Контроль и защита информации в автоматизированных системах

Введение

Автоматизация является важнейшим движущим фактором изменений в большинстве современных отраслей промышленности. По оценкам, к 2030 году автоматизация может полностью заменить более 800 миллионов рабочих мест, а тем временем автоматизация меняет привычные процессы работы, планирования и взаимодействия с другими.Но с ростом автоматизации появятся новые угрозы безопасности и, наоборот, некоторые преимущества безопасности, на которые следует обратить внимание.В телекоммуникациях безопасность автоматизированных информационных систем включает меры и средства контроля, которые обеспечивают конфиденциальность, целостность и доступность информации, обрабатываемой и хранящейся автоматизированными информационными системами. Несанкционированное раскрытие, изменение или уничтожение может быть случайным или преднамеренным.Безопасность автоматизированных информационных систем включает рассмотрение всех функций, характеристик и функций компьютерного оборудования и программного обеспечения; операционные процедуры; процедуры подотчетности; и средства контроля доступа в центральном вычислительном центре, удаленном компьютере и оконечных устройствах; ограничения управления; физические структуры и устройства, такие как компьютеры, линии передачи и источники питания; средства контроля персонала и связи, необходимые для обеспечения приемлемого уровня риска для автоматизированной информационной системы и для данных и информации, содержащихся в системе. Безопасность автоматизированных информационных систем также включает в себя совокупность мер безопасности, необходимых для обеспечения приемлемого уровня защиты автоматизированной информационной системы и данных, обрабатываемых автоматизированной информационной системой.В области информационной безопасности безопасность автоматизированных информационных систем является синонимом компьютерной безопасности.Благодаря передовым технологиям системы автоматизации используют цифровые сетевые инфраструктуры, и если эти системы не защищены должным образом, они могут быть очень восприимчивы к опасным рискам. Цель реферата: описать и проанализировать проверенные и экономически эффективные методы защиты и контроля активов автоматизированной системы от потенциальных угроз.1 Анализ возможных уязвимостей в автоматизированных системахАвтоматизация и возникающие угрозы кибербезопасностиАвтоматизация - это ключевой фактор, который будет все чаще присутствовать в ближайшем будущем. По определению, автоматизированные системы характеризуются набором программных и аппаратных компонентов, которые позволяют компьютерным системам, сетевым устройствам или машинам функционировать без какого-либо ручного вмешательства. Процессы полностью автоматизированы с помощью контуров управления и специальной логики: эти системы используют несколько событий в качестве входных данных и выполняют операции, основанные на условном принятии решений и специфической логике управления. Таким образом, операции могут выполняться без участия человека-оператора, физически находящегося на месте установки системы.Этот тип систем используется в широком спектре приложений, таких как системы управления и мониторинга, приложения для защиты данных, системы автоматизации производства, автоматизированные системы реагирования на сообщения, автономные транспортные средства и т.д.Рост автоматизации приводит к значительным преимуществам с точки зрения экономики и безопасности. Некоторые из преимуществ заключаются в устранении риска человеческих ошибок, повышении производительности пользователей, разработке стандартизированных операций и улучшении управления операциями. А также точность конечной работы в большинстве случаев еще выше.Важнейшей проблемой автоматизированных систем, без сомнения, являются высокие стандарты безопасности, которые должны гарантировать эти устройства; фактически, они подвержены спаму, вирусам и угрозам безопасности, поэтому нуждаются в определенной степени защиты. Что касается кибербезопасности, то угрозы сетям автоматизации носят неизбирательный характер, но они могут привести к потенциально разрушительным результатам. Примерами атак являются подмена сети и отказ в обслуживании, которые могут привести к потере сигналов тревоги процесса и, действительно, к потенциальным серьезным проблемам безопасности, которые могут нанести ущерб самой системе, а также внешней среде (другим системам, работникам и т.д.).