Реклама 18+ ООО «ТЕВЕКС», ИНН 5003106847spot_imgspot_img
Среда, 22 января, 2025

Риск-ориентированная модель кибербезопасности промышленного предприятия

Айрат Мухаметшин, начальник отдела методологии и комплексной экспертизы Cloud Networks, рассказал о риск-ориентированной модели обеспечения информационной безопасности промышленного предприятия: почему на сегодняшний день цифровые угрозы вышли за контур сугубо информационной безопасности, став в том числе угрозами физической и промышленной безопасности, и как сценарный подход помогает в борьбе с киберпреступностью.

Инвестпроекты

В настоящее время автоматизация производственных процессов практически во всех отраслях промышленности достигла высокого развития управляющих функций. АСУ ТП выполняют большинство операций по управлению промобъектами и технологическими процессами, а следующими в иерархии управления стоят системы класса APC (Advanced process control), СУУТП (Системы улучшения управляемости технологическими процессами) и MES-системы.

Вредоносные воздействия на комплекс автоматизации имеют «каскадный эффект»: сбой в работе серверных компонентов программно-технического комплекса влечет за собой дестабилизацию технологического процесса и срабатывание противоаварийной защиты. Поэтому проблемы противодействия киберугрозам выходят за границы информационной безопасности, тесно переплетаясь с вопросами безопасности функциональной и промышленной. Риск-ориентированная модель обеспечения кибербезопасности на предприятиях на сегодняшний день является практически единственным действенным методом в условиях современных вызовов.

Все три направления безопасности имеют под собой следующую основу:

Информационная безопасность: законодательство в области обеспечения ИБ (информационной безопасности) КИИ, подзаконные акты, документы регуляторов, отраслевые стандарты.

Функциональная безопасность: HAZOP-анализ и серия стандартов организации противоаварийной защиты.

Промышленная безопасность: Федеральный закон №116-ФЗ «О промышленной безопасности» и с натяжкой Федеральный закон №256-ФЗ «О безопасности объектов ТЭК» в части обеспечения физической безопасности и мероприятий по антитеррору.

Постановление Правительства №304 от 21.05.2007 «О классификации чрезвычайных ситуаций природного и техногенного характера» определяет пороговые значения ущерба, которые лежат в основе классификации информационных систем по степени критичности, является одним из ярких примеров того, что декларирование границ ущерба есть, а инструмент расчета ущерба отсутствует.

Глобальная задача – установить взаимосвязь между инцидентами информационной, промышленной и функцио­нальной безопасности для прогнозирований последствий киберинцидентов и расчета ущерба в условиях быстро изменяющихся вводных.

Риск-ориентированная модель – дополнение к системе мер, декларируемых регуляторами, а ее миссия – выявить наиболее приоритетные направления обеспечения информационной безопасности и оценить эффективность применяемых мер через расчет потенциального ущерба. Напомню, что от всех угроз не существует 100% защиты.

Риск-ориентированная модель включает:

  • выработку стратегии снижения последствий реализации угроз;
  • создание адекватного перечня мероприятий, нивелирующих последствия наиболее серьезных угроз;
  • формирование инструмента, помогающего ИБ-службам оперативно реагировать на угрозы путем прогнозирования ситуации в условиях быстро меняющихся вводных.

Данная модель на производстве строится на сервисном подходе и включает: автоматизированное моделирование угроз безопасности, анализ рисков ИБ, стендовое моделирование и консалтинг. В основе методологии – сценарный подход: исходя из состава и устройства информационной инфраструктуры предприятия, а также оценки защищаемых сервисов и процессов формируется перечень возможных сценариев реализации угроз, затем производится их ранжирование по степени потенциального ущерба. Далее стратегии, меры и средства нейтрализации формируются таким образом, чтобы исключить реализацию наиболее опасных.

Моделирование угроз является основополагающим процессом при выстраивании защиты и выборе мер противодействия. Классическая модель угроз, создаваемая по актуальной редакции Методики ФСТЭК России, не в полной мере позволяет выявить совокупность факторов для полноценного прогнозирования кибер-инцидентов, поэтому для улучшенного прогнозирования необходимо дополнить ее тактиками и техниками MITRE и базами уязвимостей CVE. Объект автоматизации рассматривается в привязке к технологическим, производственным и бизнес-процессам, а негативные последствия моделируются с учетом рассмотрения автоматизируемого технологического процесса. Результатами моделирования являются перечень актуальных угроз и сценарии реализации киберинцидентов (kill-chain цепочки).

Анализ рисков призван сформировать рисков ИБ и дополнить, расширить и уточнить регуляторную составляющую в части выбора и приоритезации мер по обеспечению кибербезопасности. Совместно с заказчиком формируется шкала оценки тяжести последствий, а далее, опираясь на выявленные сценарии реализации инцидентов и оценку величины потенциального ущерба, производится ранжирование рисков на приемлемые и нет.

Стендовое моделирование необходимо для практической апробации методик, проверки полученных в рамках риск-моделирования гипотез и выработки актуальных архитектур безопасности. К сожалению, действующими редакциями стандартов в области ИБ и/или автоматизации никак не определены как понятие совместимости, так и параметры стендовой модели (насколько подробно необходимо имитировать объект автоматизации). Мы в Cloud Networks опираемся как на собственный экспертный опыт, так и на опыт компаний-интеграторов АСУ ТП. Сегодня с появлением цифровых двойников можно сказать, что они наиболее подходят для задач исследования защищенности, но в рамках сценарного подхода больше подходит attack path analysis, когда определяются потенциальные маршруты использования злоумышленниками уязвимостей для попадания в инфраструктуру.

Для промышленного предприятия процесс обеспечения информационной безопасности – один из ключевых, поэтому важным фактором в его обеспечении является стратегическое планирование. Выбор правильной стратегии – залог устойчивости и бесперебойного функционирования критической инфраструктуры. Консалтинг позволяет построить долгосрочное планирование с учетом ключевых факторов тенденций и прогнозов, получить лучшие и эффективные практики обеспечения ИБ, достичь равновесного баланса сил и средств ИБ, обеспечить достигаемость результатов, а также получить независимость от конкретных поставщиков решений.

В условиях все усложняющихся инфраструктурных взаимосвязей и информационного обмена, повышения необходимой скорости реагирования на инциденты и кибервоздействия на критические процессы важно иметь партнера с сильной экспертизой и актуальным набором средств и методов противодействия угрозам. Cloud Networks – бизнес-партнер по цифровой трансформации и цифровизации крупных промышленных предприятий, который в том числе обеспечивает информационную безопасность по модели «Security as a Service». Преимущества подхода заключаются в повышении эффективности подразделения ИБ за счет снижения издержек на рутинные операции, усиление экспертизы ИБ «на местах», обоснование бюджета на ИБ путем применения риск-ориентированного подхода.

Cloud Networks готовы взять на себя методологическое сопровождение и консалтинг в области обеспечения ИБ, чтобы критическая инфраструктура постоянно находилась под надежной и актуальной защитой.

текст и фото: Cloud Networks

+7 (495) 255-06-30
info@cloudnetworks.ru
www.cloudnetworks.ru

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

38 − 30 =

Читайте также: