Дослідження методів керування безпекою автоматизованих систем управління критичною інфраструктурою

Ткач, Владислав Ігорович

Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/6412

Title:	Дослідження методів керування безпекою автоматизованих систем управління критичною інфраструктурою
Authors:	Нечипоренко, Ольга Володимирівна Ткач, Владислав Ігорович
Issue Date:	Jan-2023
Abstract:	У кваліфікаційній роботі розглянуто важливу область ІБ – управління інформаційними ризиками АСУ ТП. Необхідність виконувати оцінку та опрацювання інформаційних ризиків в умовах багаторівневої ієрархічної структури потребувала розроблення відповідних методу й алгоритмів. Розроблено теоретико-множинну модель АСУ ТП КІ, що відрізняється наявністю опису взаємодії активів різних рівнів, схильних до загроз ІБ. Модель відображає логічну та фізичну структури взаємодії між активами, а також вплив на АСУ ТП КІ, що дає змогу здійснити аналіз характеристик технічних і програмних засобів, технологічних процесів, а також ефективно використовувати отримані результати для оцінювання ІБ. Розроблено комплекс управління інформаційними ризиками АСУ ТП КІ, що реалізує запропонований метод управління ризиками ІБ, який дає змогу ідентифікувати наявні вразливості, моделювати загрози, оцінювати ризики ІБ і формувати оптимальний комплекс ЗОР для їх опрацювання. На основі запропонованих моделі, методу та алгоритмів виконано оцінювання та здійснено опрацювання інформаційних ризиків АСУ ТП, результатом яких став вибір оптимальних заходів щодо зниження ризиків від актуальних загроз. Розроблений комплекс дозволив здійснити аналіз захищеності АСУ ТП КІ для подальшого усунення діагностованих вразливостей. Використання обраних захисних заходів дало змогу знизити кількість загроз на 78%. Таким чином, у роботі розв'язано важливу науково-технічну задачу, що полягає в дослідженні наявних підходів і розробленні нових методик і алгоритмів оцінювання ризиків ІБ АСУ ТП, а також їх обробки в умовах багаторівневої ієрархічної структури. Вирішення цього завдання має важливу наукову і практичну цінність для побудови ефективних систем захисту інформації в АСУ ТП КІ.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/6412
Appears in Collections:	174 Автоматизація, комп'ютерно-інтегровані технології та робототехніка (Автоматизація та комп'ютерно-інтегровані системи та компоненти)

Files in This Item:

File	Description	Size	Format
М_151_2022_Ткач.pdf Restricted Access		2.38 MB	Adobe PDF	View/Open Request a copy

Show full item record

Extracted text

ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА РОБОТОТЕХНІКИ ТА СПЕЦІАЛІЗОВАНИХ КОМП’ЮТЕРНИХ
СИСТЕМ

Пояснювальна записка
до кваліфікаційної роботи
освітнього ступеню «магістр»

на тему: ДОСЛІДЖЕННЯ МЕТОДІВ КЕРУВАННЯ БЕЗПЕКОЮ
АВТОМАТИЗОВАНИХ СИСТЕМ УПРАВЛІННЯ КРИТИЧНОЮ
ІНФРАСТРУКТУРОЮ

Виконав: студент 2 курсу, групи МАКІТ-2109
спеціальності 151 Автоматизація та
комп’ютерно-інтегровані технології,
освітня програма «Комп’ютерно-
інтегровані технологічні процеси і
виробництва»
Ткач В.І.
(прізвище та ініціали)

Керівник Нечипоренко О.В.
( прізвище та ініціали)

Рецензент
(прізвище та ініціали)

