Модернизация системы защиты информации значимых объектов критической инфраструктуры в области металлургической промышленности

Автор: Баранкова И.И., Петрова Д.А., Андронков А.Д.

Журнал: Бюллетень науки и практики @bulletennauki

Статья в выпуске: 6 т.11, 2025 года.

Бесплатный доступ

Рассмотрен подход к модернизации системы защиты автоматизированной системы управления технологическими процессами (АСУ ТП) объекта критической информационной инфраструктуры (КИИ) металлургического предприятия. Цель исследования заключается в обосновании целесообразности модернизации даже при высоком уровне текущей защищённости в условиях внедрения новых регуляторных требований. В качестве исходных данных использованы материалы модели угроз, топология сети, архитектура объекта и его системы защиты, а также результаты оценки соответствия требованиям нормативных документов ФСТЭК России. В работе применена методология системного анализа, включая концепцию «зон и связей», методы экспертной оценки, инструментального анализа уязвимостей, а также сопоставление с реальными кейсами из смежных исследований, включая опыт промышленной модернизации на аналогичных объектах. Основные результаты включают идентификацию точечных уязвимостей, таких как: наличие устаревших операционных систем, отсутствие систем контроля и управления доступом, недостаточный мониторинг. Было сформировано несколько направлений модернизации: усиление контроля действий привилегированных пользователей, внедрение средств журналирования для привилегированных сессий и пользователей, а также сегментация уязвимых участков, которые не могут быть остановлены для дальнейшей модернизации в силу технологического процесса. Работа интегрирует теоретическую базу, аудит, практические ограничения и регуляторные установки, демонстрируя сквозной процесс обеспечения информационной безопасности: от диагностики до архитектурной трансформации. Полученные выводы могут быть применимы на аналогичных промышленных объектах с типовой инфраструктурой и отраслевыми особенностями. Представленные результаты подтверждают актуальность модернизации как стратегического процесса устойчивого управления безопасностью КИИ.

Еще

Информационная безопасность, критическая информационная инфраструктура (КИИ), субъект КИИ, объект КИИ, аудит, автоматизированная система управления технологическим процессом (АСУ ТП)

Короткий адрес: https://sciup.org/14132791

IDR: 14132791 | DOI: 10.33619/2414-2948/115/17

Текст научной статьи Модернизация системы защиты информации значимых объектов критической инфраструктуры в области металлургической промышленности

Бюллетень науки и практики / Bulletin of Science and Practice Т. 11. №6 2025

УДК 004.056

В условиях повышения значимости информационной безопасности в промышленной сфере особое внимание уделяется защите объектов критической информационной инфраструктуры (КИИ).

Металлургическая отрасль использует сложные автоматизированные системы управления технологическими процессами (АСУ ТП), уязвимые к внешним и внутренним киберугрозам. В этой связи ключевым направлением обеспечения устойчивости и соответствия нормативным требованиям становится своевременная модернизация систем защиты.

Несмотря на приемлемый регуляторами уровень защищённости на ряде предприятий, динамично меняющаяся регуляторная база, эволюция методов атак и необходимость импортонезависимости требуют системного подхода к обновлению архитектуры информационной безопасности.

В 2024 г. регулятор в области информационной безопасности (ФСТЭК России) утвердила актуализированную методику оценки состояния технической защиты информации, которая подчёркивает важность не только формального наличия мер защиты, но и их фактической эффективности и актуальности. Таким образом, модернизация системы защиты АСУ ТП представляет собой не реакцию на инцидент, а стратегическую инициативу по адаптации к текущим и перспективным требованиям.

Цель настоящей работы — разработка и обоснование комплекса мер по модернизации системы защиты АСУ ТП объекта КИИ в металлургической отрасли на основе предварительно проведённого аудита информационной безопасности. Работа выстроена в логике сквозного подхода: от анализа текущего состояния — к выработке конкретных модернизационных решений, соответствующих современным стандартам и нормативным документам в области ИБ.

Методология, применённая в рамках данного исследования, базируется на принципах системного анализа, оценки соответствия требованиям регуляторов в области информационной безопасности, а также практических методах тестирования и анализа уязвимостей. Исследование проводилось в несколько этапов:

1. Анализ нормативной базы и требований;
2. Изучение внутренней документации объекта исследования;
3. Применение концепции «зон и связей». В рамках оценки структуры и защищённости АСУ ТП использована методология проектирования защищённых архитектур [1]. Система логически разделена на технологические зоны: зона управления, зона ПАЗ, зона кибербезопасности, демилитаризованная зона, зона энергообеспечения и др. Проведена инвентаризация активов и трассировка связей между зонами, с учетом требований концепции глубинной защиты;
4. Оценка текущего состояния системы защиты. Проведено сопоставление реализованных мер защиты с требованиями нормативных актов при помощи осмотра опросных листов на объект защиты, недостатков не выявлено. Проведена предварительная оценка по Методике ФСТЭК 2024 года, с формированием первичного показателя состояния технической защиты информации, который стремится к единице, что означает, что обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации, а уровень состояния защищенности характеризуется как минимальный базовый [2]. В частности, реализована сегментация сети, установлены межзоновые шлюзы, разграничение уровней АСУ ТП, базовая архитектура DMZ;
5. Экспертная оценка и классификация рисков. Выделены уязвимости, не влияющие на фундамент архитектуры, но требующие внимания, а именно: устаревшие операционные системы на ряде узлов, отсутствие СКУД-системы, недостаточный контроль действий привилегированных пользователей и их сессий, в том числе удаленных, а также временно ограниченные возможности мониторинга в связи с внедрением отечественных систем.

