CC BY
0
А. М. САДЫКОВ, А. С. САФИН
61
Вестник Прикамского социального института. 2024. № 2 (98). С. 61–69.
Bulletin of Prikamsky Social Institute. 2024. No. 2 (98). Pp. 61-69.
Научная статья
УДК 004.056.5
EDN: VYQOCY
ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
НА ОБЪЕКТАХ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ, ОТНОСЯЩИХСЯ К АВТОМАТИЗИРОВАННОЙ
СИСТЕМЕ УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ
Александр Мунирович Садыков1, Адель Сафарович Сафин2
1, 2 Казанский национальный исследовательский технологический университет, Казань, Россия
Аннотация. В статье анализируются нормативно-правовые акты Российской Федерации, регули-рующие вопросы защиты информации на объектах критической информационной инфраструктуры, относящихся к автоматизированной системе управления технологическими процессами. Рассмотрены меж-дународные и отечественные стандарты, регламентирующие обеспечение безопасности в данной области.
На основе анализа современной законодательной и нормативно-методической базы по защите информации определены правовые основы защиты объектов критической информационной инфраструктуры, относящихся к автоматизированным системам управления технологическими процессами. Представлен порядок проведения категорирования объектов критической информационной инфраструктуры на основе
приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Ключевые слова: критическая информационная инфраструктура, КИИ, кибербезопасность, ав-томатизированная система управления технологическими процессами, угрозы, Федеральная служба
по техническому и экспортному контролю
Для цитирования: Садыков А. М., Сафин А. С. Правовые основы защиты информации на объектах критической информационной инфраструктуры, относящихся к автоматизированной системе
управления технологическими процессами // Вестник Прикамского социального института. 2024.
№ 2 (98). C. 61–69. EDN: VYQOCY.
Original article
LEGAL BASIS FOR INFORMATION PROTECTION AT CRITICAL
INFORMATION INFRASTRUCTURE FACILITIES RELATED
TO THE AUTOMATED PROCESS CONTROL SYSTEM
Alexander M. Sadykov1, Adel S. Safin2
1, 2 Kazan National Research Technological University, Kazan, Russia 1 [email protected]
Abstract. This scientific article is devoted to the analysis of regulatory legal acts of the Russian Federation regulating relations in the field of information protection at critical information infrastructure facilities related to an automated process control system. The international and domestic standards regu-
Садыков А. М., Сафин Ф. С., 2024
62
ЮРИСПРУДЕНЦИЯ
lating safety in this area are considered. Based on the analysis of the modern legislative and regulatory framework for information protection, the legal basis for protecting critical information infrastructure objects related to automated process control systems has been determined. The procedure for categoriz-ing objects of critical information infrastructure based on Federal Service for Technical and Export Control orders is described.
Keywords: critical information infrastructure, CII, cybersecurity, automated process control system, threats, Federal Service for Technical and Export Control
For citation: Sadykov A. M., Safin A. S. Legal basis for information protection at critical information infrastructure facilities related to the automated process control system. Bulletin of Prikamsky Social Institute, 2024, no. 2 (98), pp. 61-69. (In Russ.). EDN: VYQOCY.
По данным исследований компании PositiveTechnologies, наблюдается тенденция
большого и быстрого роста количества атак на промышленные и энергетические компании, относящиеся к критической информационной инфраструктуре (КИИ) [1]. К объектам КИИ
относят различного рода информационные системы и сети, а также автоматизированные системы управления (АСУ), которые могут функционировать в таких сферах, как здравоохране-ние, наука, транспорт, связь, энергетика, финансовый рынок, топливно-энергетический комплекс, атомная энергетика, оборонная и ракетно-космическая промышленность, горнодобы-вающая, металлургическая и химическая промышленность1. Наиболее часто встречающими-ся подобными системами являются автоматизированные системы управления технологическими процессами (АСУ ТП) промышленных предприятий.
Угрозами безопасности для АСУ ТП могут быть: несанкционированное проникновение
на объект АСУ ТП с выведением исполнительных устройств из строя, несанкционированное
управление технологическими объектами, блокирование управления АСУ ТП, что, в свою
очередь, нарушает штатный режим функционирования, а также несанкционированное об-новление программного обеспечения (ПО) для изменения режимов работы [2, с. 4]. В основ-ном промышленные компании подвергались атакам со стороны шифровальщиков и APT-группировок [1, с. 11].
