Кибербезопасность в АСУ ТП, общие вопросы

Переход...
 

Инфо:Сайт находится в разработке. Размер графа безопасности ограничен динамически (текущее ограничение 50 ребер), в зависимости от наличия ресурсов в системе.

Терминология безопасности. Кибербезопасность. Информационная безопасность по материалам : Алпеев А.С. к.т.н. (ФБУ «НТЦ ЯРБ») «Вопросы кибербезопасности», № 5, стр. 36-42 2015г. С любезного разрешения автора.

Понятие «безопасность» в современном мире играет едва ли не самую главную роль во всех жизненных процессах: биологических, политических, экономических, социальных, технических, территориальных и др. Поэтому очень важно не только корректно определять это понятие и его производные, но и правильно применять их по назначению. К сожалению, к настоящему времени этот весьма желаемый результат не получен. Однако попытки его достижения продолжаются. Рассмотрм сравнительно недавно появившиеся термины «Кибербезопасность» и «Информационная безопасность», определение которых, и их производных, на мой взгляд, выполнены не совсем корректно. Поскольку важность этих понятий в современном мире очень велика, то их анализ и предложения по корректировке заслуживают пристального внимания.
В качестве критикуемых определений термина «кибербезопасность» возьмем определение этого термина из [1]:
«Кибербезопасность - условия защищенности от физических, духовных, финансовых, политических, эмоциональных, профессиональных, психологических, образовательных или других типов воздействий или последствий аварии, повреждения, ошибки, несчастного случая, вреда или любого другого события в киберпространстве, которые могли бы считаться не желательными».
И определение этого термина из [2]:
«Кибербезопасность – совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями».
При рассмотрении этих определений в первую очередь хочется отметить неправомерный выбор в них родового термина «условия» из [1] и «совокупность условий» из [2], поскольку сам термин указывает на необходимый родовой термин «безопасность». Это говорит о том, что термин «кибербезопасность» является производным от родового термина «безопасность», таким образом, что «кибербезопасность» представляет собою часть понятия «безопасность», выделяемую некоторыми специфическими особенностями, которые должны составить вторую часть определения термина «кибербезопасность» следующую за родовым словом. Поскольку родовое слово в выбранных определениях термина «кибербезопасность» взято не правомерно, то обсуждать вторую часть этих определений не целесообразно. Дальнейшие соображения по поводу определения термина «кибербезопасность», связаны с выбором определения термина «безопасность», который бы позволил корректно сформировать вторую часть определения термина «кибербезопасность», следующую за родовым словом.
Рассмотрим определение «безопасность» из [3]: «Безопасность - наука, изучающая природные, техногенные, социальные, экономические и другие процессы образования, развития и взаимодействия субъектов, объектов, окружающей среды и их комбинаций с целью выявления источников опасностей, определения их характеристик и формирования законов и других нормативных актов, устанавливающих понятия, требования, рекомендации и методики, выполнение которых должно гарантировать защищенность интересов отдельной личности и общества в целом от всех выявленных и изученных источников опасности».
В [3] проведен анализ причин, по которым выбрано это определение и предложены методы формирования других понятий, связанных родовыми отношениями с термином «безопасность». Пользуясь этим методом формирования определений, предлагается следующая формулировка термина «кибербезопасность»:
Кибербезопасность – раздел безопасности, изучающий процессы формирования, функционирования и эволюции киберобъектов, с целью выявления источников киберопасности, которые могут нанести им ущерб, и формирования законов и других нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности. Под киберобъектом здесь понимается, любой объект, функционирование которого осуществляется с участием программируемых средств. Заметим далее, что определение термина «кибербезопасность» из [1, 2] базируется на понятии «киберпространство»:
«Киберпространство – сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)» из [2]. В определении термина «киберпространство» также родовой термин «сфера» выбран не логично. Этот термин был бы уместен, если бы определялся термин «киберсфера». На мой взгляд, более корректно определить понятие «киберпространство» через понятие «киберобъект» следующим образом: Киберпространство – пространство, в котором осуществляется функционирование и взаимодействие киберобъектов.
В соответствии с рекомендациями [3], далее следует определить термин «кибербезопасность объекта» как внутреннее свойство объекта не быть опасным для окружающей среды при его функционировании во всех режимах работы: Кибербезопасность объекта – свойство объекта, характеризующее его внутренние возможности не быть причиной образования ущерба для внешней среды или ограничивать его величину допустимыми нормами. При этом следует понимать, что ущерб киберобъекту наносится в результате специально организованных кибератак. Под кибератакой в этой статье понимается – предумышленно организованная совокупность действий с участием программно технических средств (ПТС), направленная на нанесение экономического, технического или информационного ущерба. Например, получение секретных сведений по различным аспектам. По источнику организации кибератаки можно подразделять на две группы: внешние, по отношению к объекту кибератаки и внутренние. Так, например, в [4] описан случай организации внутренней кибератаки с корыстной целью заработать деньги. «Первым хакером в истории СССР оказался простой программист Мурат Уртембаев, которому прочили блестящую карьеру математика в МГУ, но он отказался от научной стези, и по целевому распределению попал на АВТОВАЗ. Там его таланты никто не оценил, и он решил доказать, что чего-то да стоит. Схема работы была следующей - программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях. Мурат смекнул, что можно без труда «хакнуть» систему, и никто его не спалит. В ходе проверки выяснилось, что первый хакер СССР был первым пойманным, но отнюдь не первым, кто обнаружил окно в системе, и «хакнул» ее. В том же Управлении, в котором работал Уртембаев, «элита» регулярно создавала сбои на конвейере и оперативно их ликвидировала, выбивая у начальства за спасение конвейера в качестве награды дачи, квартиры, автомобили».