В рамках данной работы модернизация системы защиты рассматривается не как изолированный процесс, а как логическое продолжение системного аудита информационной безопасности, проведённого в соответствии с нормативными и методическими документами, в том числе Приказами ФСТЭК №31 и №239, а также Методикой оценки соответствия защищённости объектов КИИ.

Согласно статье И. И. Баранковой, Е. А. Семавиной, У. В. Михайловой [3], аудит ИБ промышленных объектов КИИ выявляет реальные несоответствия требованиям нормативноправовых актов, а также недостаточную актуальность документации, устаревшие компоненты и слабости в технической реализации мер защиты. Аудит, выполненный по данной модели, включает в себя экспертный анализ, сопоставление с Приказами ФСТЭК, инвентаризацию СЗИ и сертификационных документов, а также фиксирует человеческий фактор и недостаточную компетентность персонала.

В статье М. В. Коновалова и И. Л. Иванова [4] рассматривается реальный кейс поэтапной модернизации системы защиты АСУ ТП на объекте металлургического производства, отнесённого к критической информационной инфраструктуре. Авторы подробно описывают переход от первичного обеспечения защищённости (изоляция, смена паролей, отключение ненужных служб) к более зрелым формам — внедрению централизованного управления, переходу на отечественное ПО, расширению зон мониторинга и учёту требований бизнеса. Отдельное внимание уделяется необходимости синхронизации технической модернизации с кадровыми мерами — повышением квалификации сотрудников и перераспределением функций между ИБ и эксплуатационным персоналом.

Представленный опыт хорошо коррелирует с задачами, решаемыми в настоящей работе, и может служить примером практической реализации предложенных в исследовании мер.

Таким образом, результаты аудита ИБ являются входной точкой для процесса модернизации. На основе выявленных расхождений формируется техническое задание на доработку архитектуры защиты.

Модернизация позволяет: устранить унаследованные слабости (устаревшие операционные системы, отсутствие контроля привилегий); закрыть регуляторные несоответствия (например, в части физической охраны или логирования); привести систему к состоянию, пригодному для прохождения официальной проверки ФСТЭК по новой методике или подготовки к категорированию/оценке значимости. Такое сочетание подходов (аудит как диагностика и модернизация как лечение) обеспечивает непрерывный цикл совершенствования ИБ и соответствует рекомендациям ГОСТ Р ИСО МЭК 19011‒2021 и современным принципам управления ИБ в промышленных системах [5].

Таким образом, результаты исследования позволили сформировать рекомендации по модернизации системы защиты, направленные на повышение уровня соответствия законодательству Российской Федерации и требованиям регуляторов, снижение рисков реализации наиболее вероятных и критичных угроз и в целом общее повышение устойчивости к внешнему и внутреннему вектору атак. На основании выявленных проблем была сформирована стратегия модернизации, включающая меры, описанные ниже.

1. Организационные: пересмотр локальной нормативной документации; внедрение политики управления доступом и контроля привилегий; регулярное повышение квалификации персонала; проведение учений по реагированию на инциденты;
2. Технические: сегментация сети с применением межсетевых экранов на границах уровней; обновление операционных систем и программного обеспечения; организация сегментации и изоляции узлов с устаревшими операционными системами; внедрение систем обнаружения и предотвращения вторжений (ids/ips); приоритетное внедрение отечественных решений и решений класса pam (журналирование сессий и команд администрирования); внедрение скуд в технические помещения и зоны размещения управляющего оборудования.

Следует отметить, что несмотря на приемлемый уровень организационной и технической зрелости системы защиты автоматизированной системы управления технологическими процессами, модернизация остаётся актуальной и необходимой в контексте следующих факторов, описанных ниже.

Согласно данной методике, субъекты КИИ обязаны регулярно проводить самооценку состояния своей защиты с учётом полноты, актуальности и эффективности реализованных технических и организационных мер. Методика подчёркивает, что оценка должна быть не формальной, а аналитической, включающей в себя реальные показатели устойчивости системы. Это обуславливает необходимость совершенствования даже стабильной архитектуры.

Это включает адаптацию к эволюционирующим киберугрозам, применяемым средствам мониторинга, а также модернизацию унаследованных компонентов. В частности, наличие устаревших операционных систем требует внедрения компенсирующих мер, а не ожидания предписания регулятора.

Таким образом, модернизация системы защиты даже при высоком уровне исходной зрелости представляет собой регламентированный и стратегически обоснованный процесс, направленный на соответствие требованиям законодательства, снижение операционных и регуляторных рисков, а также повышение устойчивости объекта КИИ к развивающимся угрозам.

Результаты могут быть использованы как основа для практического внедрения предложенных мер, а также для последующего прохождения оценки соответствия требованиям безопасности информации.

Отдельного внимания заслуживает факт, что в настоящее время в Государственной Думе Российской Федерации рассматривается законопроект №581689-8 о внесении изменений в Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». После прохождения всех этапов законотворческого процесса и вступления документа в силу, представленные в данной работе подходы к модернизации могут быть адаптированы и расширены с учётом новых требований.

Статья научная