диспетчеризации (SCADA);
- используемые каналы связи и протоколы передачи информации;
- корпоративные системы и бизнес-приложения коммерческого учета;
- контрольно-измерительные приборы и аппаратура телеметрирования.
Проводимые работы
- проверка сегментации промышленной сети и возможных внешних связей;
- проверка безопасности PLC-контроллеров;
- аудит безопасности на сетевом уровне;
- аудит систем резервирования;
- аудит процедур обновления системного программного обеспечения;
- проверка стойкости паролей и парольной политики, используемой в АСУ ТП;
- многое другое, по согласованию с Заказчиком.
Этапы работы
1. Постановка задачи и определение объекта аудита:
- определение задач, целей и объектов аудита информационной безопасности;
- формирование рабочей группы (включая специалистов заказчика);
- составление регламента проведения работ;
- разработка технического задания (ТЗ) на проведение работ.
2. Сбор, подготовка и анализ данных для проведения работ:
- изучение объекта исследования;
- анализ организационно-административных мер обеспечения ИБ;
- анализ программно-технических средств обеспечения ИБ;
- фиксация текущего состояния и характеристик объекта исследования;
- определение соответствия характеристик объекта исследования требованиям политики ИБ;
- выявление технических уязвимостей объекта исследования.
3. Подготовка аналитического отчета по выполненной работе, включая:
- моделирование процессов нарушения системы безопасности;
- определение угроз нарушения ИБ;
- анализ уязвимостей и и оценка рисков;
- определение устойчивости объекта в соответствии с требованиями по обеспечению ИБ;
- разработка организационных мер обеспечения ИБ;
- разработка предложения по развитию программно-технических средств обеспечения ИБ;
- разработка рекомендаций по совершенствованию структуры информационной системы заказчика;
- разработка рекомендаций по повышению квалификации штатного персонала.
4. Завершение работы:
- ознакомление уполномоченных представителей заказчика с результатами работы;
- консультирование персонала заказчика;
- организация и проведение семинара;
- передача полученных материалов и документации заказчику и сдача отчета;
- оформление акта выполненных работ.
Результаты работы
По итогам работ подготавливается детальный отчет, содержащий:
- описание выявленных уязвимостей;
- обнаруженные недостатки конфигураций, прав доступа и пр.;
- детальные рекомендации по повышению защищенности АСУ ТП с учетом особенностей тестируемой системы.
Какие требования информационной безопасности необходимо выполнить Вашей организации?
Ответьте на несколько простых вопросов и получите рекомендации бесплатно.