«812-ой документ ФСТЭК часто воспринимают как формальность — как будто закинул данные в таблицу и получил результат. Но в промсистемах эта формальность встречается с физическим миром, и тогда «низкая вероятность нарушения конфиденциальности» оборачивается реальным взрывом. Оценка рисков здесь, это перевод технических неисправностей, человеческих ошибок и уязвимостей в шлюзах на язык бизнес-потерь и человеческих жизней, а 812-ой — лишь один из возможных, хоть и обязательных, словарей для такого перевода.»
От документов ФСТЭК к физическим процессам: суть оценки рисков в АСУ ТП
Оценка рисков для автоматизированных систем управления технологическими процессами (АСУ ТП), это не просто очередная задача для отдела информационной безопасности. Это мост между миром битов, протоколов и документов ФСТЭК и миром физических процессов, где сбой может привести к остановке производства, порче дорогостоящего сырья, экологическому инциденту или угрозе жизни людей.
Традиционные подходы, заточенные под офисные информационные системы (ИС), здесь дают сбой. В ИС чаще всего защищают данные: их конфиденциальность, целостность, доступность (КЦД). В АСУ ТП на первый план выходит безопасность самого процесса. Доступность управляющего сигнала может быть критичнее целостности архива телеметрии, а нарушение конфиденциальности рецепта иногда менее значимо, чем целостность команд, отправляемых на исполнительный механизм.
Поэтому оценка рисков для промсистем всегда начинается с глубокого понимания технологии. Без ответов на вопросы «Что может сломаться?», «Как это повлияет на выпуск продукции или безопасность?» и «Сколько будет стоить простой или авария?» любая матрица рисков останется пустой абстракцией.
Выбор метода: между 152-ФЗ, 812-ым и отраслевыми стандартами
В российском правовом поле оценку рисков ИБ часто сводят к требованию 152-ФЗ и методикам регуляторов. Для АСУ ТП ключевым документом является приказ ФСТЭК России № 812 (812-ой документ). Однако его слепое применение — распространённая ошибка.
812-ой документ задаёт структуру: он требует определить актуальные угрозы, уязвимости, оценить возможный ущерб и построить модель нарушителя. Это хороший каркас. Но он не отвечает на главные вопросы промбезопасности: как количественно оценить вероятность остановки реактора из-за кибератаки? Как измерить ущерб от порчи партии продукции из-за несанкционированного изменения параметров?
Здесь необходим синтез:
- Рамка 812-го документа обеспечивает соответствие регуляторным требованиям.
- Отраслевые стандарты и методики (например, в нефтегазе, энергетике, химии) предоставляют типовые сценарии отказов и аварий, их вероятности и последствия.
- Методы инженерного анализа безопасности, такие как HAZOP (Анализ опасностей и работоспособности) или FMEA (Анализ видов и последствий отказов), адаптированные для киберинцидентов. Они позволяют системно выявлять, что может пойти не так на стыке IT, OT и физики процесса.
Итоговая модель рисков должна быть гибридной: она говорит и на языке директора по безопасности (риск несоблюдения 152-ФЗ), и на языке главного инженера (риск выхода из строя турбины).
Практические шаги: от границ системы до плана лечения
Оценка, это процесс, а не разовое мероприятие. Его можно разбить на последовательные этапы, каждый из которых вносит ясность.
1. Определение границ и критических активов
Нельзя защищать всё одинаково. Нужно выделить ядро АСУ ТП. Это те контуры, устройства, каналы связи и данные, выход из строя или компрометация которых напрямую ведёт к реализации сценария безопасности процесса (остановка, взрыв, выброс). Часто это не весь серверный парк, а конкретные программируемые логические контроллеры (ПЛК), серверы человеко-машинного интерфейса (АРМ), ключевые сегменты сети OT.
2. Разработка и адаптация сценариев угроз
Здесь недостаточно взять типовые угрозы из базы ФСТЭК. Каждый сценарий должен быть привязан к конкретному активу и конкретному последствию в физическом мире. Примеры:
- Угроза: Внедрение вредоносного кода на АРМ оператора.
Сценарий реализации: Злоумышленник через уязвимость получает доступ к АРМ и изменяет уставки для группы насосов.
Возможное последствие: Превышение давления в трубопроводе, разгерметизация, остановка участка. - Угроза: Снижение доступности канала связи с удалённым объектом.