Наиболее уязвимыми частями АСУ ТП являются:
компоненты SCADA-систем (серверы управления и сбора данных);
компьютеры, используемые для администрирования технологических сетей;
специализированные сетевые устройства;
программируемые логические контроллеры (ПЛК);
рабочие станции для операторов и инженеров (стационарные);
инженерное ПО.
Таким образом, в связи с бурным развитием информационно-коммуникационных тех-нологий, связанных с промышленностью, и активным ростом целенаправленных киберугроз, вопросы обеспечения безопасности КИИ приобретают особую важность.
В данной работе рассмотрены правовые основы защиты информации на объектах КИИ, относящихся к АСУ ТП.
В области обеспечения безопасности КИИ основополагающим нормативным право-вым актом в настоящее время является федеральный закон от 26 июля 2017 г. № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации». Исходя из требований законодательства, субъекты КИИ обязаны выполнить следующие мероприятия:
1. Провести категорирование объектов КИИ.
1 О безопасности критической информационной инфраструктуры Российской Федерации : федер. закон от 26 июля 2017 г. № 187-ФЗ (ред.
от 1 янв. 2018 г.) // Собр. законодательства Рос. Федерации. 2017. № 31. Ст. 4736.
А. М. САДЫКОВ, А. С. САФИН
63
2. Обеспечить безопасность объектов с помощью организационных и технических мер.
3. Организовать подключение объекта КИИ к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Следующий нормативно-правовой акт, устанавливающий требования к обеспечению
защиты информации, обработка которой осуществляется АСУ ТП на критически важных
объектах и потенциально опасных объектах, а также определяющий состав мер защиты информации вместе с базовыми наборами для соответствующего класса защищенности АСУ
ТП, – это приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)
№ 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих
повышенную опасность для жизни и здоровья людей и для окружающей природной среды»1.
В соответствии с данным приказом ФСТЭК определяются объекты защиты, к которым
относятся:
информация о параметрах управляемого объекта или процесса;
управляющая информация;
контрольно-измерительная информация;
программно-технический комплекс со всеми техническими средствами (рабочие
станции, серверы, каналы связи, исполнительные устройства);
ПО и средства защиты информации (СЗИ).
Организационные и технические меры, которые используют для защиты, должны обес-печивать доступность и целостность информации, а в случае необходимости – и ее конфи-денциальность. Кроме того, данные меры должны быть гармонизированы с другими мерами
по обеспечению промышленной, пожарной, физической, экологической безопасности и не
оказывать отрицательного влияния на штатный режим функционирования системы.
Этапами обеспечения защиты информации в АСУ ТП являются:
формирование требований к защите информации;
разработка системы обеспечения информационной безопасности (СОИБ);
внедрение системы защиты и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации системы;
обеспечение защиты информации при выводе из эксплуатации2.
Серия стандартов ГОСТ Р МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» регламентирует требования к управлению функциональной безопасностью в области компьютерных систем управления, требования к жизненному циклу в контексте промышленного объекта автоматизации, детализирует требования к жизненному циклу системы, ее аппаратной со-ставляющей и ПО3.
С целью конкретизации требований, установленных федеральным законом № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации», и
условий их применения используется приказ ФСТЭК № 235, который регламентирует требо-1 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : приказ ФСТЭК России от 14 марта 2014 г. № 31
(ред. от 9 авг. 2018 г.) // ФСТЭК России : офиц. сайт. URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 19.02.2024).
2 Там же.
3 ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью : нац. стандарт Российской Федерации // Электронный фонд правовых и нормативно-технических документов : сайт.
URL: https://docs.cntd.ru/document/1200103191 (дата обращения: 19.02.2024).
64
ЮРИСПРУДЕНЦИЯ
вания к силам обеспечения безопасности, к программным и программно-аппаратным СЗИ, к
организационно-распорядительным документам и к организации работ по обеспечению
безопасности значимых объектов (ЗО) КИИ1.