Таким образом, источником внутренней кибератаки может быть персонал объекта кибератаки или персонал имеющий доступ к его программному обеспечению, если за действиями этого персонала нет должного контроля. Случаи внешних кибератак описываются довольно часто, особенно на сети банков и финансовых организаций с целью присвоения денег с чужих счетов и карт частных пользователей. Однако уже имеются случаи кибератак на АЭС, например, в [5] «глава Организации пассивной обороны Ирана Голям Реза Джалали заявил, что иранские специалисты завершили расследование обстоятельств кибератаки. Согласно его результатам, вирус Stuxnet, атаковавший Бушерскую АЭС, запустили из Израиля и американского штата Техас. Также Джалали высказал предположение, что инжиниринговая корпорация Siemens, которая поставила и установила на АЭС систему сбора и обработки данных SCADA, также причастна к атаке. Концерн, по мнению составителей доклада, должен объяснить, почему он предоставил «врагам» Ирана коды SCADA, в результате чего и стала возможной кибератака. В конце сентября иранским программистам удалось справиться с компьютерным вирусом, который, по утверждениям главы Организации по атомной энергии Ирана Али Акбара, находился в нескольких ПК, принадлежащих сотрудникам АЭС».
В [5] указывается также, что «Сейчас группа специалистов (или даже одиночка) способны с помощью технических и информационных средств нанести непоправимый вред военной, экономической, технологической, политической и информационной безопасности любого государства. Поэтому большинство действий, осуществляемых сторонами в кибервойне, влияет на межгосударственные отношения и может привести к политическому противостоянию». В качестве критикуемых понятий «Информационная безопасность» в статье взяты следующие понятия:
  • «Информационная безопасность — защита конфиденциальности, целостности и доступности информации» из [6].
  • «Информационная безопасность – состояние защищенности личности, организации и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве» из [2].
Сложность этого понятия состоит в том, что сам предмет, безопасность которого определяется, не определен как по внутренней структуре, так и по внутренним свойствам, которые необходимы для формирования требований к его безопасности. Даже само определение информации, в настоящее время весьма не однозначно и противоречиво. Таким образом сформировать понятие безопасности такого предмета на основании его внутренней структуры и внутренних свойств не представляется возможным. Тем более что к определению из [2] даны определения указанных в нем составляющих:
  • Конфиденциальность информации - такое состояние информации, при котором доступ к ней только у объектов с наличием прав на нее.
  • Целостность информации - блокировка несанкционированных изменений информации.
  • Доступность информации - избежание сокрытия информации от пользователей с правами доступа.
Обращает внимание то, что все составляющие представляют собой только внешние действия по отношению к информации: назначение прав доступа к информации; блокирование несанкционированных изменений информации; избежание сокрытия информации от пользователей с правами доступа.
К тому же, хочется отметить то, что оба взятых для критики понятия фактически устанавливают эквивалентность терминов «безопасность» и «защищенность», что соответствует [7]. Сравните сами: в [1] «безопасность – защита» и в [6] «безопасность – состояние защищенности». С моей точки зрения, это совсем не так. Такая ситуация в терминологии именуется порочным кругом: «безопасность это защищенность», а «защищенность это безопасность». Но, как правило, защищенность объекта это его защита от внешних источников опасности, в то время как безопасность объекта это внутреннее свойство объекта не быть источником опасности для окружающей среды. С этой точки зрения следует различать два термина: «Кибербезопасность объекта» и «Киберзащищенность объекта», что соответствует в английской интерпретации «Cyber safety object» и «Cyber security object». Первый термин определен выше, второй термин, на мой взгляд, должен быть определен следующим образом: Киберзащищенность объекта – свойство объекта, характеризующее его внешние возможности предотвращать образование ущерба от кибератак или ограничивать его величину допустимыми нормами. Что касается термина «информационная безопасность», то имеет смысл пока рассуждать об информации как о черном ящике, т.е. только о защищенности информации. Поэтому термин «безопасность информации», на данный момент времени определяется только намерениями ее обладателя и ни чем другим. Это дает основания утверждать, что термин «информационная безопасность» на данный момент времени (пока не определено корректно, что такое информация и какова ее внутренняя структура и свойства) не корректен по своей сути. Вместо него можно предложить термин «информационная защищенность» и использовать для него определение изложенное ранее т. е.: «Информационная защищенность — защита конфиденциальности, целостности и доступности информации», что, на мой взгляд, соответствует реальному состоянию рассматриваемой проблемы.

Список литературы.

  • [1] ISO/IEC 27032 2012. «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности».
  • [2] Концепция стратегии кибербезопасности российской федерации http://www.council.gov.ru/media/files/41d4b3dfbdb25cea8a73.pdf
  • [3] Ежемесячное приложение к журналу «Стандарты и качество». Экологические аспекты проблем надежности и безопасность технических систем. «Основные понятия безопасности». Алпеев А.С. М., 1994, вып. 7.
  • [4] Первый хакер в СССР. Остановил конвейер ВАЗа и остался на свободе/ http://yandex.ru/yandsearch?lr=213&text=%D0%BF%D0%B5%D1%80%D0%B2%D1%8B%D0%B9+%D1%85%D0%B0%D0%BA%D0%B5%D1%80+%D1%81%D1%81%D1%81%D1%80&csg=5649%2C41594%2C12%2C25%2C3%2C0%2C0.
  • [5] Армейский вестник от 04.09.2012г. «Мировые кибервойны». http://lastbabylon.com/node/387.
  • [6] Википедия. https://ru.wikipedia.org/wiki Информационная безопасность
  • [7] Словарь русских синонимов.

Требования к формальным моделям безопасности для АСУ ТП АЭС

по материалам: Promyslov Vitaly, International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange IAEA Headquarters Vienna, Austria 1–5 June 2015 (с любезного разрешения автора)
Эффективные меры информационной безопасности (ИБ) АСУ ТП АЭС должны основываться на эффективном наборе политик безопасности, где политика безопасности является неформализованным описанием данном на естественном языке ожиданий и требований к управлению ИБ в пределах системы. Политика безопасности строится на основе анализа рисков, которые признаются реальными для организации эксплуатирующая АЭС. Когда проведён анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить ИБ [1]. Политика безопасности обычно содержит ответы на следующие вопросы:
  • предмет, основные цели и задачи политики безопасности;
  • условия применения политики безопасности и возможные ограничения;
  • описание позиции руководства организации в отношении выполнения политики безопасности и формирования режима ИБ организации в целом;
  • права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
  • порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности;
  • правила определения объектов, нуждающихся в защитных мероприятиях для обеспечения ИБ, включая компьютерные системы, прикладные программы компьютерных систем и сетевые соединения;
  • определение основополагающей архитектуры и проектных принципов и требований к проектированию и управлению конфигурацией;
  • определение рабочих процедур обеспечения безопасности для управления доступа к объектам, защиты данных, скрытности связи, обеспечения безопасности платформы и прикладных программ, системного мониторинга, поддержания безопасности компьютерной системы, управления действиями и дублирования системы.
Политика безопасности в целом является уникальной для каждого защищаемого объекта, т.к. учитывает особенности объекта, правила и предпочтения собственника объекта, специфические для места размещения объекта угрозы, ограничения действующих регуляторов. Однако, наличие единого производственного цикла для АЭС, применение однотипных компонентов для построения АСУ ТП АЭС (датчиков, сетей данных, компьютеров, систем SCADA), наличие общих задач, решаемых АСУ ТП АЭС (управление оборудованием, ведения архива, интерфейс с оператором и т.