Главная » Разное

Способы защиты автоматизированных систем

Содержание
  1. Защита информации в АСУ
  2. АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
  3. Сохранность ресурсов в автоматизированной системе
  4. Классификация данных в информационной базе
  5. Безопасность автоматизированных систем управления технологическим процессом
  6. Защита информации в автоматизированных системах
  7. Задачи по защите информации
  8. Объекты защиты
  9. Планирование и реализация систем защиты
  10. Методы защиты информации
  11. Организационные
  12. Аппаратно-программные
  13. Методы контроля доступа
  14. Средства разграничения доступа
  15. Протоколирование
  16. SIEM-системы
  17. DLP-системы

Защита информации в АСУ

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

П од защитой информации в автоматизированных системах управления технологическим процессом (АСУ ТП) следует понимать комплекс практических взаимосвязанных мероприятий, направленных на предотвращение раскрытия, несанкционированного использования, изменения, искажения, уничтожения, копирования, шпионажа и прочих негативных вмешательств в АСУ.

Для усовершенствования мероприятий, направленных на обеспечение безопасности АСУ ТП, профессиональные сообщества ведут совместные разработки базовых методик в области защиты баз данных (БД). Деятельность в этом направлении включает стандартизацию технических мероприятий, разработку нормативных документов, создание методик обучения администраторов и пользователей.

Автоматизированные системы управления осуществляют сбор, хранение и систематизацию данных, необходимые для оптимального контроля над технологическими процессами.

АСУ ТП создаются на основе надежной вычислительной техники промышленной разработки и предназначены для круглосуточного долгосрочного использования на технологическом объекте. Последствия сбоя в работе АСУ ТП представляют серьезную опасность для людей, оборудования, окружающей среды, могут иметь катастрофический характер.

Для выстраивания грамотной и эффективной защиты следует выявить потенциальных нарушителей в АСУ, определить уровень угроз. Основную угрозу АСУ представляют террористически настроенные группы, цель которых заключается во вмешательстве в процесс управления автоматизированной системой с последующим выводом ее из строя. Террористические группировки собирают технические детали для разработки и проведения атак, поэтому следует вовремя обезопасить систему. Способность структуры АСУ ТП стабильно обеспечивать непрерывный технологический процесс, не зависящий от внешних факторов воздействия, является ее основополагающим показателем.

Сохранность ресурсов в автоматизированной системе

Мероприятия для обеспечения сохранности ресурсов автоматизированной системы управления технологическим и производственным процессом включают:

  1. Построение системы защиты для АСУ ТП. Для моделирования системы информационной безопасности первоначально следует выделить необходимую базу данных, провести ее структурирование. Структурирование проводится методом классификации защищаемых данных согласно задачам и функциям.
  2. Утверждение требований по защите и хранению данных в АСУ ТП. Данный этап предусматривает исследование информационных ресурсов, их структуры, состава и характеристик. На основании эксплуатационно-технической, организационной и распорядительной документации утверждается регламент дальнейшей работы.
  3. Введение в действие системы АСУ ТП. Запуск производится согласно установленному на предварительном этапе техническому проекту. Проводятся установка и наладка технических средств защиты информации. Мероприятия по испытанию и запуску в действие системы для хранения данных документально фиксируются, делается заключение, после чего проводится запуск внедренных защитных комплексов.
  4. Утверждение правил для обеспечения защиты и безопасного функционирования АСУ ТП. При их разработке учитывается специфика подразделения. Администраторы и ответственные за безопасность выбирают наиболее оптимальный вариант защиты информационной базы.
  5. Документирование действий персонала в случае возникновения непредусмотренных обстоятельств. Данная документация применяется в дальнейшей практической деятельности и позволяет усовершенствовать собственную нормативную базу, вести учет, планирование и оптимизацию затрат.
  6. Анализ угроз безопасности. Рассматриваются возможные модели нарушителей и угроз. Риски, связанные с безопасностью информации, прогнозируются путем оценивания мотивации и потенциальных возможностей внутренних и внешних источников опасности, методов осуществления угрозы. Анализируются уязвимость автоматизированной системы управления и вероятные последствия.
  7. Разработку рекомендаций и методик, позволяющих обеспечить сохранность данных при попытке несанкционированного доступа, утечки и разглашения.
  8. Организацию мероприятий, направленных на обеспечение безопасности. Соблюдение главных принципов и простых правил облегчает выполнение задачи по сохранению сведений, предотвращает их потерю и позволяет избежать морального, материального и финансового риска.

Классификация данных в информационной базе

Вся информационная база автоматизированной системы управления подлежит строгой классификации.

Имеющийся информационный ресурс классифицируется по условным категориям:

  • общедоступно;
  • конфиденциально;
  • строго конфиденциально;
  • секретно.

Сотрудники предприятия не имеют права на распространение данных, имеющих категорию выше общедоступной. Пользователи автоматизированных систем управления подразделяются на категории, которые определяют их уровень допуска к информационной базе:

  1. Администраторы АСУ являются специалистами службы информационной защиты, имеют допуск к ресурсам автоматизированной системы с возможностью администрирования.
  2. Сотрудники – данная категория включает всех сотрудников предприятия АСУ.
  3. Стажеры являются сотрудниками предприятия на период испытательного срока. Пользователи данной категории имеют ограниченный допуск в АСУ.

Разработка и внедрение инновационных технологий в сфере охраны сведений АСУ рассматривается как приоритетная задача на государственном уровне, поскольку сохранность такой информации напрямую связана с безопасной обстановкой в стране. Следовательно, к критериям безопасности производства стратегически важно добавить нормативные составляющие для обеспечения грамотного подхода к проектированию и внедрению системы. При технически грамотном процессе система защиты сведений будет закрыта от пользователей, причем данный факт не повлияет на функциональность. Следует заметить, что программный и технический комплекс мер, направленный на сохранение информации в АСУ ТП, является общим для всех сфер и отраслей, в которых применяется.

Читайте также:  Способ оценки ценных бумаг

Выполнение данных требований и рекомендаций позволяет обеспечить бесперебойное действие автоматизированной системы управления в стандартных режимах, а при условии возникновения угрозы – значительно снизить риски несанкционированного вторжения.

Безопасность автоматизированных систем управления технологическим процессом

Важнейшей составляющей промышленной инфраструктуры является автоматизированная система управления технологическим процессом. Обеспечить максимально возможную многоуровневую защиту АСУ ТП – приоритетная задача. Увеличение объема накопленных сведений в АСУ значительно расширило границы использования системы. Ведущими специалистами созданы комплексные методики обеспечения безопасности автоматизированной системы для управления технологическим процессом.

Есть основные типы способов защиты – физические мероприятия, организационные протоколы, технические средства.

  • ограждение территории и охрана сооружений с оборудованием;
  • установка контрольно-пропускного пункта у входа в помещение с оборудованием, установка специальных замков для регулирования доступа;
  • установка системы охранной сигнализации.

Организационные протоколы ориентированы на человеческий фактор. Основная их задача заключается в определении и выполнении норм по обеспечению слаженного функционирования составляющих компонентов АСУ ТП путем утверждения пакета соответствующей документации.

Программа технической безопасности является основным фактором, обеспечивающим охрану автоматизированной системы управления. Она включает следующие мероприятия:

  1. Управление системой обеспечения безопасности АСУ ТП.
  2. Управление доступом к АСУ.
  3. Организация антивирусной безопасности АСУ.
  4. Обеспечение безопасного сетевого взаимодействия АСУ.
  5. Выявление вторжений в систему.
  6. Анализ безопасности АСУ ТП.
  7. Реагирование на инциденты.

На текущий момент задача обеспечения защиты и безопасности АСУ ТП становится все более актуальной. Особое внимание следует уделить не столько соблюдению конфиденциальности АСУ, сколько сохранению цельности и непрерывности ее функционирования, поскольку корректный и контролируемый технологический процесс обеспечивает прежде всего безопасность здоровья и жизнедеятельности людей, а также защиту окружающей среды.