Приказ ФСТЭК № 239 определяет базовый состав набора мер для обеспечения безопасности ЗО КИИ различных категорий значимости, а также рекомендации по обеспечению
безопасности ЗО КИИ в течение их жизненного цикла, а именно:
установление требований к обеспечению безопасности ЗО КИИ;
разработка организационных и технических мер защиты;
внедрение мер по обеспечению безопасности ЗО КИИ и ввода его в действие;
обеспечение безопасности ЗО КИИ в ходе его эксплуатации;
обеспечение безопасности ЗО КИИ при выводе его из эксплуатации2.
Среди международных стандартов, регламентирующих обеспечение безопасности АСУ
ТП, наиболее известными являются:
рекомендации NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security и
NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations;
отраслевые стандарты NERC Critical Infrastructure Protection (NERC CIP);
стандарты ISA/IEC серии 62443 Industrial Automation and Control Systems Security.
Документ NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security включает
рекомендации, связанные с обеспечением безопасности промышленных систем управления, в их числе SCADA-систем, ПЛК. Здесь описываются основные топологии и архитектуры
систем, определяются типовые угрозы и уязвимости, а также рекомендуемые меры противо-действия с целью обеспечения безопасности и снижения сопутствующих рисков. Несмотря
на то, что стандарт не является применимым с точки зрения законодательства в России, данные, представленные в нем, можно использовать в качестве рекомендательных или консуль-тационных при разработке СОИБ.
Стандарт NIST SP 800-82 определяет для промышленных систем управления следующие инциденты информационной безопасности (ИБ):
задержка или блокирование потока информации, которые могут привести к наруше-нию работы информационной системы;
различного рода несанкционированные изменения команд и инструкций в АСУ ТП, которые могут привести к повреждению, отключению оборудования, поставить под угрозу
человеческую жизнь или негативно воздействовать на окружающую среду;
передаваемая системным операторам неточная информация;
модифицированное ПО или ПО, зараженное вредоносными программами;
вмешательство в работу систем защиты оборудования [3, p. 2].
К основным целям обеспечения безопасности относятся:
различного рода ограничения логического доступа к сети промышленных систем
управления, в том числе: использование однонаправленных шлюзов, демилитаризованной
зоны с брандмауэрами для предотвращения прямого прохождения сетевого трафика между
корпоративными сетями и сетями АСУ ТП, а также механизмы аутентификации для пользо-вателей корпоративных сетей и сетей АСУ ТП;
1 Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования : приказ ФСТЭК России от 21 дек. 2017 г. № 235 (ред. от 27 марта 2019 г.) //
ФСТЭК России : офиц. сайт. URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-235 (дата обращения: 19.02.2024).
2 Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации : приказ ФСТЭК России от 25 дек. 2017 г. № 239 (ред. от 20 февр. 2020 г.) // Электронный фонд правовых и нормативно-технических документов : сайт. URL: https://docs.cntd.ru/document/542616931 (дата обращения: 19.02.2024).
А. М. САДЫКОВ, А. С. САФИН
65
ограничение физического доступа к сети и устройствам АСУ ТП (следует использовать совокупность средств контроля доступа, например замки, считыватели карт и т. д.);
ограничение несанкционированного изменения данных;
обнаружение событий и инцидентов безопасности (может включать в себя обнаружение отказавших компонентов АСУ ТП, недоступных служб и т. д.);
обеспечение непрерывности деятельности (проектирование информационной системы таким образом, чтобы каждый критический компонент имел резервный аналог. Кроме
того, если элемент выходит из строя, он должен выходить из строя таким образом, чтобы
не генерировать ненужный трафик в микросхемах или других сетях);
восстановление системы после инцидента.
«Защита объектов критической инфраструктуры» – это серия отраслевых стандартов
NERC-CIP, которые были разработаны Северо-Американской корпорацией с целью обеспечения надежности электросетей. Задачей стандартов является обеспечение надежной защиты
автоматизированных систем и сетей связи для объектов энергетического сектора от возможных кибератак [4, с. 68]. NERC CIP включает в себя требования, охватывающие безопасность
электронных периметров, защиту жизненно важных активов, вопросы управления безопасностью, обучения персонала и планирования аварийного восстановления, управления изме-нениями конфигурации, оценки уязвимостей, физической безопасности и управления безопасностью объектов критической инфраструктуры.
