Организация процесса обеспечения информационной безопасности автоматизированных систем управления технологическими процессами

Логунов П.А.
Выпускник группы MBA СSO-09
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Введение

В настоящее время практически все современные промышленные предприятия используют для целей производства высокотехнологическое оборудование. Данное оборудование функционирует под управлением автоматизированных систем, которые представляют собой систему взаимосвязанных элементов аппаратного и программного обеспечения и человека-оператора. Любое нарушение в работе указанного оборудования влечет за собой соответствующие риски (от простоя оборудования до гибели людей и экологических катастроф). Любое нарушение (сбой) работы автоматизированных систем управления производством (технологическими процессами, техническими системами) (далее – АСУ ТП) влечет за собой нарушение работы технологического оборудования, вплоть до самых критических последствий. Причиной нарушения работы АСУ ТП могут быть сбой, поломка, некорректное функционирование одного (или нескольких) из приведенных элементов. Одним из факторов, лежащим в основе этих причин, являются инциденты информационной безопасности (далее – ИБ) (например, вирусные атаки Stuxnet, Havex). Целью аттестационной работы является решение проблемы по снижению издержек бизнеса при возникновении сбоев в работе производственного оборудования путем создания в компании адекватной системы управления рисками ИБ АСУ ТП,  формализованной в паспорте процесса.

Глава 1.

Теоретические и методологические аспекты реализации процесса обеспечения информационной безопасности автоматизированных систем управления технологическими процессами

Для достижения указанной цели работы необходимо изучить и провести анализ действующей базы стандартов, нормативных и организационно-распорядительных документов в области менеджмента информационной безопасности.

Система управления менеджментом информационной безопасности нашла свое отражение в серии международных стандартов ISО 27000. Но в них описывается управление ИБ в целом,  в то время как обеспечение ИБ АСУ ТП несет в себе множество ограничений. Например, во многих АСУ ТП нельзя применять антивирусные средства по той причине, что они могут блокировать процессы, которые используются для работы АСУ ТП, но при этом имеют признаки вредоносных процессов.

В то же время существует серия стандартов IEC (ISA) 62433, которые регламентируют обеспечение кибербезопасности АСУ ТП, но большинство из них в настоящее время находится в стадии разработки. На основании этих стандартов в будущем станет возможным оптимизировать и усовершенствовать систему обеспечения ИБ АСУ ТП в части, касающейся кибербезопасности, что не снимает необходимости ее построения в настоящее время.  В Российской Федерации государством начата работа по регламентации обеспечения ИБ АСУ ТП. Проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» на текущий момент не принят, комплект документов ФСТЭК по защите ключевых систем информационной инфраструктуры РФ носит рекомендательный характер.

Соответственно, в данном вопросе производственным компаниям необходимо полагаться, с одной стороны, на самостоятельное трактование стандартов, а с другой – на свой опыт и зрелость в данном вопросе, которых порой недостаточно. Для решения проблемы построения эффективной системы обеспечения ИБ АСУ ТП при данных объективных ограничениях предполагается использование следующих методов процессного подхода:

- описание деятельности по обеспечению ИБ АСУ ТП по ICOM-модели;

- использование модели Портера для нахождения места процесса обеспечения ИБ АСУ ТП в общей структуре процессов компании;

- выстраивание ролевой модели процесса обеспечения ИБ АСУ ТП, основанной на мотивации всех лиц компании, участвующих в данном процессе;

- описание жизненного цикла процесса обеспечения ИБ АСУ ТП.

Итогом применения данных методов процессного подхода станет создание паспорта процесса обеспечения ИБ АСУ ТП, в котором выстраивается алгоритм процесса эффективного обеспечения ИБ АСУ ТП. Оценка эффективности обеспечения ИБ АСУ ТП будет производится на основании разработанной автором работы шкалы измерения. Метрики данной шкалы получены на основании имеющейся базы знаний по управлению инцидентами ИБ АСУ ТП, созданной с использованием эмпирического подхода, и приведены в практической главе настоящей аттестационной работы.

Глава 2.

Построение процесса обеспечения информационной безопасности автоматизированных систем управления технологическими процессами с помощью методологии процессного подхода

В настоящей главе аттестационной работы на базе методологических аспектов осуществляется разработка алгоритма создания эффективной системы обеспечения ИБ АСУ ТП, позволяющая максимально сократить уровень рисков ИБ АСУ ТП и снизить издержки бизнеса.

Построение паспорта процесса осуществляется применительно к гипотетической компании с названием «Unit-Пром» осуществляющей добычу юнитов из недр Российской Федерации и их транспортировку к потребителю. При этом, делается следующий допуск: в рассматриваемой компании «Unit-Пром» уже используется процессный подход по отношению к ее бизнес- и сервисным процессам. В сложившихся реалиях, не выстроен только процесс обеспечения ИБ АСУ ТП. Это допущение сделано по причине того, что рассмотрение и построение всех процессов компании не является целью настоящей аттестационной работы. Использование условного примера обусловлено конфиденциальным характером информации в части обеспечения ИБ АСУ ТП.

Разработанный паспорт процесса обеспечения ИБ АСУ ТП состоит из пяти разделов, в каждом из которых решена следующая задача:

- описание деятельности по обеспечению ИБ АСУ ТП по ICOM-модели;

- описание цикла обеспечения ИБ АСУ ТП по модели PDCA;

- использование модели Портера для нахождения места процесса обеспечения ИБ АСУ ТП в общей структуре процессов компании;

- выстраивание ролевой модели процесса обеспечения ИБ АСУ ТП, основанной на мотивации всех лиц компании, участвующих в данном процессе;

- описание жизненного цикла процесса обеспечения ИБ АСУ ТП.

Разработка данного паспорта позволила автору работы решить задачу по систематизации имеющихся нормативных и теоретических данных для формализации подхода по созданию, внедрению, эксплуатации и оптимизации максимально эффективного и измеримого процесса обеспечения ИБ АСУ ТП на примере условного объекта исследования.

Автором работы применен подход к измерению результатов процесса обеспечения ИБ АСУ ТП на основе шкалы количества произошедших инцидентов ИБ АСУ ТП, негативно повлиявших на работоспособность производственного оборудования.

Заключение

Итогом проведенной работы стало построение паспорта процесса обеспечения ИБ АСУ ТП, который является дорожной картой по внедрению процесса обеспечения ИБ АСУ ТП в практическую деятельность компании и позволяет достичь поставленной цели.

Практическая апробация результатов настоящей работы позволит значительно сократить количество инцидентов ИБ АСУ ТП и добиться снижения издержек по ликвидации последствий указанных инцидентов в реально действующих  компаниях, а также полностью исключить инциденты, значительно повлиявшие на работоспособность АСУ ТП или приведшие к их неработоспособности.

Таким образом, автор достиг цели настоящей работы, заключающейся в решении проблемы по снижению издержек бизнеса при возникновении сбоев в работе производственного оборудования путем создания в компании адекватной системы управления рисками ИБ АСУ ТП, формализованной в паспорте процесса.