Файл: Управления, как правило, имеет многоуровневую структуру.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 25.10.2023

Просмотров: 178

Скачиваний: 5

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Управление конфигурацией автоматизированной системы


В ходе управления конфигурацией автоматизированной системы управления и ее системы защиты осуществляются:

  • поддержание конфигурации автоматизированной системы управления и ее системы защиты:

  • структуры системы защиты автоматизированной системы управления,

  • состава, мест установки и параметров настройки средств защиты информации,

  • программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);

  • определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

  • регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления;

  • управление изменениями базовой конфигурации автоматизированной системы управления и ее системы защиты, в том числе:

  • определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты,

  • санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты,

  • документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты,

  • сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты,

  • контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты

  • анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления;

  • определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

  • внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления.



  1. Выбор мер защиты информации для их реализации в информационной системе (Базовый набор, адаптированный, …)


239 ФСТЭК РФ

Выбор мер защиты информации для их реализации в автоматизированной системе управления в рамках ее системы защиты включает:

  • определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении N 2 к настоящим Требованиям;

  • адаптацию базового набора мер защиты информации применительно к каждому уровню автоматизированной системы управления, иным структурно-функциональным характеристикам и особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с технологиями, не используемыми в автоматизированной системе управления или ее уровнях, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);

  • уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления;

  • дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организации в области защиты информации


  1. 1   2   3   4   5   6   7   8   9   ...   13

Наиболее распространенные проблемы кибербезопасности промышленных объектов.


Непроектные автоматизированные рабочие места (АРМ) со внешним выходом в интернет.. С непроектного АРМ сотрудник мог подключаться к сети не только в рабочее время. Подобные машины представляют угрозу для всей технологической сети предприятия.

Открытый Wi-Fi. Используется для удобного подключения к серверам с инженерной станции. С его помощью злоумышленник может получить доступ к технологической сети без проникновения в закрытые серверные помещения.

Подключение по RDP. При неограниченном доступе к компьютеру нарушитель может легко подключиться через рабочую станцию к остальным АРМ. Злоумышленнику необязательно повышать свои права на узле, к которому он получил доступ, потому что в этих ярлыках уже прописаны логины и пароли администраторов для подключения. Хакер может получить их по RDP-соединению без физического доступа к месту, а уже потом закрепиться в сети.

Непроверенные сетевые устройства. Во время наладочных работ подрядчик подключил непроектный коммутатор с LTE-модемом к технологической сети программно-аппаратного комплекса управления экскаватором. После проведения работ коммутатор остался подключённым к технологической сети. В ходе проверки в коммутаторе обнаружилась открытая уязвимость в виде возможности удалённого доступа через облачный сервис.

Использование паролей по умолчанию. У всех вендоров есть свои стандартные кодовые слова для интеграторов. На предприятиях используются одинаковые или взятые из инструкций по эксплуатации пароли. Пугающе часто последние встречаются в открытом виде, в том числе и в файле на рабочем столе. Поэтому, в том числе, так важно соблюдение политики «чистого стола», о которой будет сказано далее. 

Отсутствие политики «чистого стола». Наличие информационного «мусора» в критической ситуации затрудняет оперативное реагирование. Представим, что у оператора появляется подозрение на взлом, подмену картинки или отсутствие обновлений. Для сверки динамики он обращается к журналу регистрации. Поиск недостоверных параметров будет затруднён лишними предметами. Структурированность же позволит сэкономить драгоценное время.


Открытый физический доступ к компонентам АСУ ТП. Ограничение физического доступа к компонентам АСУ ТП подразумевает запирание помещений, контроль допуска на объект, а также пломбирование шкафов с оборудованием. В ходе проверок оказалось, что к части помещений с КТС АСУ ТП (комплекс технических средств АСУ ТП) есть бесконтрольный доступ, а некоторые даже не запираются. Инженер АСУ ТП Cloud Networks мог подойти в спецодежде и белой каске к начальнику смены или ответственному службы КИПиА (контрольно-измерительные приборы и автоматика) с просьбой открыть серверную. В 70 % случаев это делалось без наряд-доступов и каких-либо вопросов.

Отсутствие обновлений и антивирусного ПО.
  1. Защита персональных данных. Действующие документы. Классификация ИСПДн


Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Постановление Правительства РФ от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Приказ Роскомнадзора от 15 сентября 2015 года № 996 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, обеспечивающих осуществление деятельности в сети Интернет"

Классификация ИСПДн, предусмотренная Приказом Роскомнадзора от 25 апреля 2013 года № 198, определяет четыре класса информационных систем персональных данных (ИСПДн) на основе уровня конфиденциальности и доступности обрабатываемых в них персональных данных. Рассмотрим каждый класс подробнее:

Класс 1:

  • ИСПДн, используемые для обработки персональных данных, относящихся к категориям специальных данных, таких как данные о расовой или этнической принадлежности, политических убеждениях, религиозных или философских убеждениях, здоровье и другие особо защищаемые категории персональных данных.

  • К таким ИСПДн предъявляются особо жесткие требования по организации защиты персональных данных, включая ограниченный доступ, шифрование данных, контроль доступа и т.д.


Класс 2:

  • ИСПДн, используемые для обработки персональных данных, относящихся к государственной тайне.

  • Эти ИСПДн подлежат дополнительным требованиям и обеспечению безопасности согласно законодательству Российской Федерации о государственной тайне, включая режимы доступа, контроль за перемещением носителей информации и др.

Класс 3:

  • ИСПДн, используемые для обработки персональных данных, доступных неограниченному кругу лиц.

  • К таким ИСПДн относятся, например, публичные информационные системы или системы, предоставляющие доступ к персональным данным через сеть интернет.

  • Требуется обеспечение достаточных мер безопасности и защиты, чтобы предотвратить несанкционированный доступ или утечку персональных данных.

Класс 4:

  • ИСПДн, используемые для обработки персональных данных, доступных ограниченному кругу лиц.

  • К таким ИСПДн могут относиться, например, информационные системы, используемые внутри организаций для обработки персональных данных сотрудников.

  • Требуются меры безопасности и организационные мер


  1. 1   2   3   4   5   6   7   8   9   ...   13