Материал: Sb96067
МИНОБРНАУКИ РОCСИИ
––––––––––––––––––––––––––––––––––––––––––––––––––––
Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В. И. Ульянова (Ленина)
–––––––––––––––––––––––––––––––––––––––––––
Е. Г. ВОРОБЬЕВ А. К. ПЛЕМЯННИКОВ В. Н. САБЫНИН
ЗАЩИТА ИНФОРМАЦИИ В АСУ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ В ТЕРМИНАХ,
ТАБЛИЦАХ И РИСУНКАХ
Учебное пособие
Санкт-Петербург Издательство СПбГЭТУ «ЛЭТИ»
2017
УДК 004.056.57(07) ББК З 986.1-07я7
В75
Воробьев Е. Г., Племянников А. К., Сабынин В. Н.
В75 Защита информации в АСУ производственными и технологическими процессами в терминах, таблицах и рисунках: учеб. пособие. СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2017. 48 с.
ISBN 978-5-7629-2120-6
Приведены основные термины и определения в области защиты информации в АСУПП и АСУТП согласно действующим нормативным документам РФ. В краткой и доступной форме изложен процесс обеспечения безопасности информации в АСУ с учетом приказа ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Предназначено для студентов вузов, изучающих вопросы обеспечения безопасности информации.
УДК 004.056.57(07) ББК З 986.1-07я7
Рецензенты: кафедра информационной безопасности Северо-Западного центра комплексной защиты информации; канд. воен. наук В. А. Сошнев (ООО «ПетербургГаз»).
Утверждено редакционно-издательским советом университета
в качестве учебного пособия
ISBN 978-5-7629-2120-6 |
© СПбГЭТУ «ЛЭТИ», 2017 |
2
Содержание
1. |
Приказ ФСТЭК России от 14.03.2014 № 31........................................................................ |
4 |
|
2. |
Уровни структуры АСУ........................................................................................................ |
5 |
|
3. |
Объекты защиты в АСУ........................................................................................................ |
6 |
|
4. |
Защита информации в АСУ.................................................................................................. |
7 |
|
5. |
Исполнители защиты информации в АСУ.......................................................................... |
8 |
|
6. |
Мероприятия по защите информации в АСУ..................................................................... |
9 |
|
7. |
Формирование требований к защите информации в АСУ.............................................. |
10 |
|
8. |
Требования к системе защиты АСУ.................................................................................. |
11 |
|
9. |
Принятие решения о необходимости защиты информации в АСУ................................ |
12 |
|
10. |
Классификация АСУ......................................................................................................... |
13 |
|
11. |
Определение класса защищенности АСУ....................................................................... |
14 |
|
12. |
Определение угроз безопасности информации.............................................................. |
16 |
|
13. |
Разработка системы защиты АСУ.................................................................................... |
17 |
|
14. |
Разработка эксплуатационной документации на систему защиты АСУ .................... |
18 |
|
15. |
Внедрение системы защиты АСУ и ввод ее в действие................................................ |
19 |
|
16. |
Разрабатываемые организационно-распорядительные документы |
|
|
|
|
по защите информации..................................................................................................... |
20 |
17. |
Внедрение организационных мер защиты информации................................................ |
21 |
|
18. |
Испытания, опытная эксплуатация, уязвимости............................................................ |
22 |
|
19. |
Приемочные испытания.................................................................................................... |
23 |
|
20. |
Обеспечение защиты информации в ходе эксплуатации АСУ..................................... |
24 |
|
21. |
Обеспечение защиты информации в ходе действий в нештатных |
|
|
|
|
(непредвиденных) ситуациях и в ходе информирования и обучения персонала....... |
25 |
22. |
Анализ угроз и управление системой защиты АСУ ...................................................... |
26 |
|
23. |
Выявление инцидентов и реагирование на них.............................................................. |
27 |
|
24. |
Управление конфигурацией АСУ.................................................................................... |
28 |
|
25. |
Мониторинг обеспечения уровня защищенности.......................................................... |
29 |
|
26. |
Требования к мерам защиты информации в АСУ.......................................................... |
30 |
|
27. |
Состав мер защиты информации в АСУ......................................................................... |
31 |
|
28. |
Выбор мер защиты информации для их реализации в АСУ |
|
|
|
|
в рамках ее системы защиты............................................................................................ |
33 |
29. |
Требования к мерам защиты............................................................................................. |
35 |
|
30. |
Требования к сертифицированным средствам защиты................................................. |
36 |
|
31. |
Состав мер защиты информации и их базовые наборы |
|
|
|
|
для соответствующего класса защищенности АСУ....................................................... |
37 |
Список использованной литературы..................................................................................... |
48 |
||
3
1. Приказ ФСТЭК России от 14.03.2014 № 31
Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и дляокружающей природной среды»
Требования к обеспечению защиты информации
вавтоматизированных системах управления производственными
итехнологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни издоровья людей
идля окружающей природной среды
Защита информации вавтоматизированной системе управления (АСУ) обеспечивается путем выполнения заказчиком, оператором
иразработчиком требований к организации защиты информации
вАСУ и требований к мерам защиты информации в АСУ
4
5
2. Уровни структуры АСУ
Верхнийуровень
Уровень
операторского (диспетчерского)
управления
Операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы
(SCADA-серверы)
с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналысвязи
Структура АСУ
Нижний уровень (полевой)
Уровень ввода Средний уровень (вывода) данных (исполнительных
устройств)
Уровень автоматического
управления
Программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхнийуровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных
Датчики, исполнительные механизмы, иные аппаратные устройства с установленными
вних микропрограммами
имашиннымиконтроллерами
Количество уровней АСУ и ее состав на каждом из уровнейзависит от назначения АСУ ивыполняемых ею целевых функций. На каждом уровне АСУ по функциональным, территориальным илииным признакам могут выделяться дополнительные сегменты
5