В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Если говорить о безопасности или технологическом оснащении компаний топливно-энергетического комплекса, то нельзя не заметить масштабность стоящих перед ними задач. О том, насколько важна автоматизация и информатизация производственных процессов для объектов ТЭК, редакции журнала "Технологии и средства связи" рассказали Георгий Георгиевич Петросюк, начальник управления информационных технологий ОАО "Мосэнерго", и Сергей Александрович Козленок, начальник отдела информационной безопасности, ОАО "Мосэнерго".
While speaking about safety or technological equipment of companies from fuel and energy complex, one cannot fail noticing the grand scale of issues they need to resolve. The reasons why automation and informatization of production processes are so important for the objects belonging to fuel and energy complex, were brought to attention of the "Communication technologies and equipment" magazine by Georgy G. Petrosyuk, Head of IT office at "Mosenergo", JSC, and Sergey A. Kozlenok, Head of Information Security department at the office of corporate safety, "Mosenergo", JSC.
– На сегодняшний день остро стоит вопрос информационной безопасности. Какие пути решения данной проблемы существуют у компании ОАО "Мосэнерго"?
– Решение данной проблемы не возможно без привлечения всех сторон, участвующих в создании и обеспечении безопасности автоматизированных систем объектов ТЭК. Поэтому в ОАО "Мосэнерго" проводиться работа, целью которой является повышение уровня информационной безопасности систем технологического управления путем привлечения к ней интеграторов, производителей средств и систем информационной безопасности, а также проектировщиков самих систем управления технологическими процессами. Без их согласования невозможно реализовать требования ИБ в полном объеме.
– Внутри любого бизнеса существует "бомба замедленного действия" – это новые технологии или их отсутствие. Каковы ваши прогнозы по внутренним угрозам, которые встали перед бизнесом или еще могут возникнуть в 2014 году?
– Для субъектов ТЭК "бомбой замедленного действия", на наш взгляд, может являться наличие автоматизированных систем управления технологическими процессами, находящихся в эксплуатации свыше 5 лет. И данная угроза с увеличением срока эксплуатации автоматизированных систем будет становиться все более актуальной.
Обеспечение ИБ подобных систем крайне затруднительно, а иногда и вовсе невозможно. Да и поддержание их в работоспособном состоянии также может "внезапно" повлечь значительные финансовые затраты.
– Как вы считаете, насколько актуальны сегодня задачи по защите технологических систем? Что мешает обеспечить их адекватную защиту?
– Задачи обеспечения ИБ технологических систем мы считаем весьма актуальными. Причин, мешающих обеспечить их актуальную защиту, к сожалению, достаточно много, и порой они носят очень индивидуальный характер. Наиболее важными причинами, на наш взгляд, является неготовность производителей данных систем (как уже существующих, так и вновь создаваемых) обеспечивать их информационную безопасность, а также неготовность производителей средств защиты информации обеспечивать безопасность указанных систем. Хотя стоит отметить, что положительные сдвиги в последнее время происходят.
– Функционирование автоматизированных систем напрямую затрагивает интересы промышленных компаний.Вероятность атаки на подобные системы ниже, чем на многие другие, но ответственность, связанная с их защитой, в некоторых случаях несоизмеримо выше, особенно на предприятиях ТЭК. Какие факторы, по Вашему мнению, оказывают влияние на повышение уровня безопасности данных систем?
– Вопросами автоматизации технологических процессов, в том числе и на объектах энергетики, таких как ТЭЦ, ГЭС, ГРЭС и пр., задались достаточно давно. В период с 1980 г. по настоящее время средства автоматизации претерпели очень сильные изменения. Какие-то из них активно заменялись на более прогрессивные, другие продолжали вырабатывать свой ресурс, который, согласно всем нормативным документам на разработку АСУ ТП, не должен быть менее 10 лет (срок службы компьютерного оборудования), а на практике достигает и 15.
В сложный период 1990-х гг. поддержание работоспособности АСУ ТП осуществлялось собственными специалистами групп обслуживания АСУ ТП, которые без какой-либо помощи со стороны производителей пытались поддерживать работоспособность систем, самостоятельно организовывали межсетевое взаимодействие и взаимодействие с системами управления предприятием, зачастую без понимания и реализации требований ИБ.
Все вышесказанное и сформировало современный облик систем АСУ ТП на промышленных объектах.
Факторов же, влияющих на обеспечение безопасности систем технологического управления много, но одним из основных факторов, по нашему мнению, является иногда встречающаяся недостаточная компетенция производителей АСУ ТП в области IТ, без использования которых, в последнее время, АСУ ТП фактически и не создаются. Как пример, встречаются случаи, когда системное ПО АРМ и серверов устанавливается в конфигурации "по умолчанию", со всеми запускаемыми по умолчанию службами и сервисами, а также установленными компонентами. Информация о том, какие службы или сервисы необходимы для работы АСУ ТП, а какие необходимо отключить, в проектных решениях может отсутствовать. Встречаются и решения, в которых обновление системного ПО не предусматривается (а иногда и не устанавливается антивирусное ПО) и, таким образом, не учитываются вопросы не только технического сопровождения систем, но и сопровождения систем информационной безопасности.
О том, что можно и нужно осуществлять контроль состояния средств вычислительной техники или сетевого оборудования, используемого в системах АСУ ТП, речь зачастую, не идет.
– Как можно обосновать затраты на ИБ в бюджете субъектов ТЭК?
– По нашему мнению, обосновывать затраты на обеспечение ИБ субъекта ТЭК нужно прежде всего со ссылкой на действующие законодательные и подзаконные акты РФ, а также на ведомственные нормативные документы.
Так, например, согласно требованиям ст. 11 Федерального закона от 21 июля 2011 г. № 256-ФЗ "О безопасности объектов ТЭК", в целях обеспечения безопасности объектов ТЭК его субъекты создают системы защиты информации и информационно-телекоммуникационных сетей от несанкционированного доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем.
Требования по обеспечению ИБ объектов ТЭК существуют и в ведомственных нормативных актах, которые также необходимо использовать при обосновании затрат на ИБ. В случае обработки субъектом ТЭК персональных данных или конфиденциальной информации, для обоснования затрат на обеспечение ИБ возможно ссылаться и на необходимость выполнение требований соответствующих законов.
Можно пойти и по классическому пути – провести идентификацию и классификацию автоматизированных и информационных систем, эксплуатируемых в организации, и оценить риски (в финансовом выражении) реализации угроз ИБ.
– Какие задачи в области IT на объектах ТЭК, на Ваш взгляд, должны быть решены в первую очередь?
– От компаний топливно-энергетического комплекса зависит слишком много, чтобы они могли позволить себе отставание в сфере IT. Сегодня очевидно, что в обязательном порядке необходимо решать такую задачу как безопасность объектов ТЭК. В связи с этим, необходимо произвести работы по замене парка физически и морально устаревшего оборудования с внедрением современного компьютерного и технологического оборудования в защищенном с точки зрения информационной безопасности исполнении.
Опубликовано: Журнал "Технологии и средства связи" #3, 2014
Посещений: 7074
Автор
| |||
Автор
| |||
В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций