ЖУРНАЛ «СТА» 4/2016

100 СТА 4/2016 www.cta.ru Трудно переоценить важность вопроса обеспечения ин- формационной безопасности (далее – ИБ) в целом для стра- ны и в частности для объектов повышенной опасности, кои- ми являются промышленные системы автоматизации. Исключений нет: инциденты ИБ происходят в различных отраслях и сферах функционирования промышленных систем автоматизации (рис. 1) и порой приводят к катастрофическим последствиям [1, 2]. С целью урегулирования вопросов, связанных с обеспече- нием ИБ промышленных систем автоматизации, в нашей стране ведётся нормотворческая деятельность. Результатом данной деятельности стал вступивший в силу в 2014 году при- каз ФСТЭК России № 31 [4] (далее – приказ № 31). Однако по сей день отсутствуют методические документы к приказу №31, которые раскроют меры по защите информации, моде- лированию угроз, выявлению и устранению уязвимостей, реа- гированию на инциденты, связанные с нарушением защиты информации в АСУ ТП. По причине их отсутствия образовался некий переходный период: сегодня при обеспечении безопасности АСУ ТП со- гласно требованиям приказа № 31 возникает необходимость в принятии решений по нерегламентированным вопросам. Каким образом? Например, опираясь на практики методиче- ских документов ФСТЭК, относящихся к ключевым систе- мам информационной инфраструктуры (КСИИ) [5, 6, 7, 8] и к другим типам систем [9, 10]. Однако приказ № 31 в силу специфичности промыш- ленных систем автоматизации обладает рядом особеннос- тей относительно ранее выпущенных ФСТЭК докумен- тов [9, 10]. В рамках данной статьи мы рассмотрим некоторые из них, опираясь на практику применения положений приказа № 31 на объекте нефтеперерабатывающей отрасли. О БЕСПЕЧЕНИЕ БЕЗОПАСНОЙ РАЗРАБОТКИ ПО Первая особенность приказа № 31 – «уникальные» требо- вания обеспечения безопасной разработки программного обеспечения (ОБР), которых нет в аналогичных приказах ФСТЭК. Ввиду отсутствия методических документов обра- тимся за ответами на вопросы о мерах защиты ОБР напря- В ЗАПИСНУЮ КНИЖКУ ИНЖЕНЕРА Особенности обеспечения информационной безопасности промышленных систем автоматизации в соответствии с приказом ФСТЭК№ 31 Анна Табульда, Светлана Чернущенко Коммуникации, 12,11% Химическая промышленность, 2,2% Неизвестные секторы, 8,7% Водоснабжение, 20,19% Транспортная отрасль, 3,3% Ядерная отрасль, 1,1% Информационные технологии, 1,1% Здравоохранение, 3,3% Правительственные объекты, 8,7% Финансовая отрасль, 1,1% Энергетический сектор, 13,12% Критически важные инфраструктуры, 20,18% Природный газ, 4,4% Нефтяная промышленность, 9,8% Другой вид энергии, 3,3% Рис. 1. Количество инцидентов ИБ в различных секторах функционирования АСУ ТП за первую половину 2015 финансового года [3]