О выборе мер обеспечения информационной безопасности автоматизированных систем управления технологическими процессами

В данной работе проведен обзор основных отечественных и международных подходов к выбору мер обеспечения информационной безопасности автоматизированных систем управления технологическими процессами. Цель исследования заключалась в разработке метода выбора мер защиты на каждом уровне АСУ ТП с применением теории множеств в рамках анализа базовых наборов мер защиты. В рамках исследования рассмотрены актуальные атаки на промышленную инфраструктуру, построен алгоритм выбора мер защиты АСУ ТП, а также выдвинуты предположения о необходимости применения мер защиты для каждого уровня системы в соответствии с индивидуальной оценкой класса защищенности соответствующего уровня. В работе, авторами предложены математические выражение для минимального, базового, адаптированного и уточненного базовых наборов мер защиты АСУ ТП. Сделан вывод о необходимости исключения из рассмотрения этапа «уточнение адаптированного базового набора» алгоритма выбора мер защиты АСУ ТП в случае, если адаптированный базовый набор мер защиты информации обеспечивает блокирование всех угроз безопасности на рассматриваемом уровне системы. Результаты исследований рекомендованы для использования при моделировании угроз информационной безопасности и разработке требований к средствам защиты информации в автоматизированных системах управления технологическими процессами.

1. Фролов А.В., Фролова Е.С. Solarwinds для мониторинга сети. Системный администратор. 2019;(12):93-95.

2. SHIMOL S. B. SolarWinds SUNBURST Backdoor: Inside the Stealthy APT Campaign. Сybersecurity news, Threat research. Varonis. 2020. Доступно по: https://www.varonis.com/blog/solarwinds-sunburst-backdoor-inside-the-stealthy-apt-campaign (дата обращения 01.03.2021).

3. Цапко Г. П., Вериго А. А. Анализ рисков безопасности автоматизированных систем управления технологическими процессами. Вестник евразийской науки. 2016;36(5):1-9. Доступно по: https://cyberleninka.ru/article/n/analiz-riskov-bezopasnosti-avtomatizirovannyh-sistem-upravleniya-tehnologicheskimi-protsessami (дата обращения 03.03.2021).

4. Приказ ФСТЭК от 14.03.2014 № 31 Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. 2014. Доступно по: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14- marta-2014-g-n-31 (дата обращения 04.03.2021).

5. Андреев Ю. С., Дергачев А. М. Информационная безопасность автоматизированных систем управления технологическими процессами. Приборостроение. 2019;(4):221-233.

6. Гордейчик С. В. Миссиоцентрический подход к кибербезопасности АСУ ТП. Вопросы кибербезопасности. 2015;10(2):56-59.

7. Response to National Institute of Standards and Technology (NIST) [Docket Number 130208119–3119–01] Request for Information. 2013. Доступно по: https://www.nist.gov/system/files/documents/2017/06/01/040513_cgi.pdf (дата обращения 03.03.2021).

8. International Society of Automation. The 62443 Series of Standards. 2015. Доступно по: http://isa99.isa.org/Public/Information/The-62443-Series-Overview.pdf (дата обращения 03.03.2021).

9. Kulik T., Larsen P. Gorm Towards formal verification of cyber security standards. Труды ИСП РАН. 2018;(4):79-94.

10. Жуков С. А., Слугин А. Г. Проблема киберугроз в промышленных системах автоматизации. Огарёв-Online. 2015;61(20):1-5. Доступно по: https://cyberleninka.ru/article/n/problema-kiberugroz-v-promyshlennyh-sistemah-avtomatizatsii (дата обращения 08.03.2021).

11. Васильев В. И., Вульфин А. М. Анализ рисков обеспечения целостности телеметрической информации с использованием технологии когнитивного моделирования. Вестник УГАТУ. 2019;86(4):122-131.

12. Братченко А. И., Бутусов И. В. Применение методов теории нечетких множеств к оценке рисков нарушения критически важных свойств защищаемых ресурсов автоматизированных систем управления. Вопросы кибербезопасности. 2019; (29)1:18-24.

13. Медведев Н. В., Троицкий И. И. К вопросу об использовании аппарата теории нечетких множеств при анализе рисков информационной безопасности. Вестник МГТУ им. Н.Э. Баумана. Серия «Приборостроение». 2011;(Специальный выпуск):25-30.

14. Ненадович Д. М., Шахтарин Б. И. Методы теории нечетких множеств в задачах безопасности инфокоммуникационных сетей. Вестник МГТУ им. Н.Э. Баумана. Серия «Приборостроение». 2006;(3):88-95.

15. Sarvepalli Vi. Practical Math for Your Security Operations. 2013. Доступно по: https://insights.sei.cmu.edu/cert/2013/08/practical-math-for-your-security-operations---part-1-of--3.html (дата обращения 10.03.2021).

16. Вавичкин Н. А. Математические модели в информационной безопасности. Безопасность информационного пространства — 2017 : XVI Всероссийская научно-практическая конференция студентов, аспирантов, молодых ученых. Екатеринбург, издательство Уральского университета. 2018;(1):148-150.

17. Chernov D.V., Sychugov A.A. Mathematical modeling of information security threats of automated process control systems. 2019 International Conference on Electrotechnical Complexes and Systems (ICOECS). 2019;(1):1-4. Доступно по: https://doi.org/10.1109/ICOECS46375.2019.8950023 (дата обращения 11.03.2021).