Система международных стандартов ISA/IEC 62443 «Безопасность промышленных систем
автоматизации и управления» регламентирует требования к системе управления защитой, под-системам и компонентам АСУ ТП, описывает различные технологии обеспечения безопасности
АСУ ТП, оценки рисков и контроля уровня защищенности системы. Обеспечение безопасности
основывается на рискориентированном подходе, который включает ряд этапов:
оценка рисков от воздействия кибератак;
построение типовой модели АСУ ТП как объекта защиты;
построение модели, которая описывает иерархию объектов и активов АСУ ТП и их
взаимодействие с сетями;
построение типовой модели архитектуры, включающей основные элементы АСУ
ТП, линии связи, телекоммуникационное оборудование и т. д.;
построение модели, которая разделяет объект защиты на отдельные зоны;
анализ рисков для каждой конкретной зоны;
определение текущего уровня безопасности для каждой зоны и требований по обеспечению целевого уровня безопасности зоны, реализуемых путем выбора соответствующих
мер защиты [4, с. 69].
В России в качестве государственных приняты стандарты серии ISA/IEC 62443:
ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 «Терминология, концептуальные поло-жения и модели»;
ГОСТ Р МЭК 62443-2-1-2015 (IEC 62443-2) «Составление программы обеспечения
защищенности (кибербезопасности) системы управления и промышленной автоматики»;
ГОСТ Р 56498 IEC 62443-3-3-2016 «Требования к системной безопасности и уровни
безопасности».
Порядок категорирования объектов критической информационной инфраструктуры. В постановлении Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил
категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» определены порядок и сроки
категорирования ОКИИ. Для категорирования ЗО КИИ исходными данными являются:
66
ЮРИСПРУДЕНЦИЯ
сведения, касающиеся объекта КИИ (назначение информационной системы, архи-тектура, выполняемые функции, порядок и цель взаимодействия с другими объектами КИИ, применяемые программные и программно-аппаратные СЗИ, сведения о возможном доступе к
сетям связи);
документы, содержащие описание управленческих, организационных, производст-венных финансово-экономических процессов в рамках выполнения функций субъекта КИИ, а также технологические и производственные карты;
перечень информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
сведения о зависимости и взаимодействии функционирования объекта КИИ с другими объектами КИИ;
перечень угроз безопасности информации в отношении объекта КИИ, а также
имеющиеся данные о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа1.
Для выполнения требований ФСТЭК порядок категорирования на объекте КИИ должен
содержать следующие этапы:
1. Создание Комиссии по категорированию объектов КИИ. С этой целью в организации необходимо разработать и утвердить положение о комиссии, определяющее ее состав, функции, порядок и обеспечение деятельности.
2. Выделение процессов в рамках видов деятельности, осуществляемых субъектом
КИИ, а также оценка критичности их нарушения с учетом последствий от нарушения или
прекращения функционирования предприятия с точки зрения возможных негативных соци-альных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка2.
Значения данных показателей критериев значимости оцениваются экспертным ме-тодом на основании результатов опросов, обследований и т. д. По каждому показателю
определяется возможность наступления указанных видов последствий. Результатом дан-ного этапа является перечень критических процессов организации, к ним относятся те, для которых хотя бы по одному из оцениваемых показателей определена возможность соответствующего ущерба.
3. Формирование перечня объектов КИИ, которые подлежат категорированию: инвен-таризация информационных систем, автоматизированных систем управления или информационно-телекоммуникационных сетей, которые на праве собственности, аренды или на ином
законном основании принадлежат организации. Итоговый сформированный перечень утвер-ждается в организации и передается в ФСТЭК в течение десяти рабочих дней с даты утверждения.
4. Анализ возможных нарушителей, угроз безопасности и последствий от реализа-ций компьютерных атак. На данном этапе необходимо определить: тип и потенциал нарушителей, реализующих угрозы безопасности путем несанкционированного доступа или
воздействия на компоненты систем; возможные угрозы безопасности (а также оценить их
актуальность, которая обуславливается наличием сценариев их реализации); возможные
способы реализации угроз; возможные последствия в соответствии с перечнем показателей значимости.
1 Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений : постановление Правительства РФ от 8 февр. 2018 г. № 127 (ред. от 13 апр. 2019 г.) // Электронный фонд правовых и нормативно-технических документов : сайт. URL: https://docs.cntd.ru/document/556499040 (дата обращения: 19.02.2024).