Сценарий: Отказ маршрутизатора или DDoS-атака на канал передачи данных.
Последствие: Потеря контроля над удалённой скважиной или подстанцией, принятие решений по устаревшим данным.
3. Оценка вероятности и последствий
Самый сложный этап. Вероятность для киберугроз в промсредах часто оценивают качественно (низкая, средняя, высокая), опираясь на:
- Наличие публичных эксплойтов для используемого ПО/оборудования.
- Сложность реализации атаки (требуются ли физический доступ, инсайдер).
- Эффективность существующих средств защиты (МЭ, СОВ, сегментация).
Оценка последствий (ущерба) должна быть максимально количественной. Она ведётся в нескольких плоскостях:
| Категория ущерба | Методы оценки (примеры) |
|---|---|
| Финансовый | Стоимость простоя производства в час/день; стоимость испорченного сырья или продукции; штрафы регуляторов. |
| Репутационный | Оценка потенциальной потери клиентов или контрактов; стоимость PR-кампании по восстановлению имиджа. |
| Безопасность процесса | Расчёт потенциального экологического ущерба (платежи); оценка рисков для жизни и здоровья персонала (страховые случаи). |
| Соответствие | Риск приостановки лицензии на деятельность; предписания Ростехнадзора, ФСТЭК. |
4. Расчёт и ранжирование рисков
На основе вероятности и ущерба рассчитывается уровень риска, обычно по матрице. Риски ранжируются для определения приоритетов обработки. Критический риск, это не обязательно тот, у которого высокая вероятность. Риск с низкой вероятностью, но катастрофическими последствиями (например, полное разрушение технологической линии) также должен попадать в зону повышенного внимания.
5. Выбор и планирование мер по обработке рисков
Оценка без действий бессмысленна. Для каждого неприемлемого риска выбирается одна из стратегий:
- Снижение (внедрение средств защиты: МЭ для каналов, СОВ для сетей OT, строгая сегментация, обновление ПО).
- Передача (киберстрахование, что пока слабо развито для промсред в России).
- Принятие (осознанное решение оставить риск, если стоимость снижения превышает потенциальный ущерб, документирование этого решения).
- Избегание (отказ от использования уязвимой технологии, что часто невозможно для действующего производства).
Результатом этапа является План обработки рисков — живой документ с конкретными мерами, сроками, ответственными и бюджетами.
Интеграция с СМИБ и жизненный цикл
Оценка рисков — ядро системы менеджмента информационной безопасности (СМИБ). Её результаты напрямую питают другие процессы:
- Политики и процедуры: На основе выявленных критических активов и угроз уточняются правила доступа, резервного копирования, управления инцидентами.
- Осознание и обучение: Сценарии рисков — лучшая основа для тренировок персонала, особенно технологистов и операторов.
- Мониторинг и аудит: Критические риски определяют, за какими событиями в первую очередь должна следить система обнаружения атак (СОВ) в сетях АСУ ТП.
Важно помнить, что промсистема не статична. Меняется технология, обновляется ПО, перестраиваются сети, появляются новые угрозы. Поэтому оценка рисков должна проводиться регулярно (как минимум, раз в год) и при любых существенных изменениях в конфигурации АСУ ТП или внешней среде. Это циклический процесс постоянного улучшения защищённости, где каждый новый цикл опирается на опыт и данные предыдущего.
Чего не видно в матрицах: человеческий фактор и культура
Любая, даже самая совершенная методика, упирается в людей. Оценка рисков в АСУ ТП обречена на провал, если её проводит исключительно специалист по ИБ, ни разу не бывавший в цеху и не понимающий, как работает технология. Обязательное условие — вовлечение технологических специалистов, главных инженеров, службы главного энергетика.
Кроме того, создание формального отчёта о рисках, который потом ложится в стол, — пустая трата ресурсов. Ценность появляется, когда выводы оценки становятся понятны и приняты руководителями производства. Когда осознание киберрисков становится частью общей культуры промышленной безопасности, где небрежность в настройке файервола считается такой же недопустимой, как нарушение инструкции по обходу оборудования.
Итоговый успех измеряется не красотой диаграмм в презентации, а конкретными решениями по инвестициям в защиту, изменениями в технологических регламентах и, в конечном счёте, устойчивостью реального производства к возникающим угрозам.