д.) позволит выделить общую часть и оформить ее в виде типовой политики безопасности АСУ ТП АЭС. Наличие общей части в плотиках безопасности АСУ ИП АЭС для разных объектов, позволяет ставить вопрос о едином подходе к анализу корректности политики безопасности. Существование политики безопасности не гарантирует реального обеспечения ИБ АСУ ТП, даже при условии её реализации. Факторами уязвимости являются: неформальное определение самой политики безопасности, позволяющее разнообразную интерпретацию положений политики ИБ, её значительная сложность для систем, включающих в себя большое количество объектов и субъектов отношений ИБ, что может привести к наличию внутренних противоречий или неполноте политики безопасности. Внутренние противоречия проявляются, например, в существовании взаимно-подчиненности (петель), неполнота политики безопасности ведет к невозможности легального осуществления доступа субъектов к объектам для проведения необходимых технологических процедур, обусловленных регламентом в рамках заданной модели безопасности. Поэтому, для корректной реализации политики безопасности, необходимо перейти к ее описанию в виде формальной (аналитической) модели безопасности, допускающей ее математическую проверку [2]. В этом случае, формальные модели ИБ позволяют, благодаря более компактному описанию, выявить требования к безопасности и важные характеристики среды на уровне детальности, необходимом для рассмотрения вопросов безопасности с общим пониманием контекста. На данный момент для формального описания политики безопасности известны множество моделей, но в основном они являются некоторыми обобщениями и комбинациями трех классов моделей безопасности: дискреционной, мандатной и ролевой модели. Каждый из классов имеет свои достоинства и недостатки. Дискреционная модель безопасности является относительно простой и понятной в реализации, благодаря своей статичности, однако статичность затрудняет учет динамических свойств защищаемой системы. Мандатная политика, являясь многоуровневой политикой безопасности сосредоточена на предотвращение несанкционированного обмена информацией между различными уровнями безопасности (модель Белла-ЛаПадулы), что не является основной задачей ИБ АСУ ТП. Ролевая модель безопасности может рассматриваться как расширение первых двух, и является наиболее гибкой, однако она сложна для реализации, роли чаще всего непереносимы и уникальны для объектов, даже схожих по своему назначению. На данный момент не известны общепризнанные формальные модели безопасности АСУ ТП для АЭС. Указанные модели были принесены в сферу ИБ АСУ ТП вместе с другими знаниями и технологиями из военного и банковского сектора. Сейчас сложилось понимание отличия целей ИБ для АСУ ТП от целей, поставленных перед ИБ в банковском и военном секторе, а так же наличие особенностей архитектуры АСУ ТП, отличающих ее от информационных (IT) компьютерных систем. Особенности архитектуры АСУ ТП АЭC:
  • наличие физических и логических границ,
  • информационная связь с реальным объектом,
  • функционирование в темпе времени объекта,
  • наличие отдельных требований по ядерной и технологической безопасности, что находит соответствующее отражение в политике безопасности АСУ ТП.
Основными требованиями для применяемых в ИБ АСУ ТП АЭС формальных моделях должно быть:
  • поддержка иерархической системы уровней безопасности (УБ);
  • способность описывать зональное деление УБ по логическому или физическим границам;
  • прозрачная классификации компонентов (объектов и субъектов) модели по ядерной и технологической безопасности;
  • поддержки смешанных целей ИБ (модель Белла-ЛаПадулы и модель Биба);
  • приоритет модели Биба (приоритет целостности над конфиденциальностью).