Чтобы быть успешной, кибератака на автоматизированную систему должна получить информацию о целевом предприятии и методах его работы. Эта информация приобретается вредоносной программой посредством операций перехвата, которые представляют собой пассивный перехват данных, проходящих через сеть, на длительной первой фазе, когда операция находится в состоянии покоя. Инциденты включают направленные и вредоносные попытки вторжения, а также ненаправленные атаки со стороны вирусов, червей, и другой вредоносный код, а также непреднамеренные нарушения безопасности, допущенные по ошибке. Помимо угроз со стороны вирусов и хакеров, проникающих в компьютерные системы, растет беспокойство по поводу возможности сетевых преступных или террористических атак на инфраструктуру и критически важные технологические отрасли.В прошлом большинство зарегистрированных инцидентов безопасности были инициированы людьми, имеющими законный доступ к системе. В целом, такие атаки являются наиболее сложными для защиты системы, потому что инсайдеры с наибольшей вероятностью будут иметь доступ к паролям, кодам и системам, а также обладать знаниями о природе системы и ее потенциальных уязвимостях.Однако за последнее десятилетие доля инцидентов, связанных с внешним источником, резко возросла, в частности, в виде вирусов и червей. Во многих случаях заражения вызываются подключением портативного компьютера или устройства хранения данных, которое ранее было подключено к зараженной среде.Безопасность систем промышленной автоматизации и управления аналогична общей безопасности информационных систем, но в то же время отличается. Автоматизированные системы и системы управления предъявляют более высокие требования к целостности, доступности, производительности и немедленному доступу. Кроме того, потенциальное воздействие атаки на автоматизированные системы может включать не только финансовые потери и потерю доверия общественности, но и нарушение нормативных требований, повреждение оборудования и окружающей среды, а также угрозу общественной безопасности и безопасности сотрудников.Уязвимости провайдераНарушения безопасности становятся безумно распространенными, и 74 процента компаний, которые страдают от них, даже не знают, что угроза реализована. С очень большой вероятностью у внешних поставщиков автоматизированных систем имеется явная уязвимость в системе безопасности, которую они не смогли обнаружить, что может сделать уязвимой всю автоматизированную систему. Лазейки в интеграцииПоскольку большинству автоматизированных систем необходимо интегрировать с другими системами для обслуживания компании (будь то извлечение данных с другой платформы или обмен информацией с другой системой), потребуется по крайней мере несколько подключений API, чтобы все заработало. К сожалению, каждое из этих соединений является еще одной потенциальной уязвимостью. Если подключение происходит не с помощью зашифрованных и защищенных каналов, данные могут стать уязвимы, особенно если это происходит в фоновом режиме.Отсутствие надзораК сожалению, многие ИТ-специалисты и сотрудники начинают терять бдительность, когда автоматизированные системы выполняют основную часть своих первоначальных обязанностей. В некоторых случаях целые роли полностью заменяются. В любом случае, надзор за отдельными действиями значительно снижается, и часто используются слабые системы оповещения, которые уведомляют о нарушениях или сбоях в системе. 2 Стратегии обеспечения безопасности в автоматизированных системахМетоды и стратегии, используемые для обеспечения безопасности автоматизированной системы, начинаются с определения того, что уже установлено в системе. Затем необходимо завершить оценку для подтверждения, проверки и дальнейшего выявления уязвимостей. Как только все факторы риска известны, этап внедрения включает в себя выбор желаемого уровня безопасности и выполнение индивидуального решения для удовлетворения конкретных потребностей системы. Наконец, последующий аудит для обеспечения эффективности мер безопасности. Как только определены системные ресурсы, выявлены уязвимости и внедрено индивидуальное решение, поддержание уровня безопасности становится обычной периодической процедурой.Меры безопасности направлены на защиту конфиденциальности, целостности и доступности компьютерной системы от взлома в результате преднамеренных или случайных атак. Данный подход достигается путем внедрения и поддержания соответствующего набора средств контроля для обеспечения достижения целей безопасности организации. Эти средства контроля должны включать политику, практику, процедуры и организационные структуры, а также функции безопасности, реализованные в программном и аппаратном обеспечении. Цель состоит в том, чтобы повысить уровень сложности, необходимый для успешной атаки, и увеличить время, необходимое для ее проведения. Требуется, чтобы пользователь системы идентифицировал атаку и отреагировал на нее.