7.1 C
https://www.foreca.ru/Russia/Saint_Petersburg
20.09.2020
Безопасность Рекомендуемые

Когда встречаются информационная и функциональная безопасность

Стандартизированный подход к безопасности

С каждым днем растет необходимость в универсальных технических и программных решениях, призванных обеспечивать безопасность технологических процессов, производств и механизмов. В решениях, которые отвечают требованиям информационной и функциональной безопасности. Современные системы автоматизации уже активно интегрируются в мир IT и очевидно, что этот процесс потребует новых подходов для реализации актуальных «гибридных» систем безопасности.

Совмещение технологических процессов и систем IT подразумевает решение задач информационной безопасности или, другими словами, кибербезопасности, например, защита сети между офисными и производственными сетями.

Потенциальные угрозы, с которыми сталкиваются системы промышленного управления:

  • Заражение вредоносным ПО через Интернет и внутренние сети.
  • Заражение вредоносным ПО через съемные носители и внешние устройства.
  • Человеческий фактор, ошибки.
  • Преступные действия.
  • Несанкционированное управление технологическим процессом через удаленный доступ.
  • Устройства управления, связанные с Интернетом по протоколу IP.
  • Форс-мажор.
  • Использование смартфонов и облачных технологий в рабочем и производственном процессе, и т.д.

Ведущие мировые разработчики ПО защиты от киберугроз заявляют, что каждая третья кибератака в мире направлена непосредственно против производственных компаний. Эксперты утверждают, что число подобных атак от года к году будет только расти. Под угрозой находятся системы автоматизации технологических процессов и производств, а также системы, обеспечивающие функциональную безопасность таких процессов, в том числе на особо опасных производственных объектах. Таким образом, все чаще пересекаются области функциональной и кибербезопасности, что требует разработки общей концепции и стратегии безопасности для противодействия нависшим угрозам. Недавний инцидент с вирусом «Triton», зафиксированный на нефтехимическом производстве в Саудовской Аравии в июне 2017 года, который позволял удаленно контролировать автоматизированные и приборные системы безопасности “Safety Instrumented System (SIS)”, только подтверждает необходимость внедрения подобных систем в области безопасности автоматизированных систем и процессов.

По большому счету, кибербезопасность защищает процесс и конечный продукт от угроз, преднамеренных или случайных, направленных на целостность и доступность конфиденциальных данных. Защита от киберугроз подразумевает использование соответствующих превентивных и реактивных мер (технических и/или организационных). Игнорирование основных принципов кибербезопасности может оказать негативный эффект на технологический процесс и, как следствие, на конечный продукт, что особенно критично для фармацевтической и автомобильной промышленности. По этой причине стандарт ГОСТ Р МЭК 61511-1 требует проведения оценки рисков киберугроз для определения уязвимых мест в информационной и производственной системе безопасности. При условии выполнения соответствующих оценок рисков появляется возможность привести производственную безопасность в соответствие с требованиями актуальных технических стандартов, документов и рекомендаций NAMUR (Международная ассоциация пользователей технологий автоматизации в промышленности).

Другим важным вопросом кибербезопасности является «человеческий фактор». В более чем половине случаев причиной инцидентов в области информационной безопасности являются неправомерные или ошибочные действия сотрудников компаний, а в случаях крупномасштабных кибератак на промышленные предприятия присутствует высокая вероятность криминальной составляющей. В силу указанных причин, наличие в компаниях специалистов по информационной и кибербезопасности сегодня стало обязательным, наряду со специалистами участвующими непосредственно в выпуске готовой продукции. Кроме того, все лица, участвующие в проектировании и выборе оборудования, должны знать основы информационной и функциональной безопасности средств автоматизации. Для защиты информации и данных  можно добавить рекомендацию заключать договоры о конфиденциальности с сотрудниками и партнерами (поставщиками, производителями оборудования, подрядчиками и т.д.).

Концепцию функциональной безопасности можно представить как надежность работы систем, устройств и средств, обеспечивающих снижение рисков в производственных процессах для безопасности людей и предприятий в целом. Если система автоматизированного контроля, отвечающая за функциональную безопасность, диагностирует критическое или аварийное состояние технологического процесса, то она формирует управляющее воздействие в соответствие с заложенным алгоритмом для предотвращения угрозы. Требования к устройствам управления систем безопасности подробно описаны в специальных стандартах ГОСТ ISO 13849-1 и ГОСТ Р МЭК 61508/61511/62061. В зависимости от уровня риска определяются меры для снижения степени риска. Меры сжижения риска разделяют на соответствующие уровни: уровень эффективности защиты (PL) или уровень полноты безопасности (SIL).

Свое определение термина «человеческий фактор» имеется и в области функциональной безопасности – «возможное предсказуемое неправильное использование». Термин очень часто используется, например, для описания ситуаций, когда системы безопасности обходятся операторами путем принудительного замыкания концевого выключателя на защитном ограждении.

Концепция кибербезопасности и функциональной безопасности

Продолжая мысль о подходах к реализации кибербезопасности и функциональной безопасности, можно сказать, что при рассмотрении вопросов этих двух областей безопасности в первую очередь необходимо учитывать риски и угрозы, выявленные на этапе анализа и оценки. Здесь очевидна значительная разница в подходах к решению задач анализа и оценки рисков. Например, инженеры-проектировщики и конструкторы учитывают в своей работе стандартные, хорошо известные угрозы безопасности, согласно требованиям технических регламентов (механические, электрические, термические и т.д.). В свою очередь, эксперт по кибербезопасности сталкивается с угрозами, которые постоянно меняются, т.к. киберпреступники находятся в постоянном поиске уязвимых мест.

NAMUR, как международная организация, дает рекомендации по оценке рисков кибербезопасности систем и оборудования для противоаварийной защиты. По своей сути рекомендации являются первой попыткой прагматичного подхода к решению общих задач функциональной и информационной безопасности. NAMUR описывает методику оценки рисков кибербезопасности на основе международного стандарта ГОСТ Р МЭК 62443 и использует оценку рисков, как отправную точку обеспечения базовой защиты систем и оборудования против киберугроз. В качестве примера реализации рекомендаций используется одна схема, отражающая типичные системы участников организации NAMUR. Первый этап рекомендаций разделяется на три последовательных шага, что позволяет оценить практичность метода для исследования защищенности систем и оборудования. Четвертый шаг – это контроль реализации необходимых мер снижения рисков, документирование требований общей и кибербезопасности. Эти действия необходимо реализовать во втором этапе для каждого отдельного анализируемого элемента и оборудования системы безопасности.

Требования безопасности к системам по ГОСТ Р МЭК 62443

С точки зрения аппаратного и программного обеспечения, анализируемая система безопасности может быть разделена на три условных зоны:

  • Зона А. Основные устройства и системы безопасности соответствуют требованиям ГОСТ Р МЭК 61511-1, что включает в себя логическую систему, модули ввода/вывода, а также исполнительные механизмы и датчики. К Зоне А также относятся соединения, кабели и коммутаторы, которые используются для взаимодействия с устройствами в Зоне А.
  • Зона B. Устройства, которые не обязательны для реализации функций безопасности, но могут влиять на работу системы и основных компонентов безопасности. Этими устройствами могут быть панели управления, устройства программирования, устройства настройки датчиков/исполняющих механизмов и т.д.
  • Устройства и системы, которые ни напрямую, ни косвенно не относятся к функциональной безопасности, но могут быть связаны с функциями безопасности и относятся к зоне «Окружающая среда». Это может быть функцией сброса или визуализация состояния функции безопасности (рисунок 3).

Общей задачей всех трех зон является гарантия функциональной целостности устройств и системы безопасности в условиях возможного воздействия окружающих условий и/или факторов.

Для обеспечения жизненного цикла кибербезопасности производители, системные интеграторы и операторы опираются на систему управления информационной безопасностью по ГОСТ Р ИСО/МЭК 27000. Подобная система управления существует и в области функциональной безопасности в форме руководства FSM (Functional Safety Management). Это руководство, по своей сути, отражает требования стандарта ГОСТ Р МЭК 61508. Несмотря на разные области применения, между руководствами существует много общего, и следует говорить о возможности объединения функциональной и кибербезопасности в одну систему.

Решения Phoenix Contact для задач функциональной и информационной безопасности позволяют повысить эффективность и надежность любого производства за счет широкой линейки сертифицированных устройств безопасности, например, датчиков, реле, контроллеров и маршрутизаторов. А экспертные знания партнеров компании «Феникс Контакт» предоставляют возможность реализации услуг по проектированию систем ПАЗ, приведения оценки рисков и выполнения расчетов функциональной безопасности.

Больше информации Вы найдете на сайте: www.phoenixcontact.ru

Источник информации: www.phoenixcontact.ru

О компании:


Phoenix Contact GmbH & Co. KG (1923, Германия) является мировым лидером по производству и разработке компонентов, систем и решений в области электротехники, электроники и автоматизации. Высокотехнологичное  оборудование Phoenix Contact широко применяется  в различных отраслях промышленности: энергетике, нефтегазовой отрасли, машиностроении, приборостроении и многих других. Сегодня на предприятии по всему миру работает 17 400 сотрудников. Оборот группы компаний Phoenix Contact в 2018 году составил 2,38 млрд евро. Группа Phoenix Contact насчитывает более 100 предприятий по всему миру. Количество выпускаемых изделий в год свыше 60 000 тысяч.

В 2002 году было основано дочернее предприятие в России – ООО «Феникс Контакт РУС» с головным офисом и складом в Москве, а также 17 филиалами в регионах России. В 2017 году предприятие открыло производство электромеханических и электронных компонентов в Подмосковье ООО «НПО «Феникс Контакт».

Сайт компании: www.phoenixcontact.ru

PHOENIX CONTACT – Россия
OOO «Феникс Контакт РУС» 119619, Москва, Новомещерский проезд, д. 9, стр. 1, пом/ком I/88

Тел: +7 (495) 933-85-48 , E-mail: pr@phoenixcontact.ru

Рекомендуем

ВАКАНСИЯ: Ведущий инженер по продажам / Руководитель направления «Промышленные Редукторы»

AddIndustrialAutomation

Обеспечение качества и надёжности в сталелитейной промышленности. Стан холодной прокатки.

AddIndustrialAutomation

Адвантикс и МЦСТ стали стратегическим партнёрами для расширения рынка надежных отечественных решений для цифровизации промышленности

AddIndustrialAutomation

Оставить комментарий

This site uses cookies. By continuing to browse you are agreeing to our use of cookies. / Этот сайт использует файлы cookie (файл с информацией о предыдущих посещениях) для персонализации страниц сайта и удобства пользователей). Кроме этого, для совершенствования сайта на нем могут использоваться сервисы Яндекс Метрика и/или Google Analytics и/или пиксель Facebook. Как пользователь этого сайта я подтверждаю, что для предотвращения использования моих персональных данных мне предоставлена возможность отключить / запретить сохранение файлов cookie в настройках программы или использовать режим «инкогнито» Интернет-браузера для просмотра сайта. Продолжая просматривать веб-страницы, вы соглашаетесь с тем, что мы используем файлы cookie. Accept / Принять Читать далее