Черкаси 2022 року
2
ЗМІСТ

ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ ........................................................................ 3
ВСТУП ......................................................................................................................... 4
РОЗДІЛ 1 СПЕЦИФІКА ПОБУДОВИ ТА МЕХАНІЗМИ БЕЗПЕКИ
АВТОМАТИЗОВАНИХ СИСТЕМУ УПРАВЛІННЯ ............................................. 8
1.1. Поняття автоматизації та рівнів управління ................................................. 8
1.2. Узагальнена структура автоматизованої системи управління
технологічним процесом ...................................................................................... 11
1.3. Опис типової структури автоматизованої системи управління ................ 17
1.4. Основні типи загроз та порушень інформаційної безпеки в АСУ ТП ..... 21
1.5. Стадії атаки на автоматизовані системи та стратегії захисту ................... 26
1.6. Режими функціонування автоматизованих систем управління ................ 32
Висновки ................................................................................................................ 34
РОЗДІЛ 2 МОДЕЛЬ ОЦІНКИ ІНФОРМАЦІЙНИХ РИЗИКІВ
АВТОМАТИЗОВАНИХ СИСТЕМ УПРАВЛІННЯ КРИТИЧНО ВАЖЛИВИХ
ОБ'ЄКТІВ ................................................................................................................... 35
2.1. Вибір підходу до моделювання .................................................................... 35
2.2. Модель автоматизованої системи управління критичної інфраструктури
................................................................................................................................. 37
2.3. Методи оцінки ризиків інформаційної безпеки .......................................... 40
2.4. Модель загроз автоматизованих систем критичної інфраструктури........ 48
Висновки ................................................................................................................ 50
РОЗДІЛ 3 РЕАЛІЗАЦІЯ МОДЕЛІ УПРАВЛІННЯ ІНФОРМАЦІЙНИМИ
РИЗИКАМИ ............................................................................................................... 52
3.1. Класи реалізацій спрямованих на забезпечення інформаційної безпеки . 52
3.2. Проектування структури бази даних............................................................ 63
3.3. Практична реалізація методу оцінки ризиків інформаційної безпеки ..... 69
Висновки ................................................................................................................ 72
ВИСНОВКИ ............................................................................................................... 74
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ................................................................. 76
3
ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ

АВЗ – антивірусний захист
АРМ – автоматизоване робоче місце
АСУ – автоматизована система управління
БД – база даних
ІБ – інформаційна безпека
ІС – інформаційна система
КБ – комп'ютерна безпека
КІ – критична інфраструктура
КІІ – критична інформаційна інфраструктура
КІС – корпоративна інформаційна система
КП – критичний процес
ЗОР – заходи опрацювання ризиків
САУ – система автоматичного управління
СЗІ – система захисту інформації
ТП – технологічний процес
DCS (Distributed Control System) – розподілена система управління
DMZ (Demilitarized Zone) – демілітаризована зона
NIDS (Network Intrusion Detection System) – мережеві системи виявлення
вторгнень
SCAP (Security Content Automation Protocol) – протокол автоматизації вмісту
безпеки
SEM (Security Event Management) – управління подіями безпеки
SIEM (Security Information and Event Management) – захист інформації та
управління подіями
SIM (Security Information Management) – управління інформаційною безпекою)

4
ВСТУП

Актуальність теми дослідження. Автоматизована система управління
(АСУ) технологічними процесами (ТП) – це сукупність технічних і програмних
засобів, призначених для автоматизації процесів керування технологічним
обладнанням на промислових підприємствах. Суб'єкти критичної інформаційної
інфраструктури, які використовують АСУ, у дослідженні будемо називати
критичними інфраструктурами (КІ). Серйозною загрозою для таких підприємств
є можливість втручання терористичних, екстремістських і вороже налаштованих
груп в управління АСУ, у т.ч. для приведення їх у непрацездатний стан. Кількість
випадків злому промислових інформаційних систем продовжує зростати.
Певною мірою цьому приділено особливу увагу в ЗМІ, а також зацікавленість
підприємств у захисті виробництва.
Важливим фактором коректного функціонування АСУ ТП є їхня
інформаційна безпека (ІБ). Для галузей, у яких захист АСУ ТП особливо
критичний, наприклад, інформаційно-телекомунікаційних мереж і систем АСУ,
що функціонують у сфері паливно-енергетичних комплексів, можливий не
тільки значний матеріальний збиток через вихід з ладу дорогого обладнання, а й
негативні економічні наслідки через порушення постачання нафти або газу, що
призводять до перебоїв в електропостачанні, екологічних та/або гуманітарних
катастроф, а також людських жертв.
Аналіз робіт [4-12] фахівців у галузі оцінювання ризиків ІБ показав, що за
високої значущості проведених досліджень, науково-технічне завдання
оцінювання ризиків ІБ АСУ ТП вивчено не повною мірою. Наприклад, під час
оцінювання ризиків недостатньо враховується специфіка АСУ ТП, зокрема,
потенційний збиток, який включає обсяг видобутої або виробленої продукції в
певний відрізок часу. До переваг методів кількісного оцінювання ризиків ІБ [20]
слід віднести їх добру інтерпретованість у рамках економічних моделей, а також
простоту застосування математичного апарату. Однак, для практичного
5
впровадження необхідно розробити формалізовану модель інфраструктури АСУ
ТП, що відображає реальний взаємозв'язок критичних процесів системи з
рештою активів і здатну враховувати вразливості комп'ютерної безпеки активів
під час реалізації загрози, що дасть змогу проводити комплексну оцінку ризику
для кожної загрози. У межах дослідження критичними процесами називаються
такі управлінські, технологічні, виробничі, фінансово-економічні та(або) інші
процеси в межах виконання функцій АСУ ТП, порушення та(або) припинення
яких може призвести до негативних соціальних, політичних, економічних,
екологічних наслідків, наслідків для забезпечення оборони країни, безпеки
держави та правопорядку.
Беручи до уваги перелічені вище фактори, забезпечення гарантованого
рівня ІБ, АСУ ТП потребує вдосконалення методик оцінювання та опрацювання
ризиків ІБ. Отже, проведення теоретичних досліджень і розв'язання практичних
завдань у галузі оцінювання й опрацювання ризиків ІБ АСУ ТП є актуальним
завданням.
Мета роботи – підвищення ефективності інформаційної безпеки АСУ
технологічним процесом в умовах деструктивних впливів за рахунок
використання ризик-орієнтованого підходу.
Досягнення поставленої мети, тобто забезпечення необхідного рівня ІБ в
АСУ ТП КІ, безпосередньо пов'язане з вирішенням наступних завдань:
1. Розробити модель АСУ ТП КІ для опису різних видів активів,
схильних до загроз ІБ, і особливостей їхньої взаємодії при розв'язанні задачі
управління ризиками ІБ.
2. Розробити методику й алгоритми для оцінювання ризиків ІБ на
основі моделі АСУ ТП КІ.
3. Розробити метод управління ризиками ІБ на основі аналізу активів
АСУ ТП КІ та їх взаємозв'язків із застосуванням методик оцінювання та
опрацювання інформаційних ризиків.
4. Побудувати комплекс управління ризиками ІБ АСУ ТП КІ, який