Подобно совершенствованию процессов, повышение безопасности должно быть непрерывным процессом, включающим не только технические решения, но и процедурные и организационные меры. Очень важным элементом являются знания и мышление пользователей системы и других заинтересованных сторон – безопасность начинается и заканчивается человеческим поведением.Не существует единого решения или технологии для обеспечения безопасности, которые соответствовали бы потребностям всех организаций и приложений. Меры безопасности, применяемые к конкретной установке, должны быть пропорциональны оцененному риску с точки зрения вероятности успешной атаки и потенциальных последствий. Также необходимо сбалансировать требования к безопасности и удобству использования, например, для немедленного доступа и быстрого реагирования на нарушение. Хороший баланс достигается, когда оценочная стоимость дополнительного снижения риска меньше, чем затраты на дополнительные меры безопасности, в пределах граничных условий, установленных императивными требованиями к удобству использования.Необходимо обратить внимание, что вероятность успешной атаки не следует путать с вероятностью того, что кто-то захочет атаковать систему или что кто-то будет знать, как это сделать. Основное предположение при таком типе оценки рисков должно заключаться в том, что есть кто-то, кто хочет атаковать систему и обладает необходимыми навыками. При таком допущении вероятность успешной атаки зависит только от того, насколько хорошо защищена система.Анализ архитектуры системыЧтобы управлять безопасностью системы, необходимо иметь возможность определять активы. Схема сетевой архитектуры определит детали логического подключения, чтобы гарантировать идентификацию всех устройств в сети. Этот процесс включает в себя все без исключения протоколы связи, а также различные медиасоединения, такие как интерфейсы сторонних производителей, подключения к бизнес-сетям, точки беспроводного доступа, волоконно-оптическую инфраструктуру. Эта схема должна содержать уникальное имя устройства, сетевой адрес и порт физического подключения для идентификации фактического подключения к интерфейсу, что станет важным в процессе проверки.Важно создать список устройств с перекрестными ссылками, по сути, спецификацию, которая включает дополнительную вспомогательную информацию об активах, такую как марка, модель, серийный номер, версия встроенного ПО, уровень физического доступа и т.д. Сетевая диаграмма должна сегментировать связанные области объекта, чтобы отобразить распределение активов по всей системе управления. Эта диаграмма и связанная с ней информация представляют собой схему системы, крайне важно полностью определить и понять уязвимости активов.Схема может потребовать нескольких страниц и ссылок на дополнительную информацию для уточнения соответствующего оборудования, чтобы обеспечить полное отображение всей информации в зависимости от размера системы. 2.2 Оценка системы Оценка объекта - это критический процесс, который требует пристального внимания к деталям и может занять очень много времени. Типичные оценки систем дополнительно описывают сетевую инфраструктуру и, как правило, определяют потенциальные элементы действий, которые необходимо уточнить и/или определить конечному пользователю. Физическая доступность оборудования - это лишь один из аспектов потенциальной уязвимости.Этот этап также включает в себя проверку каждого элемента, подключенного к физической сети, и обычно реализация данного этапа достигается с помощью простых инструментов сетевого сканирования для идентификации всех узлов связи. Этап включает в себя тщательную оценку каждого устройства с целью выявления всех уязвимостей.Данный шаг может быть исчерпывающим поиском и поиском в зависимости от прошлых методов установки, размера автоматизированной системы и состояния существующей вспомогательной документации. Эти усилия должны быть хорошо спланированы, чтобы гарантировать, что вся существующая инфраструктура полностью идентифицирована и задокументирована.Реализация плана обеспечения безопасностиКак только данные собраны в результате оценки на месте, они объединяются в полный отчет. В этом отчете будут определены все уязвимости, выявленные в текущей системе, и изложен список возможных рекомендаций по устранению как можно большего риска для обеспечения безопасной автоматизированной системы. Меры безопасности обычно включают в себя несколько уровней методов защиты, чтобы устранить как можно больший риск.Предполагаемый уровень риска может быть определен только конечным пользователем и должен быть сбалансирован с учетом вероятности нарушения безопасности и потенциальных результатов. Как только будут приняты окончательные решения, можно будет определить затраты, спланировать действия и реализовать решения. После выбора окончательные решения могут охватывать несколько уровней и требовать тщательного планирования и стратегий внедрения.