ЖУРНАЛ СТА №3/2023

Немаловажен фактор ресурсоёмкости средства защиты ввиду частого наличия требования высокой доступности серви- сов автоматизации. Поэтому, например, настройка средств антивирусной защи- ты «по умолчанию» чаще всего приво- дит к недопустимой нагрузке на аппа- ратные ресурсы чувствительных компо- нентов комплекса автоматизации. Выходом из ситуации может быть «тонкая» настройка антивируса для снижения ресурсоёмкости либо ис- пользование промышленного антиви- руса, изначально «заточенного» для ра- боты в промышленных сетях. Целесообразность применения того или иного функционала средства за- щиты определяется: применяемыми в объекте защиты технологиями инфор- матизации, критичностью защищае- мого ресурса (актива), «местоположе- нием» защищаемого ресурса в архи- тектуре системы автоматизации. Из дополнительных факторов следует выделить физическую среду функцио- нирования защищаемого комплекса ав- томатизации – требования по климати- ке (например, отапливаемые серверные помещения либо неотапливаемый блок- бокс контрольного пункта телемехани- ки), условия размещения в монтажном конструктиве (шкаф стоечного исполне- ния, крепление на DIN-рейку и т.д.), агрессивность среды (требования пыле- и влагозащищённости используемых программно-аппаратных средств) – воз- можность активного охлаждения или обязательное пассивное охлаждение. Если говорить о корпоративном сег- менте, то физическая среда функцио- нирования «стандартная» – капиталь- ное серверное помещение с регулируе- мой климатикой. С чего начинать построение системы защиты? Первый этап должен быть самым простым и доступным, поэтому перво- очередные мероприятия заключаются в настройке уже имеющихся средств защиты информации встроенного в АСУ ТП функционала безопасности: ме- ханизмов контроля и управления до- ступом, регистрации и учёта, резервно- го копирования настроек и данных, так и средства обеспечения сетевой без- опасности (при их наличии). Если средства обеспечения сетевой безопасности (межсетевые экраны) рас- положены между корпоративным и технологическим сегментами, то в ка- честве первоочередных мер необходи- мо пересмотреть правила межсетевых взаимодействий в сторону усиления (по принципу «всё, что не разрешено, – то запрещено») и сегментации ЛВС (вы- деление сегментов для АСУ ТП, серви- сов управления производством). Реализация данных мероприятий не требует длительных согласований и су- щественных капитальных вложений, но при этом существенно повышают за- щищённость комплексов автоматиза- ции от самых распространённых угроз. Следующий этап (он может быть как вторым, так и «нулевым») – определе- ние целевого состояния безопасности, – то есть состояние и конфигурация си- стемы с настроенными механизмами безопасности (здесь речь идёт уже не только про встроенные, но и наложен- ные средства), позволяющие системе стабильно функционировать в усло- виях кибератак – то есть когда приня- ты меры к нейтрализации выявленных актуальных угроз ИБ и нивелированию сопутствующих рисков. Определение целевого состояния без- опасности служит основой для выра- ботки плана (дорожной карты) реали- зации мероприятий по обеспечению ИБ. В плане может быть отражена оче- рёдность реализации (внедрения) мер и необходимые затраты. Защита АСУ ТП – часть общей ИБ-стратегии предприятия Дорожная карта мероприятий по обес- печению ИБ АСУ ТП должна ставить це- лью не только реализацию набора мер как таковых, но и выстраивание данных мер (не только технических, но и орга- низационных) в связную и функцио- нально согласующуюся систему защиты. Меры не должны быть реализованы «сами по себе», а быть оптимальными (не избыточными), взаимоувязанными и неконфликтующими, а также не сни- жать управляемость технологически- ми процессами. Для этого необходима точная и де- тальная настройка средств защиты. Во- первых, важно учесть нюансы функ- ционирования АСУ ТП как критичного программно-технического комплек- са; во-вторых – чтобы «специальный» функционал (например, разбор и ана- лиз тегов, разбор проприетарных про- мышленных протоколов и т.д.) активно использовался; в-третьих – чтобы си- стема защиты АСУ ТП являлась частью единой системы кибербезопасности, не- обходимо полноценное «встраивание» средств обеспечения ИБ АСУ ТП в соот- ветствующуюинфраструктуру. А встраи- вание специализированных средств за- щиты должно быть рассмотрено не только с точки зрения управления си- стемой ИБ, но и получения от данных средств событий безопасности для по- следующего анализа и выработки мер по ИБ на основе результатов анализа и корреляции данных событий. ● Автор – сотрудник компании Innostage СТА 3/2023 68 www.cta.ru НОУ - ХАУ MISCOM6208 – новая серия управляемых Ethernet-коммутаторов от MAIWE КомпанияMAIWE из г. Ухань (Китай) пред- ставила обновление популярной серии 8-пор- товых управляемых коммутаторов на DIN- рейку. Серия MISCOM6208 является дальней- шим развитием серии MIEN6208 и представ- ляет собой типовое решение для построения промышленных Ethernet-сетей, которое мож- но встретить в большом количестве про- ектов. Серия управляемых коммутаторов MISCOM6208 построена на новой аппаратной платформе и подходит для решения самых различных задач. Из отличительных особен- ностей можно отметить поддержку несколь- ких протоколов резервирования STP/RSTP, ERPS, MW-ring (< 20 мс), а также возможность удалённого взаимодействия с коммутатором по протоколам SNMP V1/V2/V3, SSH, HTTPS. Серия MISCOM6208 отличается наличием большого числа конфигураций коммутатора, которая позволяет выбрать тип портов, исхо- дя из требуемых задач. Диапазон рабочих температур для MISCOM6208 –40...+85°С, сте- пень защиты IP 40. Новая серия также до- ступна с различными вариантами напряже- ний питания либо резервированный модуль питания с входным 9…60 В (DC) либо 85…264 В (AC)/110~370 В (DС). На продукцию серии MISCOM6208 MAIWE предоставляется офици- альная гарантия 5 лет. ●