НАДЕЖНОСТЬ УПРАВЛЯЮЩИХ СИСТЕМ И БЕЗОПАСНОСТЬ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ по материалам : Алпеев А.С. к.т.н. (ФБУ «НТЦ ЯРБ») Конференция "Информационная безопасность АСУ ТП КВО-2016" 2015г. С любезного разрешения автора.

Проблема обоснования надежности программируемых управляющих систем (ПУС) с момента их широкого применения в практической деятельности человека занимает одно из важных мест, поскольку использование ПО для достижения требуемых результатов стало необходимым при решении разнообразных сложных задач практически во всех областях науки и народного хозяйства. Особую важность приобретает доказательство характеристик надежности ПУС для КВО, таких, например, как, атомные станции (АС). Поэтому исследованиями в данной области занимаются в разных странах различного рода коллективы уже не менее четырех – пяти десятков лет и пока необходимого результата не достигнуто. Конечно, решение этой проблемы насущно и необходимо, но задача по применению программируемых средств автоматизации должна решаться в настоящее время с теми исходными данными, которые доступны.
Как известно [3, 4] к надежности ПО, используемого в управляющих системах АС, для осуществления управления в режимах эксплуатации и при авариях предъявляются достаточно высокие требования, которое при современном состоянии программируемых средств автоматизации и системотехники не обеспечивает доказательства необходимой наработки на отказ реализуемых функций порядка 106 час. Такое состояние с разработкой управляющих систем является неудовлетворительным и требует принятия мер, которые гарантировали бы надлежащую надежность функционирования АС. Кроме того, появившаяся в настоящее время информация об успешных кибератаках на оборудование с управляющими программируемыми системами, связанными с ядерными установками [1], значительно повысила интерес к решению проблем надежности управляющих систем в области ядерной энергетики.
Для начала рассуждений на предложенную тему рассмотрим современное состояние дел с имеющейся информацией по средствам и системам автоматизации. При этом следует учитывать, что «Количественная оценка безотказности цифровых программируемых систем из-за ряда недостатков более трудна, чем для непрограммируемых систем», как указывается в [2] п. 2.9. Это может вызывать определенные трудности в демонстрации ожидаемой безопасности системы, выполненной на основе компьютерной техники. В настоящее время требования высокой программной безотказности не доказуемы. Следовательно, проекты, базирующиеся на единственной системе, выполненной на основе компьютерной техники и достигающей вероятности отказа на требование более низкой, чем 10-4 для программного обеспечения, должны реализовываться с предосторожностью». Далее в [2], п. 2.13, также указывается, что «Количественное определение программной безотказности остается нерешенной проблемой. Испытание программного обеспечения имеет некоторые ограничения и поэтому количественное определение программной безотказности для компьютерных систем может быть трудно или даже невозможно демонстрировать».
Для последующих рассуждений предлагается все средства автоматизации разделить на две группы: 1 - программируемые средства автоматизации и 2 - не программируемые средства автоматизации. Управляющие системы могут быть реализованы как на средствах автоматизации первой группы, так и второй группы и такой опыт в мировой практике создания этих систем уже накоплен. Рассмотрим далее достоинства и недостатки управляющих систем реализованных на средствах автоматизации указанных ранее групп. Сразу отметим, что в последнее время наблюдается расширяющееся применение управляющих систем, базирующихся на программируемых средствах автоматизации. В частности, это связано с тем, что в этих системах достигается:
  • улучшенный контроль параметров атомной станции, в том числе параметров, важных для безопасности;
  • улучшенный интерфейса оператор-объект;
  • обеспечение оперативных испытаний;
  • самоконтроль средств автоматизации и функциональных групп;
  • улучшенная диагностика;
  • повышенная точность измерения;
  • повышенная устойчивость функционирования;
  • уменьшенная потребность в кабельных соединениях за счет применения мультиплексных структур (общих информационных шин);
  • улучшенная модифицируемость управляющих систем под развивающиеся задачи эксплуатации.
Указанные преимущества программируемых управляющих систем не исключают имеющихся недостатков таких систем. Например, таких как:
  • разработка и создание программного обеспечения представляет собой более интеллектуальный процесс, чем создание аналоговых средств, и поэтому имеет большую вероятность возникновения ошибок, выявление которых представляет собой достаточно сложную задачу;
  • трудность демонстрации характеристики безотказности.