реалізує розроблені модель, метод та алгоритми.
6
Об’єкт дослідження – методи й алгоритми оцінювання та опрацювання
інформаційних ризиків АСУ ТП КІ.
Предмет дослідження – методи керування безпекою автоматизованих
систем управління критичною інфраструктурою.
Методи дослідження. У виконаних дослідженнях використовувалися
системний аналіз, комп'ютерне моделювання та обчислювальна математика.
Експериментальний матеріал ґрунтується на досвіді реалізації технічних рішень,
розроблених і обґрунтованих у роботі, у складі інформаційно-керувальних
систем і АСУ ТП КІ.
Наукова новизна одержаних результатів. Наукова новизна роботи
полягає в наступному:
1. Побудовано модель АСУ ТП КІ на основі теоретико-множинного
підходу з описом особливостей багаторівневої структури, що відрізняється
урахуванням відносин між фізичними, логічними активами та критичними
процесами, що дає змогу на основі ієрархії взаємодії активів визначати збитки
від впливу потенційних загроз ІБ.
2. Розроблено методику та алгоритми для оцінювання ризиків ІБ АСУ
ТП КІ, що відрізняються використанням оригінального поєднання принципу
захисту в глибину та аналізу дерева подій для оцінки можливості реалізації
загроз ІБ АСУ ТП КІ, що дає змогу визначити актуальний рівень ІБ на основі
використовуваних заходів опрацювання ризиків.
3. Запропоновано метод управління ризиками ІБ АСУ ТП КІ, що
відрізняється оцінюванням і опрацюванням неприйнятних ризиків під час
реалізації загроз ІБ в умовах багаторівневої ієрархічної структури з урахуванням
обмежень на основі аналізу взаємозв'язків активів КІ, що дає змогу із
застосуванням оригінальних методик з оцінювання та опрацювання наявних
ризиків ІБ – вибрати ефективні заходи.
Теоретична та практична значущість роботи. Теоретична цінність
полягає у встановленні механізму кооперативного впливу фізичних і логічних
активів на критичні процеси та взаємозв'язку між використовуваними заходами
7
опрацювання ризику та можливістю реалізації загрози, а також формалізовано
завдання визначення допустимих заходів з опрацювання ризиків в умовах
багаторівневої ієрархічної структури АСУ ТП КІ з урахуванням критичності
загроз і фінансових обмежень.
Практична цінність полягає в тому, що отримані результати дають змогу
реалізувати ефективний метод управління ризиками ІБ АСУ ТП КІ у вигляді
комплексу, який надає можливість ідентифікувати багаторівневу ієрархію
активів, у т.ч. критичні процеси, наявні вразливості комп'ютерної безпеки,
моделювати загрози, виходячи з них, а також управляти ризиками ІБ розглянутої
інфраструктури.
Апробація результатів роботи. Результати кваліфікаційної роботи
доповідалися й обговорювалися на студентських і наукових конференціях:
− дні студентської науки ЧДТУ, 20-21 квітня, м. Черкаси, 2021;
− дні студентської науки ЧДТУ, 19-20 квітня, м. Черкаси, 2022;
− «Проблеми інформатизації»: Тези доповідей десятої міжнародної
науково-технічної конференції: (24-25 листопада 2022 р., Черкаси),
2022. – С. 41.
Публікації. Результати досліджень опубліковані в:
1. Методи керування безпекою автоматизованих систем управління
критичною інфраструктурою/ О. В. Нечипоренко, В. І. Ткач // «Проблеми
інформатизації»: Тези доповідей десятої міжнародної науково-технічної
конференції: (24-25 листопада 2022 р., Черкаси), 2022. – С. 41.
Структура та обсяг кваліфікаційної роботи. Кваліфікаційна робота
складається із списку умовних скорочень, вступу, трьох розділів, висновку та
списку використаних джерел. Загальний обсяг роботи складає 81 сторінку,
22 рисунків, 3 таблиць. Список використаних джерел містить 45 найменувань.
8
РОЗДІЛ 1
СПЕЦИФІКА ПОБУДОВИ ТА МЕХАНІЗМИ БЕЗПЕКИ
АВТОМАТИЗОВАНИХ СИСТЕМУ УПРАВЛІННЯ

1.1. Поняття автоматизації та рівнів управління
Автоматизація покликана вирішувати завдання бізнесу для отримання
максимального прибутку. При цьому вирішуються завдання, пов'язані з кожним
з елементів технологічного об'єкта управління, тобто виробничий процес
прагнуть організувати таким чином, щоб мінімізувати споживані енергоресурси
і кількість людей. При цьому, продукту, що виробляється за одиницю часу має
стати принаймні не менше, а якомога більше. Звісно, без втрати якості
виготовлення продукції.
АСУ ТП має забезпечити три властивості технологічного процесу, схожих
із трьома властивостями інформації, які покликана забезпечити ІБ – це
конфіденційність, цілісність, доступність. У випадку АСУ ТП – це ефективність,
надійність і безпека [41].
Ефективність - зниження витрат ресурсів та енергоресурсів необхідних для
виробництва продукту [42].
Надійність – забезпечення незмінності якості продукту, у т.ч. в умовах
відмов технологічного обладнання, зниження частоти відмов [42].
Безпека – підвищення терміну служби технологічного обладнання шляхом
вибору оптимальних режимів роботи, зниження участі людини в технологічному
процесі [42].
Під «промисловою безпекою» в цьому дослідженні мається на увазі
забезпечення для обладнання безпечних режимів функціонування, що
запобігають прискореному зносу обладнання, а також зниження можливих
негативних впливів людей-операторів на процеси управління для скорочення
аварійних зупинок обладнання, запобігання наднормативних шкідливих викидів
у повітря та іншого [43].
9
Під «управлінням» розуміють процес зміни стану або режиму
функціонування системи відповідно до поставленого перед нею завдання [44].
Виходячи з цього визначення, управління спрямоване на те, щоб змінювати
цілеспрямовано стан системи [45].
Для забезпечення ІБ АСУ ТП необхідно розглянути, що являють собою
системи автоматичного управління (САУ) таких підприємств.
Розглянемо процес контролю та управління на прикладі АСУ ТП КІ,
встановленої на газовидобувному підприємстві. Нехай технологічна установка з
видобутку газу є об'єктом керування, а САУ – органом (засобом) управління
(функція управління). У такому разі САУ формує керуючий вплив на виконавчі
механізми, встановлені на свердловинах, які відкривають (регулюють) або
перекривають потоки газу, а технологічна установка формує зворотний зв'язок,
відправляючи сигнали з датчиків (функція контролю). На основі зворотного
зв'язку САУ може коригувати керівні впливи. Таким чином, у цій системі не бере
участь людина, і вона є замкнутою. [44].
Основна особливість САУ в тому, що в таких системах відбувається
швидкий аналіз «інформації зворотного зв'язку» під час формування сигналів
керування. Через великі обсяги інформації та необхідність швидких реакцій на
неї, людина не здатна досить швидко ухвалювати і реалізовувати правильні
рішення, тобто замінити САУ.
Система, у якій людина бере участь в ухваленні та реалізації рішень з
управління ТП, належать до класу АСУ ТП [36]. При цьому важливо розуміти,
що можливості людини з обробки інформації обмежені, тому вона може брати
участь в ухваленні та реалізації тільки деяких видів рішень. Для управління в
рамках АСУ і, зокрема, зниження обсягів інформації, що надходить,
використовують перетворювальний інтерфейс [27].
З його використанням на екрані демонструються показання приладів, де
людина може перевірити ступінь відповідності даних, одержуваних із датчиків.
Таким чином, з використанням АСУ людина може впливати на об'єкт
управління, проте цей вплив не прямий, а непрямий. Непрямий вплив
10
характерний тим, що результат впливу і сигнали зворотного зв'язку можуть не
збігатися, тому операторам необхідно перевіряти фактичне виконання деяких дій
вручну [18].
Управління технологічним об'єктом здійснюється на різних рівнях
управління, кожен з яких характеризується своїми завданнями і можливостями
(рис. 1.1) [29].
Найнижчий рівень, відомий також як рівень контрольно-вимірювальних
приладів і автоматики або польовий, складається з виконавчих механізмів і
датчиків, які безпосередньо взаємодіють з об'єктом управління. З їх
застосуванням вимірюють і змінюють характеристики об'єкта управління за
передбаченою системою правилами.

