Концепция вычислительной сети соединяющей вещи физические предметы оснащенные

Методы обеспечения ИБ для промышленных IoT-систем

Тенденции перехода к “цифровому обществу” вывели на первый план информационные инфраструктуры, состоящие из устройств Интернета вещей, причем в последние годы наблюдается тенденция роста использования Интернета вещей в промышленном сегменте. Однако увеличение количества указанных систем неизбежно приводит к увеличению рисков для их безопасности. В рамках данной статьи поговорим об особенностях обеспечения информационной безопасности промышленных IoT-систем.

Автор: Константин Саматов , руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

Что такое промышленный Интернет вещей?

На текущий момент нет единого толкования понятий “Интернет вещей” и “промышленный Интернет вещей”.

Так, п. 3.1. ПНСТ [1] 419–2020 “Информационные технологии. Интернет вещей. Общие положения” [2] определяет Интернет вещей (Internet of Things, loT) как инфраструктуру взаимосвязанных сущностей, систем и информационных ресурсов, а также служб, позволяющих обрабатывать информацию о физическом и виртуальном мире и реагировать на нее. Данное определение скопировано из ISO/IEC 20924:2018 Information technology — Internet of Things (IoT) — Vocabulary (“Информационные технологии — Интернет вещей (IoT) — Словарь”).

В свою очередь, п. 4 Стратегии развития информационного общества в Российской Федерации на 2017–2030 гг. (утв. Указом Президента Российской Федерации от 9 мая 2017 г. No 203) дает следующие определения:

• индустриальный интернет — концепция построения информационных и коммуникационных инфраструктур на основе подключения к информационно-телекоммуникационной сети “Интернет” промышленных устройств, оборудования, датчиков, сенсоров, систем управления технологическими процессами, а также интеграции данных программно-аппаратных средств между собой без участия человека;
• интернет вещей — концепция вычислительной сети, соединяющей вещи (физические предметы), оснащенные встроенными информационными технологиями для взаимодействия друг с другом или с внешней средой без участия человека.

Таким образом, из анализа определений можно сделать вывод о том, что промышленный Интернет вещей (Industrial IoT, далее — IIoT) представляет собой совокупность автоматизированных систем управления производственным и/или технологическим процессом, а также отдельных их компонентов, образующих единую информационную инфраструктуру посредством информационно-телекоммуникационной сети “Интернет”.

Методы обеспечения информационной безопасности IIoT

Для того чтобы определить методы обеспечения информационной безопасности, в первую очередь необходимо понять, какими характеристиками обладает тот или иной объект защиты.

Характеристики систем IoT определены в разделе 7 ПНСТ 438–2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура (см. табл.).

С точки зрения обеспечения информационной безопасности важными являются характеристики доверенности системы IoT. Доверенность определяется как степень доверия к тому, что система работает, согласно ожиданиям, с такими свойствами, как безопасность, защищенность, приватность, надежность и способность к восстановлению в условиях воздействия окружающей среды, ошибок персонала, системных сбоев и атак [3]. При этом следует обратить внимание на то, что по сути системы IIoT являются автоматизированными системами управления, подключенными к информационно-телекоммуникационной сети Интернет, а следовательно большинство методов по обеспечению их информационной безопасности будут обусловлены предъявляемыми к системам данного вида требованиями по информационной безопасности, установленными приказами ФСТЭК России от 14.03.2014 г. No 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды” и от 25.12.2017 г. No 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.

Рассмотрение общих методов защиты автоматизированных систем управления видится нецелесообразным ввиду наличия большого количества публикаций, посвященных данной тематике, поэтому далее в статье рассмотрим только методы обеспечения безопасности, характерные исключительно для систем IIoT, которые, естественно, должны применяться в комплексе с реализацией установленных законодательством требований по обеспечению информационной безопасности.

Общеизвестно, что безопасность информации представляет собой состояние, при котором обеспечиваются такие свойства информации, как конфиденциальность, доступность и целостность.

В части конфиденциальности для систем IIoT характерно то, что указанные системы могут содержать в себе персональные данные или набор информации, которая путем агрегации, анализа или применения других способов может стать персональными данными.

С учетом того, что система имеет подключение к глобальной информационно-телекоммуникационной сети, основными методами обеспечения конфиденциальности будут:

• запрет чтения данных или управляющих сообщений для неавторизованных людей или систем;
• разграничение доступа между авторизованными пользователями и компонентами служб, в том числе с применением механизмов криптографии;
• обработка минимально необходимого набора персональных данных и их удаление сразу после утраты необходимости в их обработке.

Следует обратить внимание на часто встречающееся заблуждение, что учетные записи пользователей IIoT якобы не являются персональными данными. Набор таких данных, как фамилия, имя и отчество, должность или роль в системе, как правило, позволяет достоверно идентифицировать конкретное физическое лицо, а согласие работника организации на то, что указанные данные являются общедоступными, не убирает их из категории персональных данных.

Согласно ГОСТ Р ИСО/МЭК 27000–2012 [4] доступность — это свойство быть доступным и готовым к использованию по запросу авторизованной сущности. В части доступности для систем IIoT характерно то, что авторизованными сущностями могут быть как пользователи, так и компоненты служб.

В этой связи доступность для IIoT следует рассматривать в трех аспектах [5]:

1. Доступность самого устройства, которая связана как с его внутренними свойствами корректной работы на протяжении времени, так и с сетевой подключаемостью, возможностью взаимодействия с другими устройствами по сети Интернет.
2. Доступность данных, которая связана со способностью системы осуществлять прием-передачу требуемых данных из системного компонента или в него.
3. Доступность служб, которая связана со способностью системы предоставлять запрошенную службу пользователям с предварительно определенным качеством обслуживания.

Соответственно, учитывая вышеизложенные особенности, можно сказать, что на передний план выходят следующие методы обеспечения информационной безопасности:

• резервирование каналов связи;
• мониторинг событий информационной безопасности и раннее предупреждение компьютерных атак.

Целостность является критически важной характеристикой систем IIoT. Данные, используемые для процессов принятия решений в системе и исполняемом программном обеспечении, не должны быть изменены неисправными или неавторизованными устройствами, злоумышленниками или условиями окружающей среды [6].

Помимо стандартных методов обеспечения целостности, реализуемых в рамках исполнения требований регуляторов, в части IIoT-систем следует обратить внимание на то, что важно обеспечить целостность программного кода, исполняемого в процессе работы системы, обеспечить защиту от внесения в него изменений в целях прекращения или изменения нормальной работы системы. В этой связи важное значение приобретают такие методы обеспечения безопасности, как:

• статический и динамический анализ исходного кода;
• выстраивание процессов безопасной разработки;
• обеспечение целостности исходного кода средствами электронной подписи.

1. Предварительный национальный стандарт.
2. Вступает в силу 01.01.2021 и действует до 01.01.2024 г.
3. ПНСТ 438–2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
4. ГОСТ Р ИСО/МЭК 27000–2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология.
5. ПНСТ 438–2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.
6. ПНСТ 438–2020 (ИСО/МЭК 30141:2018) Информационные технологии (ИТ). Интернет вещей. Типовая архитектура.

Источник

Что такое интернет вещей и где этому научиться?

Термин «интернет вещей» впервые прозвучал в 1999 году: изобретатель Кевин Эштон обозначил этими словами мир, в котором человек перестанет быть «устройством ввода» для информации, распространяемой через интернет, уступив эту роль электронике.

В данный момент тяжело дать четкое определение термину «Интернет вещей», т.к. происходит процесс стандартизации Интернета вещей и киберфизических систем. В начале июня Российский Технический комитет 194 «Кибер-физические системы», созданный на базе РВК, получил право разработки первого международного стандарта ISO/IEC по терминологии в области Интернета вещей на русском языке.

Если говорить простым языком то, под Интернетом вещей в данным момент (англ. Internet of Things, IoT) понимают концепцию вычислительной сети физических предметов (вещей), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.

В данный момент в некоторых университетах читаются отдельные курсы по технологиям Интернет вещей, только начинают организовываться лаборатории, занимающиеся научно-учебной деятельностью в области Интернета вещей.

НИУ ВШЭ в 2018 году открывает целостную магистерскую программу по подготовке специалистов в области Интернета вещей, которые обладают компетенциями в области проектирования, анализа, разработки, развертывания и управления ситемами и сервисами Интернета вещей для современных организаций и предприятий в таких сферах как: «умный дом», «умный город», «умное производство».

Программа реализуется ведущим научным и профессорско-преподавательским составом МИЭМ НИУ ВШЭ с привлечением ведущих практиков компаний-партнеров в области Интернета вещей и киберфизических систем для чтения лекций и проведения практических занятий с использованием программно-аппаратного оборудования и программного обеспечения компаний-партнеров программы, таких как National Instruments, Infowatch, IBM, Samsung, Rightech, PTC, PTS, АО “Глонасс” и др.

Разнообразие используемых в образовательном процессе программно-аппаратных комплексов и сервисов позволяет нам подготовить специалистов, которые обладают фундаментальными знаниями в области Интернета вещей и опытом работы с множеством различных продуктов различных вендоров. Отказ от затачивания специалистов под конкретные технологии конкретных вендоров позволяет нам повысить качество образования и уровень выпускников магистерской программы.

Выпускники магистерской программы представляют собой молодых специалистов, инженеров, научных сотрудников и руководителей новых структурных подразделений, специализирующихся на технологиях Интернета вещей и киберфизических систем, промышленных и научно-исследовательских предприятий, имеющих передовой практический опыт использования и внедрения технологий Интернета вещей и киберфизических систем в промышленности и корпоративном сегменте экономики.

Источник