2 Там же.
А. М. САДЫКОВ, А. С. САФИН
67
5. Категорирование объектов КИИ. На данном этапе оценивается масштаб последствий
от реализации атак и соотносится со значениями показателей категорий, помимо этого, определяются значения категорий по каждому показателю и на основе этого присваивается ито-говая категория значимости объекта КИИ. Далее составляется акт присвоения категории значимости объекту КИИ. Максимальный срок категорирования не должен превышать одного
года со дня утверждения субъектом КИИ перечня объектов КИИ.
6. Управление инцидентами. В организации необходимо разработать и утвердить регламент управления инцидентами информационной безопасности, определить сотрудников, ответственных за процесс. Для эффективного управления должно осуществлять мониторинг
и выявлять компьютерные инциденты.
Приказ Федеральной службы безопасности (ФСБ России) № 281 регламентирует взаимодействие ФСБ России и субъектов КИИ в части установки средств ГосСОПКА на объектах КИИ, при этом субъект КИИ обязан обеспечить их функционирование в непрерывном и
бесперебойном режиме1. ГосСОПКА представляет собой единый территориально распреде-ленный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак2.
Для обеспечения координации деятельности субъектов КИИ по вопросам взаимодействия приказом ФСБ России № 366 создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который является подразделением ФСБ России и составной
частью ГосСОПКА. НКЦКИ координирует мероприятия по реагированию на инциденты, осуществляет обмен информацией об атаках между субъектами КИИ, обеспечивает методи-ческое сопровождение3.
Приказ ФСБ России № 282 определяет порядок информирования и реагирования на
инциденты ИБ и относится ко всем субъектам КИИ4. Порядок ликвидации компьютерных
атак применяется только к ЗО КИИ.
7. Создание и совершенствование СОИБ ЗО КИИ. Необходимо спроектировать и вне-дрить системы безопасности, провести их аттестацию и подключить данные системы
к ГосСОПКА.
8. Обеспечение бесперебойной эксплуатации ЗО КИИ. На данном этапе необходимо
разработать план обеспечения непрерывности и восстановления деятельности ЗО КИИ, регулярно проводить обучение персонала и тренировки действий при нештатных ситуа-циях.
9. Проведение мероприятий по повышению осведомленности сотрудников. Учитывая
широкое использование методов социальной инженерии в кибератаках для входа и закреп-ления позиций в информационных системах, обучение персонала и тренинги позволяют су-щественно снизить вероятность проведения атак. Возможно также проведение имитации
атак для тренировки сотрудников и специалистов.
1 Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и
ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных
для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической
информационной инфраструктуры Российской Федерации : приказ ФСБ России от 19 июня 2019 г. № 281 (ред. от 28 июля 2019 г.) //
Электронный фонд правовых и нормативно-технических документов : сайт. URL: https://docs.cntd.ru/document/560537692 (дата обращения: 19.02.2024).
2 О безопасности критической информационной инфраструктуры Российской Федерации…
3 О Национальном координационном центре по компьютерным инцидентам : приказ ФСБ России от 24 июля 2018 г. № 366 (ред. от 21 сент.
2018 г.) // Электронный фонд правовых и нормативно-технических документов : сайт. URL: https://docs.cntd.ru/document/551068602 (дата
обращения: 19.02.2024).
4 Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по
ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной
инфраструктуры Российской Федерации : приказ ФСБ России от 19 июня 2019 г. № 282 (ред. от 28 июля 2019 г.) // Электронный фонд правовых и нормативно-технических документов : сайт. URL: https://docs.cntd.ru/document/560537691 (дата обращения: 19.02.2024).
68
ЮРИСПРУДЕНЦИЯ
10. Проведение внутреннего аудита ЗО КИИ. В соответствии с регламентом аудита
информационной безопасности и программой проведения аудитов информационной безопасности необходимо провести оценку ЗО КИИ и устранить выявленные несоответствия и
уязвимости.
Можно выделить следующие типовые недостатки при категорировании объекта КИИ:
– занижаются показатели критериев значимости;
– недостаточны обоснования значений, полученных при оценке возможного ущерба, а
также неприменимы критерии значимости;
– не учитывается замедление выполнения автоматизируемого процесса;
– отсутствует учет зависимости функционирования одного объекта или процесса от
другого.
