Анализ АСУ ТП дожимной насосной станции в рамках процесса управления рисками ИБ



В данной статье осуществляется моделирование АСУ ТП дожимной насосной станции, описывается роль инвентаризации активов в процессе управления рисками ИБ, а также рассматривается концепция применения уровней безопасности.

Ключевые слова: риски ИБ, АСУ ТП, дожимная насосная станция, моделирование, кибербезопасность, уровни безопасности.

Дожимная насосная станция (ДНС) является частью промысловой системы, осуществляющей сбор нефти и газа на месторождениях. Оборудование дожимной насосной станции дает потоку дополнительный напор, который требуется для обеспечения его транспортировки по направлению к высоконапорным участкам через системы сбора, а также подготовки [1].

С целью автоматизации управления технологическими процессами на ДНС, а также для организации мониторинга работы аппаратов и установок ДНС, применяются автоматизированные системы управления технологическими процессами (АСУ ТП) [2].

Промышленные системы, с точки зрения информационной безопасности (ИБ), подвержены ряду угроз:

 вторжение в базу данных

 вредоносный код

 коммуникационная атака

 отказ в обслуживании

 получение привилегированного доступа

В отличие от корпоративных информационных систем масштабы последствий от реализации угроз в АСУ ТП могут привести не только к финансовому, но и к серьезному экологическому ущербу. В связи с этим, необходимо уделять особое внимание вопросам обеспечения информационной безопасности объектов топливно-энергетического комплекса.

Для того, чтобы обеспечить защиту АСУ ТП, необходимо провести инвентаризацию активов системы, идентифицировать угрозы и уязвимости, оценить риски информационной безопасности и на основании полученных результатов реализовать определенные контрмеры, необходимые для нейтрализации угроз. В рамках данной работы рассматривается этап инвентаризации активов на примере АСУ ТП дожимной насосной станции [3].

Роль инвентаризация активов в рамках процесса управления рисками ИБ

В отношении безопасности АСУ ТП стандарт ГОСТ Р 56205–2014 использует термин кибербезопасность (cybersecurity). Поэтому применительно к комплексу мер по обеспечению безопасности АСУ ТП на протяжении всего жизненного цикла системы рассматривается система управления кибербезопасностью (CSMS). На рисунке 1 показаны основные элементы CSMS.

Рис. 1. Стадии системы управления кибербезопасностью

Благодаря стадии «Инициация программы создания CSMS» устанавливается контекст управления рисками. Определяются масштабы системы, заинтересованные стороны и цели, которые необходимо достичь. Стадия «Предварительная оценка рисков» расставляет приоритеты для детального анализа объекта защиты. Краеугольным камнем стадии «Детальная оценка рисков» является инвентаризация компонентов АСУ ТП.

Результаты инвентаризации создают основу для классификации активов, определения уровней безопасности и дальнейшего формирования требований к защите объекта от информационных угроз. Корректность выполнения данного этапа влияет на правильность дальнейшей оценки рисков, а, значит, на определение уровня безопасности. Это означает, что в случае, если не будет учтено какое-то устройство, то оно «выпадет» из дальнейшего анализа, в результате чего будет ошибочно определен необходимый перечень защитных мер, нейтрализующий угрозы информационной безопасности. Таким образом, защищаемый объект будет продолжать оставаться мишенью для угроз, которые могут использовать уязвимость неидентифицированного устройства. Также крайне важно корректное построение моделей, учитывая функциональность, расположение и иерархию устройств в сети. Ошибки, допущенные в разработке моделей, могут оказать значительное влияние на правильность определения уровней безопасности для соответствующих групп устройств. Важно понимать, что необходимо уделять особое внимание на построение моделей, так как от этого зависят состав и содержание дальнейших работ по обеспечению информационной безопасности объекта защиты.

