Безопасность информационных технологий

Целью статьи является разработка моделей угроз, специфичных для объекта защиты – автоматизированных систем управления технологическими процессами (АСУ ТП). При разработке моделей угроз предлагается метод построения графических нотаций ЕРС (Event-driven Process Chain), основными элементами которых являются события и функции, связанные логическими операциями. В данной работе приведены результаты анализа угроз нарушения информационной безопасности автоматизированных систем управления технологическими процессами. Представлены ЕРС-модели угроз нарушения информационной безопасности современных информационно-управляющих систем промышленных предприятий. ЕРС-модели позволяют подробно описать пути реализации угроз, актуальных для современных АСУ ТП, что, в свою очередь, дает возможность специалистам, работающим в области информационной безопасности, проектировать системы защиты информации (СЗИ) в АСУ ТП, адекватные потенциальным угрозам и с учетом специфики производства. Моделирование угроз нарушения информационной безопасности (ИБ) позволяет специалисту по защите информации (ЗИ) получить достаточно убедительные доводы о возможности реализации нарушителем угроз конкретной АСУ ТП, что способствует финансированию проекта в необходимом объеме. В статье не ограничиваемся рассмотрением только моделей бизнес-процессов, как единственного средства создания моделей угроз в сфере информационной безопасности, а предлагаем EPC-моделирование, как один из методов построения угроз информационной безопасности АСУ ТП. ЕРС-модели позволяют описать пути реализации угроз, актуальных для современных АСУ ТП и оценить вероятности их реализации.

АСУ ТП, ЕРС-модель, информационная безопасность, АРМ, ERP, MES, информационная система, OPC, SCADA.

1. Гусев Н.В., Ляпушкин С.В., Коваленко М.В. Автоматизация технологических комплексов и систем в промышленности: учебное пособие / Томск: Изд-во Томского политехнического университета, 2011. – 198 с.

2. Воронцов А.Н., Автоматизированные системы управления технологическими процессами // Вопросы безопасности: информационный бюллетень компании “Инфосистемы Джет”. Информационная безопасность промышленных объектов. URL: http://www.jetinfo.ru/stati/asu-tp-voprosy-bezopasnosti (дата обращения: 06.01.2019).

3. Лукацкий А. Стандарты безопасности АСУ ТП // Cisco Systems, Москва, 2012. С. 5–15.
URL: http://www.slideshare.net/ CiscoRu/ss-8690963 (дата обращения: 06. 01.2019).

4. Приказ ФСТЭК России от 14 марта 2014 г. №31.
URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/868-prikaz-fstek-rossii-ot/ (дата обращения: 06. 01.2019).

5. Что такое ERP система. Блог компании Trinion.
URL: https://habr.com/company/trinion/blog/333018/
(дата обращения: 06.01.2019).

6. Система управления MES. Сайт Корпорации Галактика.
URL: https://www.galaktika.ru/blog/mes.html
(дата обращения: 06.01.2019).

7. Загидуллин Р.Р. Управление машиностроительным производством с помощью систем MES, APS, ERP. Старый Оскол: ТНТ. 2011. – 372 с.

8. Машкина И.В. Управление информационной безопасностью на основе интеллектуальных технологий: учебное пособие. Уфа: РИК УГАТУ. 2017. – 209 с. ISBN 978-5-4221-1087-2.

9. Шеер А.В. ARIS – моделирование бизнес-процессов. –М:. Вильямс, 2000. – 175 с.

10. CVE-2014-8551 Detail. URL: https://nvd.nist.gov/vuln/detail/ CVE-2014-8551
(дата обращения: 06.01.2019).

11. В ПЛК Siemens SIMATIC S7-400 обнаружена серьезная уязвимость.
URL: https://www.securitylab.ru/news/493312.php (дата обращения: 06.01.2019).

12. Vulnerability Details: CVE-2018-4850. URL: https://www.cvedetails.com/cve/CVE-2018-4850/
(дата обращения: 06.01.2019).

13. National Vulnerability Database. URL: https://nvd.nist.gov/ (дата обращения: 06.01.2019).

14. Mashkina I., Garipov I., Development of Protection Object Model – Industrial Control System Using System Analysis.
URL: https://ieeexplore.ieee.org/document/8501733 (дата обращения: 06.01.2019).

15. Mashkina I., Garipov I., Threats Modeling and Quantitative Risk Analysis in Industrial Control Systems.
URL: https://ieeexplore.ieee.org/document/8501694 (дата обращения: 06.01.2019).