Таким образом, первая группа средств автоматизации позволяет создавать управляющие системы с повышенными показателями качества работы, однако эти системы не имеют достаточного обоснования по надежности выполнения требуемых функций и могут быть подвержены кибератакам. [1]. Вторая группа средств автоматизации имеет больший опыт промышленного применения, однако уступает первой группе по качеству реализации требуемых функций, более сложна в изготовлении, наладке и сервисном обслуживании. Но для управляющих систем, выполненных на средствах автоматизации 2 - группы достаточно хорошо обосновываются показатели надежности и они, как показывает опыт многолетней эксплуатации, не подвержены воздействию кибератак. При таком рассмотрении управляющих систем, реализованных на тех или иных средствах автоматизации, хорошо видны их преимущества и недостатки. При этом на мой взгляд, напрашивается рассмотрение возможного симбиоза систем на средствах автоматизации из двух названных ранее групп средств автоматизации с тем, чтобы использовать их положительные качества в полной мере и избежать проявления негативных моментов их применения. Для этой цели необходимо проанализировать функциональные группы всех управляющих систем АС, чтобы выделить функциональные группы, для которых качество реализации представляется достаточно сложным и трудоемким, и функциональные группы, отказ которых приводит к аварии. В соответствии с [3] «Функциональная группа – принятая в проекте часть управляющей системы, представляющая собой совокупность средств автоматизации, выполняющих заданную функцию». В [3] п. 3.17, указывается, что в проектной документации управляющих систем важных для безопасности должны быть определены функциональные группы и их классификация по категориям безопасности. Проведение требуемого анализа необходимо учитывать не только классификацию функциональных групп по безопасности, но и целый ряд аспектов, важных для реализации управляющих систем.
Например, функциональные группы, реализующие защиты по одному параметру, как правило, представляют собой достаточно простую структуру: измеритель параметра защиты, сравнивающее устройство с величиной заданного параметра защиты, устройство, формирующее исполнительный сигнал в случае превышения измеренным параметром величины заданного параметра и исполнительное устройство. Алгоритм работы такой системы защиты достаточно прост и со временем не меняется. Режим работы стационарен и обычно хорошо диагностируем. Отказ системы защиты может приводить к значительным убыткам, т.е. проведение успешной кибератаки в такой системе должно быть невозможно. Для таких функциональных групп, на мой взгляд, целесообразна ее реализация на средствах автоматизации, обозначенной ранее как группа - 2.
В случаях, когда функциональная группа реализует достаточно сложную функцию, например выравнивание поля энерговыделения активной зоны ядерного реактора, которая имеет достаточно сложный алгоритм реализации и зависит от множества постоянно меняющихся технологических параметров, то реализацию такой функциональной группы, на мой взгляд, следует выполнять на средствах автоматизации группы - 1. Эта группа обеспечит более высокое качество реализации требуемой задачи в автоматическом режиме, чем при автоматизированном управлении. Применение для автоматизации средств первой группы целесообразно в случаях, когда требуется управление, связанное с координацией большой группы параметров и, в зависимости от меняющихся во времени технологических параметров, связанных, например, с выгоранием топлива или отказами технологического оборудования, при которых необходимо поддерживать непрерывность технологического процесса, оперативным вводом в работу резервного оборудования. Таким образом, результаты функционального анализа управляющих систем АС являются основой для выбора средств автоматизации для создания соответствующих управляющих систем.
Следует отметить, что системы диагностики, особенно управляющих систем, важных для безопасности, по которым формируются сигналы аварийной защиты, также должны формироваться на основе не программируемых средств автоматизации, чтобы не подвергаться воздействию кибератак и иметь расчетное обоснование надежности. Как указывается в [4], п. 4.1.12, «Отчет по обоснованию безопасности АС должен содержать данные о показателях надежности систем нормальной эксплуатации, важных для безопасности, и их элементов, отнесенных к классам безопасности 1 и 2, а также систем и элементов безопасности. Анализ надежности должен проводиться с учетом отказов по общей причине и ошибок персонала». Таким образом, все функциональные группы управляющих систем классов безопасности 1 и 2 будут иметь обоснованные расчетом показатели надежности, поскольку будут выполнены на средствах автоматизации группы 2. Функциональные группы класса 3, выполненные на программируемых средствах автоматизации, будут достигать наработки на отказ до 104 час, что в настоящее время является допустимым значением. Автор выражает надежду на то, что предложенный метод выбора средств автоматизации и соответствующее построение управляющих систем для КВО и, в частности для атомных станций, будут обеспечены более аргументированными показателями надежности функционирования.

