Согласно отраслевой статистике, объекты промышленности и организации нефтегазового и энергетического комплекса являются одним из ключевых интересов современных злоумышленников, что связано со следующими направлениями их деятельности:

  • бизнес-разведка и промышленный шпионаж со стороны конкурентов;
  • акты вандализма и угрозы кибертерроризма (Stuxnet, Duqu и др.).

Основным законодательным актом, регламентирующим требования к организации процессов по защите информации при ее обработке в автоматизированных системах управления технологическими процессами (АСУ ТП), является приказ ФСТЭК России №31 от 14 марта 2014 года «Об утверждении требований к обеспечению защиты информации в АСУ ТП …».

Проведение аудита безопасности АСУ ТП и систем SCADA позволит оценить защищенность ключевых элементов промышленной сетевой инфраструктуры от возможных злонамеренных внутренних и внешних воздействий:

  • системы реального времени (СРВ);
  • системы управления технологическими процессами (АСУ ТП);
  • системы диспетчеризации (SCADA);
  • используемые каналы связи и протоколы передачи информации;
  • корпоративные системы и бизнес-приложения коммерческого учета;
  • контрольно-измерительные приборы и аппаратура телеметрирования.
Заказать услугу

Проводимые работы

  • проверка сегментации промышленной сети и возможных внешних связей;
  • проверка безопасности PLC-контроллеров;
  • аудит безопасности на сетевом уровне;
  • аудит систем резервирования;
  • аудит процедур обновления системного программного обеспечения;
  • проверка стойкости паролей и парольной политики, используемой в АСУ ТП;
  • многое другое, по согласованию с Заказчиком.

Этапы работы

1. Постановка задачи и определение объекта аудита:

  • определение задач, целей и объектов аудита информационной безопасности;
  • формирование рабочей группы (включая специалистов заказчика);
  • составление регламента проведения работ;
  • разработка технического задания (ТЗ) на проведение работ.

2. Сбор, подготовка и анализ данных для проведения работ:

  • изучение объекта исследования;
  • анализ организационно-административных мер обеспечения ИБ;
  • анализ программно-технических средств обеспечения ИБ;
  • фиксация текущего состояния и характеристик объекта исследования;
  • определение соответствия характеристик объекта исследования требованиям политики ИБ;
  • выявление технических уязвимостей объекта исследования.

3. Подготовка аналитического отчета по выполненной работе, включая:

  • моделирование процессов нарушения системы безопасности;
  • определение угроз нарушения ИБ;
  • анализ уязвимостей и и оценка рисков;
  • определение устойчивости объекта в соответствии с требованиями по обеспечению ИБ;
  • разработка организационных мер обеспечения ИБ;
  • разработка предложения по развитию программно-технических средств обеспечения ИБ;
  • разработка рекомендаций по совершенствованию структуры информационной системы заказчика;
  • разработка рекомендаций по повышению квалификации штатного персонала.

4. Завершение работы:

  • ознакомление уполномоченных представителей заказчика с результатами работы;
  • консультирование персонала заказчика;
  • организация и проведение семинара;
  • передача полученных материалов и документации заказчику и сдача отчета;
  • оформление акта выполненных работ.

Результаты работы

По итогам работ подготавливается детальный отчет, содержащий:

  • описание выявленных уязвимостей;
  • обнаруженные недостатки конфигураций, прав доступа и пр.;
  • детальные рекомендации по повышению защищенности АСУ ТП с учетом особенностей тестируемой системы.
Перейти к тестированию

Какие требования информационной безопасности необходимо выполнить Вашей организации?

3 из 4 компаний не знают законодательство РФ по защите информации!
Ответьте на несколько простых вопросов и получите рекомендации бесплатно.
Перейти к тестированию