Источник

Защита информации в автоматизированных системах

При организации автоматизированных информационных систем (АИС) должны строго соблюдаться требования по защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна предотвратить воздействие угроз различного происхождения, включая техногенные аварии, воздействие вредоносного ПО или хакеров, похищение данных инсайдерами с целью продажи или шпионажа. Снизить уровень таких рисков позволяет реализация комплекса мер защиты аппаратного и программного уровня.

Задачи по защите информации

Информация имеет определенную ценность. При этом изменение ряда свойств информации может приводить к потере такой ценности. К числу таких свойств по действующему законодательству об охране данных относятся:

  • конфиденциальность — невозможность доступа третьих лиц;
  • целостность (неизменность) — возможность изменения информации только лицами, которые имеют соответствующий допуск;
  • доступность — обеспечение доступа пользователя к необходимой информации без ограничений в связи с проблемами аппаратного уровня или действия вредоносного программного обеспечения.

Методы защиты информации в автоматизированных системах должны применяться ко всему массиву данных, которые обрабатываются в компании, а также по отношению к отдельным блокам повышенной важности.

Объекты защиты

Для применяемых способов защиты информации в автоматизированных системах характерна определенная стоимость. Поэтому важно дифференцировать объекты защиты, чтобы наиболее дорогостоящие и сложные способы использовались по отношению к объектам повышенной ценности. Это разграничение выполняется еще на этапе разработки требований к архитектуре АИС.

В том числе информационные массивы делят на такие виды:

  • Исходные данные — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов.
  • Производные данные — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы.
  • Служебные. Данные вспомогательного характера, архивы защитных систем, данные сканирования.
  • Программные средства защиты данных — лицензированное ПО или ПО собственной разработки.
  • Алгоритмы, на основе которых разрабатываются программы.

Все информационные массивы, кроме вспомогательных данных, могут содержать коммерческую тайну. Поэтому они выступают в качестве объектов защиты информации в автоматизированных системах, которая должна выполняться с максимальной эффективностью.

Планирование и реализация систем защиты

Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.

Можно выделить такие этапы:

  1. Этап планирования. Составляется перечень требований к системе информационной безопасности. Требования зависят от характера выполняемых бизнес-процессов, модели действующих внутренних и внешних угроз и степени их опасности, потребностей пользователей. Планирование выполняют в соответствии с действующими стандартами, которые регулируют информационную безопасность. Это международный стандарт ISO/IEC 27001 и его прямой российский аналог ГОСТ Р ИСО/МЭК 27001, а также ряд других стандартов.
  2. Этап внедрения. Должны быть исключены ошибки или срывы сроков по причине неточностей в планировании и бюджетировании.
  3. Этап управления. Оперативное управление безопасностью — это организованная система реагирования на любые инциденты информационной безопасности и нештатные ситуации. Оно реализуется комплексно с обеспечением работы в «ручном» и автоматическом режиме. В крупных организациях должна быть создана оперативно-диспетчерская служба. В малых компаниях управление системой информационной безопасности АИС может выполнять один сисадмин.
  4. Плановое руководство. Включает в себя периодический аудит системы информационной безопасности, комплексный анализ его результатов, подготовку по итогам анализа доклада и предложений руководству по совершенствованию системы и усилению защитных мер.
  5. Повседневная работа по поддержанию информационной безопасности. Включает процессы планирования, организации, управления, оценки, обнаружения возникающих инцидентов, внесение оперативных корректировок в функционирование аппаратных и программных защитных средств.
Читайте также:  Способы решения экономических споров

На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.

Методы защиты информации

При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:

  • методы повышения уровня достоверности данных;
  • методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев;
  • методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.;
  • методы идентификации пользователей, аутентификации ПО, съемных носителей.

Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.

