РЕШЕНИЯ КРОК ДЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АСУ ТПСовременные промышленные предприятия применяют автоматизированные систе-мы управления производственными и технологическими процессами (АСУТП), ос-нованные на традиционных информационных технологиях (операционные системы Windows/Linux, сетевые протоколы на основе IP, сетевые коммуникации между офис-ными и промышленными сегментами, удаленный доступ, беспроводные сети). Это отвечает современным потребностям бизнеса к оперативности контроля и управления промышленными процессами, но при небезопасном применении может порождать угрозы несанкционированного доступа к управлению технологическими процессами. Риски включают в себя финансовые потери, остановки производства, экологические катастрофы, причинение вреда здоровью и жизни людей.

Так было на иранском заводе по обогащению урана, где компьютерный червь Stuxnet изменил логику работы программных логических контроллеров, управляющих двигате-лями центрифуг, что привело к выходу их из строя и временной остановке завода. А ра-нее в объединенной энергосистеме США и Канады произошла авария, одной из причин которой стал компьютерный сбой в системе управления, в результате чего северо-вос-ток США на несколько дней остался без электричества, ущерб превысил $6 млрд.

КРОК предлагает комплексный подход к обеспечению информационной безопасности промышленных систем при их проектировании, внедрении, эксплуатации и модерни-зации. Он основывается на требованиях и рекомендациях международных стандартов и российских нормативных документов по обеспечению информационной безопасно-сти промышленных систем.

БИЗНЕС-ПРИЛОЖЕНИЯ14.14 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Аудит безопасности и анализ защищенности

В ходе аудита проверяется практическая реализация требований и ре-комендаций российских и международных стандартов по обеспече-нию информационной безопасности промышленных систем, таких как ANSI/ISA99, NIST SP 800-82, Приказ №31 ФСТЭК России, отраслевые стандарты и другие.

Выводы о состоянии защищенности информационной сети предприя-тия делаются на основе интервью со специалистами заказчика, анализа документации, структуры и конфигурации систем, инструментального анализа защищенности с целью поиска уязвимостей.

Итоговый отчет включает в себя методику и описание хода работы, оценку состояния защищенности систем, перечень выявленных уязви-мостей, а также рекомендации по их устранению.

Построение системы управления информационной безопасностью

Создание системы управления информационной безопасностью на предприятии осуществляется с учетом данных, полученных на этапе аудита и анализа защищенности систем. В состав работ включена раз-работка политики информационной безопасности, корпоративных стандартов, нормативной документации, регулирующей процессы управления ИБ, обучение персонала правилам информационной без-опасности промышленных систем.

Построение системы обеспечения информационной безопасности

Основная цель созданной системы информационной безопасности ‒ гарантия отказоустойчивости и непрерывности работы предприятия. Это достигается за счет предотвращения несанкционированного до-ступа к управлению системой, к технологической информации и за счет применения архитектурных мер отказоустойчивости.

Под защиту попадают основные компоненты промышленных систем: рабочие станции операторов и инженеров, серверы SCADA и архива, программируемые логические контроллеры, интеллектуальные испол-нительные устройства и датчики, промышленное сетевое оборудова-ние, каналы связи, шлюзы удаленного доступа и другие компоненты.

14.14

ПРЕИМУЩЕСТВА КРОККРОК работает на рынке информацион-ных технологий с 1992 года. Компания признана лидером на рынке системной интеграции (ежегодные отчеты IDC, 2002–2013 гг.), входит в десятку круп-нейших ИТ-компаний России («Коммер-сант-Деньги», CNews, «РА Эксперт», 2014 г.). У специалистов КРОК свыше 4400 профессиональных сертификатов. В офисе компании расположен собствен-ный Центр решений по информационной безопасности ‒ площадка, гости которой могут подобрать оптимальный состав решений, обеспечивающий бесперебой-ность их бизнес-систем и восстановле-ние данных..

КРОК является первой компанией в Рос-сии и СНГ, сертифицировавшей свою систему управления информационной безопасностью (СУИБ) в соответствии с международным стандартом ISO/IEC 27001:2013.

Компания является участником пар-тнерской программы ассоциированных консультантов (ACP) Британского ин-ститута стандартов (BSI). Это подтверж-

дает высокий статус специалистов КРОК по внедрению систем менеджмента по на-правлениям «Информа-ционная безопасность» (ISO 27001), «Непре-рывность бизнеса» (ISO 22301), «Управле-ние ИТ-сервисами» (ISO 20000-1).

111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277E-mail: info@croc.ruslideshare.net/croc-librarycloud.croc.rucroc.ru

08 | 15 | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