Решения по обеспечению информационной безопасности

Обеспечение информационной безопасности автоматизированных систем технологического управления является неотъемлемой частью процесса создания систем в целом. Компания «Прософт‑Системы» использует комплексный подход в области обеспечения информационной безопасности в рамках создаваемых продуктов и решений. Защита информации обеспечивается на всех этапах создания продуктов и систем автоматизации.

При построении систем обеспечения информационной безопасности используется концепция «Defense in Depth» (эшелонированная, многоуровневая защита). Наряду с базовыми механизмами защиты, обеспечиваемыми встроенным функционалом продуктов, используются дополнительные средства защиты периметра системы, защиты конечных узлов, мониторинга локальной вычислительной сети.

БАЗОВЫЕ РЕШЕНИЯ (ВСТРОЕННЫЙ ФУНКЦИОНАЛ)

Программно-технические средства и программные комплексы имеют встроенные механизмы защиты информации, обеспечивающие необходимый уровень защищенности обрабатываемой информации, разработанные с учетом требований российского законодательства (Федеральный закон «О безопасности критической информационной инфраструктуры» №187-ФЗ от 26.07.2017, Приказы ФСТЭК России №239 от 25.12.2017, №31 от 14.03.2014), отраслевых нормативных документов и международных стандартов.

Встроенные средства защиты обеспечивают:

• Идентификацию и аутентификацию пользователей, в том числе наличие механизмов двухфакторной аутентификации.
• Разграничение прав доступа (в качестве модели для контроля и управления доступом к защищаемым ресурсам используется ролевая модель доступа).
• Аудит безопасности: регистрация событий информационной безопасности и защищенное хранение информации о событиях безопасности.
• Контроль целостности дистрибутивов и исполняемых файлов программного обеспечения, а также обрабатываемых данных.
• Использование защищенных протоколов для конфигурирования устройств (HTTPS, SNMPv3, SSH).
• Защиту каналов связи с использованием VPN/IPsec.
• Межсетевое экранирование с использованием пакетного фильтра.
• Укрепление конечных узлов (отключение неиспользуемых служб, портов, отключение стандартных и неиспользуемых учетных записей, удаление неиспользуемого программного обеспечения).

ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

Использование только встроенных функций защиты информации не может обеспечивать должный уровень защиты от угроз безопасности информации и удовлетворение всех требований законодательства и нормативно-правовых актов в области защиты информации в АСУ ТП. Достижение требуемого уровня безопасности информации, обрабатываемой в автоматизированной системе, невозможно без применения дополнительных мер защиты информации.

В рамках комплексного решения по обеспечению информационной безопасности могут реализовываться следующие меры:

• Сегментирование локальной вычислительной сети, выделение демилитаризованной зоны.
• Защита периметра системы с использованием межсетевых экранов с функциями фильтрации пакетов на прикладном уровне модели OSI и глубокого анализа траффика (DPI).
• Обнаружение/предотвращение вторжений.
• Мониторинг локальной вычислительной сети.
• Защита конечных узлов, включая антивирусную защиту, контроль запуска, установки и целостности приложений, контроль подключаемых устройств, использование персональных межсетевых экранов.
• Резервное копирование и обеспечение возможности восстановления информации.
• Резервирование технических средств.
• Шифрование каналов связи с внешними системами.
• Регулярные обновления программного обеспечения и антивирусных баз.
• Контроль и анализ защищенности, включая инвентаризацию технических средств, контроль анализ конфигураций, поиск уязвимостей.
• Другие технические и организационные меры защиты информации.

Пример архитектуры киберзащищенной подстанции приведен на рисунке 1.

Рисунок 1.
Архитектура киберзащищенной подстанции

ПРОЕКТИРОВАНИЕ И ИНТЕГРАЦИЯ

Компания «Прософт‑Системы» оказывает услуги по созданию комплексного решения по обеспечению информационной безопасности создаваемых (модернизируемых) автоматизированных систем технологического управления, включая работы по обследованию, категорированию/классификации систем, построению модели угроз и оценки рисков, формированию требований, с учетом требований законодательства, международных стандартов и лучших практик, разработку проектной, рабочей и организационно-распорядительной документации, ввод в действие и техническое обслуживание системы безопасности.

ПРЕИМУЩЕСТВА

• Решения по обеспечению информационной безопасности разрабатываются в соответствии с требованиями российского законодательства (Федеральный закон «О безопасности критической информационной инфраструктуры» №187-ФЗ от 26.07.2017, Приказы ФСТЭК России №239 от 25.12.2017, №235 от 21.12.2017, №31 от 14.03.2014), требованиями отраслевых нормативных документов (в том числе распоряжения ПАО «Россети» от 01.04.2016 №140р «Об утверждении минимальных требований к информационной безопасности АСТУ»), а также с учетом требований международных стандартов и лучших практик.
• Встроенные средства защиты информации в продуктах компании проходят процедуру сертификации в системе ФСТЭК России.
• Компания «Прософт‑Системы» является партнером ведущих производителей средств защиты информации (Kaspersky Lab, Positive Technologies, УЦСБ, Инфотекс и пр.), что позволяет гибко подходить к выбору применяемых решений и учитывать все пожелания и потребности Заказчика.
• Применяемые средства защиты информации имеют заключение о совместимости с оборудованием и программными комплексами, входящими в состав ПТК АСУ ТП/ССПИ.
• В штате компании имеются высококвалифицированные специалисты в области информационной безопасности.
• Разработка программного обеспечение ведется с применением элементов безопасной разработки в соответствии с ГОСТ Р 56939–2016.
• Осуществляется регулярный анализ защищенности разрабатываемого программного обеспечения, своевременный выпуск обновлений безопасности и доставка обновлений пользователям, что позволяет минимизировать риски несанкционированного доступа к элементам ПТК и нарушения штатного режима функционирования системы.