Организационные

Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование. По этому параметру организации делятся на такие категории:

  • Частная фирма, которая не работает с информацией, содержащей гостайну, и не является оператором персональных данных. Допускается использование любых методов, удобных для организации.
  • Частная компания, являющаяся оператором персональных данных или работающая с данными, содержащими гостайну. Требования к методам защиты информации в автоматизированных информационных системах устанавливаются действующим законодательством и положениями нормативной документации ФСТЭК РФ.
  • Банк. Обрабатывает 3 категории конфиденциальных данных — персональные данные, коммерческую и банковскую тайну. Требования о применении организационных методов защиты устанавливаются положениями Центробанка.
  • Государственное предприятие или государственный орган. Требования по применению организационных методов устанавливаются на уровне головных организаций и министерств.

Выделяют две категории организационных методов защиты информации — системные и административные.

К числу системных методов принадлежат:

  • повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания;
  • организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования;
  • ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации;
  • структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных.

За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.

Среди административных методов защиты информации можно назвать такие способы:

  • утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС;
  • создание у персонала заинтересованности в защите данных;
  • создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры;
  • обучение и повышение мотивации персонала;
  • улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников.

Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.

Аппаратно-программные

Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.

Основные группы задач, которые выполняются аппаратно-программными методами:

  • Трехуровневое резервирование и дублирование данных, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита.
  • Блокирование ошибочных или преднамеренных вредоносных операций.
  • Защита информации от вредоносного ПО. Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение.
  • Защита от несанкционированного доступа к данным. Применяются файерволы, средства выявления атак.
  • Шифрование данных методами криптографической защиты.
  • Контроль доступа, аутентификация пользователей.

Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.

Методы контроля доступа

Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.

Читайте также:  Greenworld удобрение для орхидей способ применения

Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.

Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.

Методы идентификации пользователей

Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:

  • Логин и пароль. Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными.
  • Диалоговый режим. Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы.
  • Биометрический метод. Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза.
  • Использование автоматических радиокодовых устройств (токенов), которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ.
  • Аутентификация при помощи чипов. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр.

Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.

Средства разграничения доступа

Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:

  • По уровню конфиденциальности. Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня.
  • По специальным спискам. Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов.
  • По матрице полномочий. Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов.
  • По мандатному принципу. Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа.

Минусом этих методов является слабый уровень эффективности против инсайдеров, которые могут присвоить признаки идентификации других пользователей. Для защиты от них должна быть реализована система протоколирования.

Протоколирование

Система протоколирования предусматривает создание учетного журнала, в который автоматически заносятся сведения о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих самостоятельно или в составе системы DLP. Протоколирование обеспечивает контроль использования информации, подлежащей защите, фиксируют безуспешные и успешные попытки доступа к ней, осуществляют запись действий. Это позволяет накапливать статистическую базу для последующего аудита.

SIEM-системы

SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной информационной защиты. Они не защищают напрямую от инцидентов, а обеспечивают оперативное информирование о сбоях и нарушениях в работе ПО и оборудования.

SIEM с установленной периодичностью выполняет опрос программ, включая антивирусы и DLP, маршрутизаторов, другого оборудования. Полученные данные сопоставляются с заданными значениями. При обнаружении отклонений SIEM отправляет уведомление, на основании которого соответствующие службы принимают необходимые меры.

К дополнительным функциям таких систем относится протоколирование и ведение журналов учета, что позволяет сформировать доказательную базу для расследования преступлений и нарушений в сфере информационной безопасности. Кроме того, SIEM обеспечивают аудит готовности системы к исполнению своих функций. Данные, получаемые от SIEM, дают основания для внедрения нового ПО или изменения технологических параметров АИС.

DLP-системы

DLP-системы призваны поддерживать максимальную защиту от несанкционированных действий пользователей, обеспечивая полную целостность и конфиденциальность защищаемых данных. Действие такой системы строится на способности отличать открытую информацию от конфиденциальной. Она осуществляет мониторинг внутреннего и внешнего трафика и фиксируется события, связанные с копированием, передачей наружу или выводом на печать конфиденциальной информации. В таких случаях применяется блокировка и с предупреждением пользователя.

Система DLP может дорабатываться под индивидуальные потребности организации и обеспечивает комплексную защиту информации. Необходимым условием для внедрения таких систем является наличие сертификата ФСТЭК, подтверждающего отсутствие незадекларированных возможностей.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.