Список литературы.

  • [1]Армейский вестник от 04.09.2012г. «Мировые кибервойны».
  • [2] Программное обеспечение систем важных для безопасности, выполненных на основе компьютерной техники для атомных энергетических станций. NS-G-1.1. МАГАТЭ 2000.
  • [3] Требования к управляющим системам, важным для безопасности атомных станций. НП-026-04.
  • [4] Общие положения обеспечения безопасности атомных станций. НП-001-97.
Комплексность проблемы безопасности для АЭС, ее многокомпонентность приводят к необходимости определения модели взаимодействия промышленной, функциональной, информационной безопасностей и кибербезопасности, включая анализ влияния последствий от нарушений свойств одного из компонентов на другие. Необходимость учета взаимовлияния компонентов при обеспечении общей безопасности АЭС, в том числе влияние нарушения свойств информации (целостности, доступности, конфиденциальности) на промышленную безопасность определяет дисциплину кибербезопасность АСУ ТП АЭС. Кибербезопасность в рамках такой модели представления является подмножеством понятия «информационная безопасность», которое ограничено информацией, представленной в цифровой форме, и системами, используемыми для ее обработки и хранения на уровне технологического управления, т.е. АСУ ТП АЭС.
В международной практике для выделения кибербезопасности из информационной безопасности принята модель МАГАТЭ [6],а на национальном уровне РФ для атомной промышленности - Федеральным Законом [2]. В соответствии с этой моделью взаимодействия (Рис. 1) в рамках обеспечения информационной безопасности выделяются следующая внутренняя структура и соответствующие процессы:
  • Государство классифицирует данные по уровням важности и предъявляет к ним общие требования по защите информации [7]. Требования по защите информации распространяются как на собственно данные в электронной форме, так и на компьютерные системы используемые для их хранения, передачи и обработки.
  • Дополнительные требования на информацию налагаются в рамках законов и регулирующих документов, связанных с ядерной энергетикой [1].
  • Собственник АЭС, в соответствии с требованиями в рамках программы информационной безопасности, определяет политики процедуры безопасности для критически важной информации, нарушение доступности, целостности или конфиденциальности которой может привести к нарушению штатного режима функционирования автоматизиро-ванной системы управления [5].
  • Собственником идентифицируются и выделяются критически важные информационные активы.
  • Собственник идентифицирует цифровой актив и тип актива, который осуществляет обработку, хранение, передачу информации в цифровой форме.


Рис. 1. Общая модель взаимодействия информационной и кибербезопасности.

