[an error occurred while processing this directive]

Ключевые аспекты обеспечения защиты информации в промышленности

Несмотря на то, что общие вопросы информационной безопасности универсальны и одинаково актуальны в любых предметных областях, их конкретное выражение обладает спецификой, сильно зависящей от сферы применения методов защиты информации. Существует такая специфика и в промышленности. В первую очередь, она касается объектов защиты информации.

Если в сфере обслуживания защите в качестве коммерческой тайны подлежат данные о бизнесе компании, персональные данные сотрудников и клиентов, то в промышленном секторе к ним добавляются также данные об используемых в производстве «ноу-хау», содержание находящихся на рассмотрении патентных заявок, проектно-конструкторская документация. Для указанных объектов наиболее важным является сохранение их конфиденциальности.

Целостность критична для таких объектов, как оперативные данные о выполнении графика производства, состоянии производственных запасов и незавёршенного производства; организационно-распорядительная документация; телеметрические данные с производственных линий, систем распределения электроэнергии, теплоносителей или нефтепродуктов; наборы управляющих программ для станков и линий с ЧПУ; данные от систем промышленной безопасности. Для этой категории объектов важна также и доступность, так как они непосредственно участвуют в процессах оперативного управления производством.

В силу специфики промышленного производства и наличия целого ряда технологических процессов, носящих непрерывный характер, сбой управляющих систем, вызвавший останов производственных процессов, может нанести очень серьёзный экономический, физический и экологический ущерб предприятию и окружающей среде. В то же время, отключение систем управления технологическими процессами без остановки самих этих процессов может нанести ещё больший ущерб, чем их остановка. Таким образом, в качестве ещё одного объекта информационной безопасности в промышленнности следует указать сами системы управления технологическими процессами и производством в целом.

В силу значительной величины площадей производственных помещений, их территориальной распределённости, а иногда и расположения датчиков и терминалов за пределами охраняемой территории, на промышленных предприятиях достаточно актуальна задача предотвращения физического доступа неавторизованных лиц к объектам информационной инфраструктуры. Существует также и задача выявления и отслеживания неверного ввода данных работниками производственных подразделеий (в основном из-за слабого их знакомства с ИТ). Обе этих проблемы говорят о необходимости реализации на промышленных предприятиях внутреннего кольца защиты информационных систем и установки пониженного уровня доверия к данным, вводимым вручную с терминалов в производственных зонах.

Пониженный уровень доверия (требующий дополнительной аутентификации), скорее всего, необходимо сопоставить и управляющим данным, приходящим на производственные линиии или на системы распределения энергоносителей через линии связи. Система должна выполнять такую команду лишь при получении подтверждения её аутентичности и при соответствии этой команды заложенному профилю промышленной безопасности.

На прикладном уровне вышеописанные особенности защиты информации в промышленности отражаются в использовании предприятиями, кроме систем ERP и CRM (как в сфере обслуживания), систем автоматизации проектирования (САПР) и организации документооборота проектно-конструкторской документации (PDM), систем управления производством (SCADA/HMI/DMPM/MES) и систем обеспечения промышленной безопасности (HSE).

Помимо осуществления интеграции этих программных решений в едином информационном поле промышленным предприятиям необходимо параллельно ставить и решать задачу защиты этого информационного поля от агрессивных внешних и внутренних  воздействий. Каждая из перечисленных систем, как правило, обладает минимальными возможностями по защите информации, но их явно недостаточно для обеспечения комплексной информационной безопасности промышленного предприятия. Мероприятия по обеспечению необходимого уровня информационной безопасности будут подразделяться на действия по обеспечению безопасности информационного поля предприятия и действия по защите информации в рамках конкретной подсистемы. Для получения эффекта от указанных мероприятий перед их проведением должна быть разработана политика информационной безопасности, в рамках которой необходимо определить состав объектов защиты, набор ключевых показателей информационной безопасности и их значений, обеспечивающих необходимый уровень защиты внутрифирменной информации. Здесь же необходимо разработать локальные политики безопасности для каждой из защищаемых информационных систем предприятия с учётом общей политики и соответствующих требований по защите информации.

Российские стандарты обеспечения безопасности

Следует отметить, что в настоящее время вопросы защиты критичных инфраструктур, в ряд которых входят и производственные линии, трубопроводы и ЛЭП, рассматриваются на государственном уровне. Аспектам обеспечения промышленной безопасности производств и транспортной инфраструктуры придаётся особое значение в контексте постоянной террористической угрозы и серии крупномасштабных аварий в системах энергоснабжения развитых стран. На уровне предприятий и принимаемых мер обеспечения безопасности информации это отражается посредством принятия государственных стандартов обеспечения безопасности. В частности, Минпроэнерго разработаны и вынесены на рассмотрение проекты технических регламентов: «О ядерной и радиационной безопасности», «О безопасности химических производств»,  «Об экологической безопасности», «О биологической безопасности», «О пожарной безопасности», «О безопасной эксплуатации и утилизации машин и оборудования», «О безопасности оборудования, работающего под избыточным давлением свыше 0,07 МПа или при температуре нагрева воды свыше 1150С», «О безопасности низковольтного оборудования», «О безопасности информационных технологий», «О требованиях к средствам обеспечения безопасности информационных технологий», которые прямо или косвенно определяют требуемый уровень информационной безопасности и комплекс мероприятий по её обеспечению в промышленности.

Сергей Середа / CNews Analytics


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS