Защита АСУ ТП: специфика обеспечения ИБ промышленных значимых объектов КИИ

Разбираем нормативные требования ФСТЭК к защите АСУ ТП, уязвимости промышленных протоколов, архитектуру промышленной сети по модели Пурдью, применение диодов данных и микросегментации для изоляции SCADA-систем.

Микросегментация промышленных сетей: от периметра к зонам доверия

Классическая периметральная модель защиты — «снаружи опасно, внутри безопасно» — не работает в промышленных сетях. Атака, преодолевшая единственный межсетевой экран между корпоративной и технологической сетью, получает практически неограниченный доступ ко всем устройствам внутри «плоской» ОТ-сети. Микросегментация решает эту проблему, создавая множество мелких зон доверия с индивидуальными политиками доступа.

Принципы микросегментации в промышленном контексте

Зонирование по технологическим процессам. Каждая технологическая установка, линия или участок выделяется в отдельный сегмент. Например, на нефтеперерабатывающем заводе сеть установки первичной переработки нефти изолируется от сети каталитического крекинга.

Кондуиты — контролируемые каналы связи. Между зонами создаются строго определённые каналы взаимодействия (кондуиты), в которых разрешены только необходимые протоколы и направления передачи данных. Это соответствует требованиям стандарта IEC 62443.

Минимизация привилегий. Каждый узел в сети имеет доступ только к тем ресурсам, которые необходимы для выполнения его функции. ПЛК установки не должен «видеть» SCADA-сервер соседнего цеха.

Инструменты микросегментации

Для реализации микросегментации в промышленных сетях применяются специализированные решения: промышленные межсетевые экраны (Industrial Firewalls), способные инспектировать протоколы Modbus, OPC UA, S7comm на прикладном уровне; коммутаторы с поддержкой VLAN и ACL для сегментации на канальном уровне; системы обнаружения вторжений (IDS), понимающие семантику промышленных протоколов.

При проектировании системы микросегментации критически важно провести предварительную инвентаризацию всех ИТ-активов в промышленной сети, включая контроллеры, HMI-панели, коммутаторы, конверторы протоколов и устройства удалённого доступа.

Мониторинг и обнаружение аномалий в промышленных сетях

Пассивный мониторинг трафика — один из немногих методов обнаружения угроз, который можно безопасно применять в технологических сетях без риска нарушить работу оборудования. В отличие от активного сканирования, которое способно вывести из строя промышленные контроллеры, пассивный мониторинг анализирует копию трафика, снимаемую с зеркального порта коммутатора (SPAN-port) или через сетевой TAP.

Что отслеживается при мониторинге ОТ-сети

Аномалии промышленных протоколов. Нехарактерные команды записи в регистры Modbus, попытки перепрограммирования ПЛК, изменения конфигурации SCADA-серверов.

Сетевые аномалии. Появление новых устройств, нехарактерные сетевые соединения, трафик между сегментами, которые не должны взаимодействовать.

Нарушения базовой модели поведения (baseline). Система формирует эталонный профиль нормального трафика и детектирует отклонения — от изменения периодичности опроса датчиков до аномальных значений параметров процесса.

Данные мониторинга должны интегрироваться с центром мониторинга (SOC) для корреляции событий из промышленного и корпоративного сегментов. Это позволяет выявлять сложные многовекторные атаки, которые начинаются в ИТ-инфраструктуре и затем продвигаются в технологический сегмент.

Импортозамещение и сертификация СЗИ для промышленных объектов

Вопрос импортозамещения на объектах КИИ в 2026 году приобретает особую остроту для промышленных систем. Если в корпоративном ИТ-сегменте замена зарубежного ПО проходит относительно безболезненно, то в технологическом сегменте каждое изменение несёт потенциальный риск остановки производства.

Особенности импортозамещения в АСУ ТП

SCADA-системы. На рынке представлены отечественные решения (MasterSCADA, Trace Mode, GENESIS и др.), однако миграция с зарубежных SCADA (WinCC, FactoryTalk) требует переработки мнемосхем, скриптов, интеграций и полного цикла тестирования.

Промышленные межсетевые экраны и диоды данных. Российские производители (InfoDiode, «Рубикон» от «НПО Эшелон» и др.) предлагают сертифицированные ФСТЭК решения, способные инспектировать промышленные протоколы.

Средства мониторинга ОТ-сетей. Отечественные решения для пассивного мониторинга промышленных сетей активно развиваются и уже покрывают основные сценарии обнаружения аномалий.

При выборе средств защиты необходимо учитывать требования к сертификации СЗИ для КИИ. Для значимых объектов КИИ применяются только средства защиты, прошедшие оценку соответствия в формах, установленных законодательством.

Практические рекомендации по обеспечению безопасности АСУ ТП

Построение защиты АСУ ТП — это комплексный процесс, который должен учитывать как нормативные требования, так и реальные ограничения промышленных систем. Ниже приведён структурированный подход к обеспечению информационной безопасности промышленных объектов КИИ.

Этапы построения системы защиты

Типичные ошибки при защите АСУ ТП

Применение ИТ-инструментов «как есть». Стандартные средства активного сканирования (Nessus, OpenVAS) могут вызвать сбой промышленных контроллеров. Для АСУ ТП необходимы специализированные решения, учитывающие особенности промышленных протоколов.

Игнорирование «теневых» подключений. USB-модемы, подключённые к инженерным станциям для удалённого доступа, незадокументированные Wi-Fi точки доступа — всё это создаёт неконтролируемые каналы проникновения.

Отсутствие плана восстановления. Резервное копирование конфигураций ПЛК, проектов SCADA и образов инженерных рабочих станций должно выполняться регулярно и храниться отдельно от рабочей инфраструктуры.

Ответственность и контрольные мероприятия

Несоблюдение требований по защите АСУ ТП на значимых объектах КИИ влечёт серьёзные последствия. В 2025–2026 годах регуляторы существенно усилили контроль за выполнением требований законодательства о КИИ.

Штрафные санкции распространяются как на юридических лиц, так и на должностных лиц, ответственных за обеспечение безопасности. Уголовная ответственность по статье 274.1 УК РФ предусмотрена за неправомерное воздействие на КИИ, а также за нарушение правил эксплуатации средств хранения, обработки или передачи информации в КИИ.

ФСТЭК проводит плановые и внеплановые проверки субъектов КИИ, в ходе которых оценивается фактическое состояние защищённости. Для промышленных объектов проверяющие обращают особое внимание на следующие аспекты:

— наличие актуальной модели угроз, учитывающей специфику промышленных протоколов;
— фактическая сегментация технологической и корпоративной сетей;
— наличие сертифицированных средств защиты информации;
— организация процесса управления уязвимостями в технологическом сегменте;
— наличие и актуальность организационно-распорядительной документации.

Предприятиям, которые ещё не привели свои системы в соответствие с требованиями, рекомендуется начать с аудита информационной безопасности для определения текущего уровня защищённости и формирования дорожной карты по устранению выявленных несоответствий.

Комплексный подход к защите промышленных объектов КИИ

Защита АСУ ТП не может быть реализована за счёт отдельных технических мер. Только комплексный подход, объединяющий нормативное соответствие, архитектурные решения и непрерывный мониторинг, позволяет обеспечить реальную безопасность промышленных систем управления.

Ключевые направления, которые должны быть проработаны для каждого значимого объекта КИИ в промышленности:

— Нормативный уровень. Категорирование объектов КИИ, формирование модели угроз, разработка ОРД в соответствии с приказами ФСТЭК № 31 и № 239.

— Архитектурный уровень. Сегментация сети по модели Пурдью, внедрение DMZ между ОТ и ИТ, применение диодов данных для физической изоляции критических сегментов.

— Технический уровень. Микросегментация внутри ОТ-сети, пассивный мониторинг промышленных протоколов, безопасная разработка прикладного ПО для SCADA.

— Операционный уровень. Построение SOC с компетенциями в области ОТ-безопасности, регулярный пентест, управление уязвимостями с учётом окон обслуживания промышленного оборудования.

Компания «Астелс» оказывает полный спектр услуг по комплексной кибербезопасности объектов КИИ — от категорирования и аудита до проектирования и внедрения систем защиты АСУ ТП в соответствии с требованиями ФСТЭК. Наши специалисты имеют практический опыт работы с промышленными объектами в энергетике, металлургии, химической промышленности и горнодобыче, что позволяет учитывать отраслевую специфику при проектировании систем защиты.