Как правило, меры безопасности можно разделить на краткосрочные и долгосрочные цели. Краткосрочные цели потенциально могут быть определены довольно быстро, чтобы помочь устранить или уменьшить потенциальную уязвимость. Долгосрочные цели могут включать широкий спектр решений, требующих нескольких этапов, в зависимости от существующей практики и интеграции сетей. Идея состоит в том, чтобы сначала определить самые простые методы, одновременно определяя дополнительные цели безопасности в рамках более широкой стратегии планирования. Для этого может потребоваться несколько шагов для надлежащего снижения риска при сохранении рабочего времени.Аудит системыКак только уязвимости выявлены и выбран уровень приемлемого риска, необходимо определить период проверки или аудита для успешного управления жизненным циклом безопасности. Безопасность - это то, что необходимо поддерживать для постоянного пользования системой. Угрозы и уязвимости могут мигрировать, расти, трансформироваться или адаптироваться с течением времени из-за технологий, человеческих ошибок или внешних воздействий. Поэтому требуется запланированная проверка работоспособности системы, чтобы убедиться в отсутствии новых уязвимостей.Процедура тщательного анализа или аудита должна быть определена после или во время этапа внедрения. Процедуры должны определять четкие и точные шаги, позволяющие любому, обладающему базовыми знаниями, завершить оценку и определить работоспособность системы. Каждый шаг должен иметь измеримую цель для достижения и гарантировать, что целостность автоматизированной системы не будет нарушена. По мере появления новых инструментов или достижений в области технологий процедуры аудита должны обновляться, чтобы гарантировать, что постоянная оценка остается актуальной. Успешное управление безопасностью автоматизированной системы требует постоянных усилий, но последовательные методы могут обеспечить целостность активов.

Заключение

Угрозы безопасности являются постоянными. Для того чтобы активы оставались в безопасности от угроз, важно защитить активы системы, обеспечив выявление уязвимостей автоматизированной системы и их эффективное устранение.Наиболее уязвимые угрозы для автоматизированных систем просто игнорируются или неизвестны внутренним инженерам. Оценка третьей стороной, проведенная специалистом с глубокими знаниями и профессиональным процессом оценки, может обеспечить гарантию того, что система останется безопасной и надежной. Внешняя проверка снимает ответственность и обеспечивает руководству уровень уверенности в том, что производственные активы остаются в безопасности.Внедрение приемлемых отраслевых стандартов должно быть настроено таким образом, чтобы соответствовать желаемому уровню безопасности, определяемому конечным пользователем. Данный шаг может быть осуществлен путем тщательного анализа, внедрения и периодических аудитов, осуществлен для того чтобы убедиться, что система соответствует требованиям. Список использованных источников
А.А. Адаричев Оценка влияния средств защиты информации на производительность автоматизированных систем управления специального назначения // T-Comm: Телекоммуникации и транспорт. 2019. Том 13. №11. С. 53-59.А.А. Бирюков. Информационная безопасность. Защита и нападение. – М.: ДМК Пресс, 2017. – 434 с.А.В. Мальцев, А.О. Чефранова, А.В. Белев. Администрирование системы защиты информации ViPNet версии 4.х. – М.: Беловодье, 2016. – 192 с.В.А. Трайнев. Системный подход к обеспечению информационной безопасности предприятия (фирмы). – М.: Дашков и Ко, 2018. – 332 с.В.Л. Конюх. Проектирование автоматизированных систем производства. Учебное пособие. – М.: Инфра-М, КУРС, 2016. – 312 с.В.С. Андык. Автоматизированные системы управления технологическими процессами на ТЭС. Учебник. – М.: Юрайт, 2018. – 408 с.В.П. Мельников,А.И. Куприянов,Т.Ю. Васильева. Информационная безопасность. – М.: КноРус, 2018. – 376 с.Е.В.Анищенко, Хабибулин А.Г. Автоматизированные системы финансовых расследований: курс лекций. – М.: , 2015. – с.Е.К. Баранова, А.В. Бабаш. Информационная безопасность и защита информации. – М.: РИОР,Инфра-М, 2014. – 256 с.Е.К Баранова,А.В. Бабаш,Д.А. Ларин. Информационная безопасность. История специальных методов криптографической деятельности. – М.: Инфра-М, 2019. – 236 с.Новые вызовы и угрозы информационной безопасности. Правовые проблемы. – М.: Канон+РООИ "Реабилитация",Институт государства и права РАН, 2016. – 320 с.С.А.Нестеров Информационная безопасность. Учебник и практикум для СПО. – М.: Юрайт, 2018. – 321 с.Р.К. Потапова. Речевое управление роботом. Лингвистика и современные автоматизированные системы. – М.: КомКнига, 2012. – 328 с.