Кибербезопасность заключается в поддержании значений рисков для АЭС (экономических, экологических, социальных), связанных с возможным нарушением (умышленным и неумышленным) доступности, целостности или конфиденциальности информации (алгоритмов, данных и сигналов) в АСУ ТП АЭС, в заданных пределах.
Процесс управления кибербезопасностью АСУ ТП АЭС на верхнем уровне можно представить в виде последовательности выполнения следующих шагов [3,4]:
  1. По оценкам риска на системном уровне назначаются уровни кибербезопасности для подсистем АСУ ТП АЭС.
  2. В соответствии с уровнем кибербезопасности назначаются требования к мерам защиты.
  3. Определяется архитектура безопасности АСУ ТП АЭС, в частности к правилам разграничения доступа.
  4. Выполняется оценка остаточного риска на уровне подсистем и их элементов и при необходимости назначаются дополнительные меры кибербезопасности.
Кибербезопасность АСУ ТП АЭС достигается посредством комплекса организационно-технических мероприятий. Весь комплекс мероприятий направлен на предупреждение, выявление различного вида угроз, а также на защиту (реагирование) от этих угроз, которые способны привести к нарушению целостности, доступности или конфиденциальности технологического процесса АСУ ТП АЭС. Обеспечение кибербезопасности АСУ ТП АЭС выполняется в рамках соответствующей программы, которая определяет и координирует деятельность всех организаций, вовлеченных в жизненный цикл АСУ ТП АЭС (разработчики, проектировщики, поставщики и т.д.) по выявлению и ликвидации (нейтрализации) угроз объектам АСУ ТП АЭС, снижению рисков и величины возможного ущерба на всех стадиях жизненного цикла АСУ ТП АЭС.
Основополагающим документом по кибербезопасности АСУ ТП АЭС является политика безопасности, разрабатываемая как для каждого из этапов жизненного цикла, так и для каждого из уровней представления системы (системы, подсистемы и т.д.). Политики безопасности определяются на различных уровнях, начиная от политики управления или администрирования, устанавливаемой на уровне предприятия, и заканчивая политикой эксплуатации, определяющей подробные данные управления безопасностью. Дополнением к политике безопасности служат процедуры и регламенты. Разделение политики (описания) и действий (процедур) по воплощению политики безопасности позволяет более гибко реагировать на изменение рисков, связанных с кибербезопасностью. Ввиду того, что угрозы реализуются посредством уязвимостей в политике безопасности, для минимизации связанного с кибербезопасностью риска возможно осуществлять воздействия на обе составляющие. Уязвимости, в отличие от угрозы, подвержены прямому воздействию со стороны владельца защищаемого объекта, поэтому управление риском посредством минимизации уязвимости является более гибким и чаще используемым методом.
Основными задачами обеспечения кибербезопасности на каждом из этапов должны являться:
  • плановое выявление и устранение угроз кибербезопасности АСУ ТП АЭС и их источников;
  • развитие и совершенствование системы обеспечения кибербезопасности АСУ ТП АЭС, включая разработку новых и совершенствование существующих способов, методов и средств выявления, оценки, прогнозирования, нейтрализации и ликвидации угроз, а также средств и методов противодействия этим угрозам;
  • эффективное противодействие угрозам кибербезопасности АСУ ТП АЭС;
  • выявление, предотвращение и ликвидация последствий от воздействий, вызывающих нарушения целостности, доступности и конфиденциальности информации и данных, приводящих к нарушению технологического процесса АСУ ТП АЭС;
  • сертификация средств защиты информации, программного обеспечения, технологий, их разработки и применения в соответствии с требованиями безопасности АСУ ТП АЭС;
  • совершенствование приемов, способов, методов и средств защиты АСУ ТП АЭС от кибератак;
  • своевременная и непрерывная подготовка кадров.

Список литературы

  • [1] Федеральные нормы и правила в области использования атомной энергии «Требования к управляющим системам, важным для безопасности атомных станций» НП 026 16. Зарегистрировано в Минюсте России 14 декабря 2016 г. N 44712
  • [2] Промыслов В.Г., Полетыкин А.Г. Методы борьбы с киберугрозами АСУ ТП современного предприятия. Журнал "Information Security/ Информационная безопасность" #1, 2016.
  • [3] IEC 62645 ed 1. Атомные электростанции. Системы контроля и управления. Требования к программам обеспечения безопасности для компьютерных систем. 2014.
  • [4] IEC 62859. Атомная электростанция. Приборы и системы управления. Требования к координации безопасности и кибербезопасности. 2016.
  • [5] ФСТЭК России от 14.03.2014 № 31 (ред. От 23.032017) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющую повышенную опасность для жизни и здоровья людей и для окружающей природной среды". Зарегистрировано в Минюсте России 30.06.2014 № 32919.
  • [6] NST055 , Handbook on the design of physical protection systems for nuclear material and nuclear facilities (Draft) August 2017.
  • [7] РФ Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 19.12.2016) "Об информации, информационных технологиях и о защите информации".

Дополнительная информация и литература ...