Моделирование АСУ ТП дожимной насосной станции

Согласно ГОСТ Р 56205–2014, анализ объекта защиты включает в себя разработку 4 моделей [4]:

1. Базовая модель
2. Объектная модель
3. Базовая архитектура
4. Зональная модель

Базовая модель описывает общую структуру, разделяя объект на логические уровни. Каждый уровень соответствует определенному классу функциональности. Специалисты по комплексной автоматизации предприятий придерживаются структуры, состоящей из 5 уровней (Рис.2):

Уровень 4 — системы планирования ресурсов предприятия ERP (Enterprise Resource Planning);

Уровень 3 — системы исполнения производства MES (Manufacturing Execution Systems);

Уровень 2 — диспетчерское управление;

Уровень 1 — средства локального управления;

Уровень 0 — датчики и исполнительные устройства.

Рис. 2. Пирамида уровней автоматизации

На уровне ERP осуществляются расчет и анализ финансово-экономических показателей, решаются административные и логистические задачи. Уровень MES осуществляет решение задач управления качеством продукции, планирования и контроля последовательности операций технологического процесса, управления производственными и людскими ресурсами в рамках технологического процесса, технического обслуживания производственного оборудования. Эти два уровня относятся к задачам АСУП (автоматизированные системы управления предприятием) и не рассматриваются в данной статье. На следующих трех уровнях решаются задачи, которые относятся к классу АСУ ТП. Поэтому 0,1,2 уровни в рамках АСУ ТП именуются также нижним, средним и верхним соответственно. АСУ ТП дожимной насосной станции иерархически имеет следующую структуру:

Нижний уровень АСУ ТП — уровень контрольно-измерительных приборов (КИП). Функциональными элементами данного уровня АСУ ТП являются следующие технологические объекты: депульсатор, сепаратор-пробкоуловитель, трехфазный сепаратор первой ступени сепарации, концевой сепаратор, нагреватель, конденсатосборник, факельная установка, газосепаратор, емкость дренажная, емкость аварийного сброса, емкость утечек, насосная.

Средний уровень АСУ ТП — уровень программируемых логических контроллеров (ПЛК). Предназначен для преобразования информации с нижнего уровня, обработки и подготовки для передачи на верхний уровень. Оборудование мониторинга процессов считывает данные с датчиков, приводит в исполнение алгоритмы и сохраняет данные о динамике процессов. Контроллеры данного уровня непосредственно связаны с датчиками и с исполнительными механизмами, участвующими в процессе.

Верхний уровень АСУ ТП — уровень визуализации технологического процесса. Предназначен для получения информации со среднего уровня, обработки и дистанционного управления технологическим процессом через технические устройства среднего уровня. Включает в себя: АРМ оператора, АРМ инженера, сервер ввода-вывода, сервер БД, телефон.

Базовая модель АСУ ТП дожимной насосной станции представлена на рисунке 3.

Рис.3. Базовая модель АСУ ТП ДНС

На основе Базовой модели на следующем этапе строится Объектная модель (Рис.4), описывающая основные объекты АСУ ТП, взаимодействие с сетями, подразделениями, участвующими в технологическом процессе. Данная модель важна, поскольку она помогает понять иерархическую структуру и процессные связи рассматриваемой АСУ ТП. Кроме того, с точки зрения безопасности следует уделять особое внимание самому управляющему оборудованию, его пользователям, а также соединениям между компонентами системы.

Рис.4. Объектная модель АСУ ТП ДНС

Следующим шагом в процессе моделирования АСУ ТП является построение модели Базовой архитектуры (Рис.5). Данная модель составляется из субъектов, определенных в Объектной модели и отражает все основные элементы АСУ ТП, оборудование и линии связи. От правильности построения Базовой архитектуры зависит дальнейшее сегментирование АСУ ТП на основе высокоуровневой оценки риска.

Рис.5. Базовая архитектура АСУ ТП ДНС

Для того, чтобы привязать понятие безопасности не к конкретным устройствам, а к зонам, ГОСТ Р 56205–2014 вводит понятие «уровней безопасности» (security level). SL обеспечивают систему критериев для принятия решений о применении контрмер, а также помогает определить их эффективность в рамках жизненного цикла уровней безопасности. На основании проведенной высокоуровневой оценки рисков ИБ компоненты АСУ ТП логически объединяются в зоны, которые отражает Зональная модель. В соответствии с уровнем рисков устройств АСУ ТП устанавливаются уровни безопасности зон, приведенные в таблице 1.