Таким образом, обеспечение безопасности информации на объектах КИИ является
важным и актуальным вопросом в настоящее время. Необходимость защиты критических
объектов от угроз в виде кибератак, внутренних угроз и других форм нарушения безопасности информации становится все более явной. В связи с этим необходимо принимать меры по
созданию эффективных систем защиты информации на объектах КИИ. Однако следует учи-тывать, что технологии и методы защиты информации постоянно развиваются, поэтому необходимо систематически совершенствовать системы безопасности, адаптироваться к новым
угрозам. Касается это и нормативно-правовой базы, регулирующей вопросы обеспечения
информационной безопасности на объектах КИИ, в том числе АСУ ТП. В целом, обеспечение безопасности информации на данных объектах является сложным и многогранным про-цессом, который требует постоянного внимания и усилий со стороны специалистов как в области информационной безопасности, так и других областей.
Список источников
1. Кибербезопасность 2020–2021. Тренды и прогнозы. 25 с. // Positive Technologies : сайт. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity_20-21.pdf (дата обращения: 19.02.2024).
2. Цапко Г. П., Вериго А. А., Каташев А. С. Анализ рисков безопасности автоматизированных
систем управления технологическими процессами // Интернет-журнал «НАУКОВЕДЕНИЕ». 2016.
Т. 8. № 5 (36). URL: http://naukovedenie.ru/PDF/55TVN516.pdf (дата обращения: 19.02.2024).
3. Stouffer K., Falco J., Scarfone K. Guide to industrial control systems (ICS) security // NIST special publication. 2011. Т. 800. №. 82. https://doi.org/10.6028/NIST.SP.800-82.
4. Васильев В. И., Кириллова А. Д., Кухарев С. Н. Кибербезопасность автоматизированных
систем управления промышленных объектов (современное состояние, тенденции) // Вестник УрФО.
Безопасность в информационной сфере. 2018. № 4 (30). С. 66–74. https://doi.org/10.14529/secur180410.
EDN: YUNKEP.
References
1. Kiberbezopasnost’ 2020–2021. Trendy i prognozy [Cybersecurity 2020–2021. Trends and fore-casts]. 25 p. (In Russ.). Available at: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/
Cybersecurity_20-21.pdf (accessed 19.02.2024).
2. Tsapko G. P., Verigo A. A., Katashev A. S. Analiz riskov bezopasnosti avtomatizirovannykh sistem upravleniya tekhnologicheskimi protsessami [Security risk analysis process control systems]. Naukovedenie, 2016, vol. 8, no. 5 (36). (In Russ.). Available at: http://naukovedenie.ru/PDF/55TVN516.pdf (accessed 19.02.2024).
3. Stouffer K., Falco J., Scarfone K. Guide to industrial control systems (ICS) security. NIST special publication, 2011, vol. 800, no. 82. https://doi.org/10.6028/NIST.SP.800-82.
4. Vasilyev V. I., Kirillova A. D., Kukharev S. N. Kiberbezopasnost’ avtomatizirovannykh sistem upravleniya promyshlennykh ob’’ektov (sovremennoe sostoyanie, tendentsii) [Cybersecurity of APCS: modern trends and approaches (current state, perspectives)]. Journal of the Ural Federal District. Information Security, 2018, no. 4 (30), pp. 66–74. (In Russ.). https://doi.org/10.14529/secur180410. EDN: YUNKEP.
А. М. САДЫКОВ, А. С. САФИН
69
Информация об авторах
А. М. Садыков – кандидат технических наук,
доцент кафедры «Информационная безопасность»
Казанского национального исследовательского технологического университета; А. С. Сафин – студент,
Казанского национального исследовательского технологического университета.
Information about the authors
A. M. Sadykov – Candidate of Technical Sciences,
Associate Professor at the Department of Information Security, Kazan National Research Technological University;
A. S. Safin – Student, Kazan National Research Technological University.
Статья поступила в редакцию 14.09.2024; одобрена после рецензирования 16.10.2024; принята к публикации 17.10.2024.
The article was submitted 14.09.2024; approved after reviewing 16.10.2024; accepted for publication 17.10.2024.