Таблица 1

Уровни безопасности зон АСУ ТП ДНС

Существует три типа SL:

1. Целевой SL
2. Достигнутый SL
3. Потенциальный SL

Целевой SL определяетсяв ходе оценки рисков и назначается определенной зоне.

Достигнутый SL зависит от внутренних свойств безопасности устройств. Данный уровень безопасности изменяется с течением времени из-за снижения эффективности контрмер и появления новых уязвимостей. Важно поддерживать такой достигнутый SL, который был бы больше или равен целевому SL. На достигнутый SL зоны влияет ряд следующих основных факторов, но не ограничивается ими:

Достигнутый SL = f (X₁, X₂, X₃, X₄, X₅, X₆, t), где:

X₁ — потенциальный SL устройств;

X₂ — достигнутый SL зон, с которыми происходит взаимодействие;

X₃ — периодичность аудитов;

X₄ — знания злоумышленников;

X₅ — выявление несанкционированных проникновений;

X₆ — эффективность контрмер;

t — время.

Потенциальный SL — уровень безопасности устройств АСУ ТП, вносящий вклад в достигнутый SL определенной зоны, которая включает в себя данные устройства.

Поскольку в отношении сложных систем нецелесообразно применять один и тот же уровень безопасности, разрабатывается Зональная модель. Она служит для описания логических групп объектов АСУ ТП и позволяет оценивать общие угрозы и уязвимости. Более того, в отношении данных групп определяется целевой уровень безопасности, определяющий набор контрмер, необходимых для нейтрализации угроз. От правильности проведения высокоуровневой оценки риска зависит корректность определения зон, что повлияет на эффективность контрмер в отношении определенной группы объектов.

Так как в данной работе рассматривается типовая АСУ ТП ДНС, а высокоуровневую оценку рисков следует проводить для конкретного объекта на определенном месторождении, учитывая ее особенности, то объект будет условно разделен на зоны, соответствующие уровням АСУ ТП, согласно приказу ФСТЭК России от 14 марта 2014 г. № 31 (Рис.6).

Рис.6. Зональная модель АСУ ТП ДНС

На основании полученной Зональной модели на следующей стадии осуществляется детальная оценка рисков ИБ, которая включает в себя подробный анализ угроз и уязвимостей устройств в каждой зоне. Результаты данной стадии ложатся в основу формирования перечня контрмер, необходимых для нейтрализации угроз.

Вывод

Моделирование АСУ ТП в контексте управления рисками ИБ сводится к описанию и составлению «общей картины» защищаемой системы. В рамках данного процесса происходит поэтапное построение моделей. Результатом моделирования является Зональная модель, логически разделяющая систему на группы с соответствующим уровнем безопасности. Необходимо уделять особое внимание проведению данного этапа в контексте управления рисками ИБ, так как ошибки, допущенные при моделировании, станут причиной неэффективности дальнейшей оценки рисков. Невыявленные уязвимости повышают риск нештатных ситуаций, которые могут привести к авариям. Важно понимать, что масштабы последствий на промышленных объектах могут нанести значительный ущерб инфраструктуре целого региона или государства, не говоря уже о катастрофических последствиях для экологии и гибели людей.

Литература:

1. Леонтьев С. А. Расчет технологических установок системы сбора и подготовки скважинной продукции [Текст]: учеб. пособие / С. А. Леонтьев, Р. М. Галикеев, О. В. Фоминых. — Тюмень: ТюмГНГУ, 2010 (Тюмень). — 115 с.
2. Втюрин В. А. Автоматизированные системы управления технологическими процессами. Основы АСУТП: учеб. пособие / В. А. Втюрин. — СПб., 2006. — 154с.
3. Обеспечение кибербезопасности АСУ ТП // Диалогнаука. URL: http://www.dialognauka.ru/solutions/cybersecurity_iacs/
4. ГОСТ Р 56205–2014 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1–1. Терминология, концептуальные положения и модели.