Рис. 1.1. Рівні керування автоматизованої системи управління
технологічного процесу

Наступний рівень, де розташовуються програмовані логічні контролери
(ПЛК) і пристрої зв'язку з об'єктом (ПЗО), називається середнім. Усередині ПЛК
і ПЗО вбудовані алгоритми, на основі яких формуються керувальні впливи, з
використанням яких вони керують виконавчими механізмами нижнього рівня й
аналізують інформацію від датчиків.

11
На верхньому рівні розташована система збору даних та оперативного
диспетчерського управління (англ., SCADA – Supervisory Control and Data
Acquisition) або розподілена система керування (англ., DCS – Distributed Control
System). Основними завданнями на цьому рівні є контроль технологічного
процесу за інформацією, яка надходить від середнього рівня, а також надання
керуючих впливів, які реалізуються в заданому інтерфейсі. Оператор на
верхньому рівні не може безпосередньо керувати виконавчими механізмами або
отримувати дані з датчиків, його взаємодія з нижнім рівнем здійснюється через
середній рівень.
Види функцій АСУ ТП
Інформаційна функція АСУ ТП – функція АСУ ТП, що включає отримання
інформації, опрацювання та передавання інформації персоналу АСУ ТП або в
систему про стан технологічного об'єкта керування (ТОК) або зовнішнього
середовища. На основі цієї функції людина може дізнатися про те, як
відбувається технологічний процес [16].
Керувальна функція АСУ ТП – функція АСУ ТП, що включає отримання
інформації про стан ТОК, оцінку інформації, вибір керуючих впливів та їх
реалізацію. Таким чином, якщо інформація надходить у систему, то має бути
можливість формувати керуючий вплив на ТОК [26].
Протиаварійний захист – функція АСУ ТП, спрямована на запобігання
аваріям, отримання травм тощо. Як правило, протиаварійний захист не містить
програмної логіки, цей механізм має спрацювати гарантовано в разі, якщо
виникає нештатна ситуація, щоб запобігти потенційній аварії [20].

1.2. Узагальнена структура автоматизованої системи управління
технологічним процесом
Критичні процеси
Під критичними процесами (КП) в АСУ ТП маються на увазі такі
технологічні процеси, порушення і (або) припинення яких може призвести до
негативних соціальних, політичних, економічних, екологічних наслідків [33].
12
До КП АСУ ТП можуть належати такі типи процесів:
− видобуток сировини;
− виготовлення окремих деталей;
− процес складання;
− зберігання матеріалів;
− переробка;
− транспортування;
− реалізація продукту;
− інші.
Причому, КП взаємодіють безпосередньо з пристроями нижнього рівня
АСУ ТП і їх взаємодія може бути двох видів:
− контроль – отримання сигналів із датчиків, розташованих на об'єктах
АСУ ТП, наприклад, показання температури;
− управління – здійснення впливу на роботу певного процесу, наприклад,
регулятор тиску може знижувати або підвищувати потік сировини, що
надходить.
Технічне забезпечення
Технічне забезпечення (ТЗ) – обладнання, яке складає АСУ ТП (рис. 1.2), і
включає такі елементи [16]:
− периферійне обладнання – це обладнання, яке безпосередньо взаємодіє
з об'єктом керування, а саме датчики та виконавчі механізми;
− ПЛК і ПЗО – спеціалізовані пристрої, у яких є інтерфейс для взаємодії
з периферійним обладнанням і середовище виконання власної логіки;
− серверне обладнання, на якому встановлюється SCADA-система або
DCS, які забезпечують подання інформації про технологічний процес
візуально і надають елементи інтерфейсу користувача;
− автоматизоване робоче місце (АРМ) для диспетчера або оператора, за
яким здійснюється відстеження стану технологічного процесу і, за
необхідності, вживаються певні дії;
13
− мережеве, каналоутворювальне обладнання – це комутатори,
перетворювачі інтерфейсів та інші пристрої, що забезпечують зв'язок
між обладнанням;
− канали зв'язку використовуються між усіма видами обладнання.

Рис. 1.2. Технічне забезпечення АСУ ТП

Головною особливістю АСУ ТП є те, що між різними видами обладнання
можуть використовуватися канали зв'язку, побудовані за власною технологією,
тобто, наприклад, на нижньому рівні зазвичай застосовуються фізичні лінії, які
проводять струм, між ПЛК і сервером може використовуватися послідовне
з'єднання, наприклад, RS-485, тощо. Таким чином, середовище передачі може
дуже часто змінюватися, тому прямий зв'язок між АРМ і периферійним
обладнанням, як правило, відсутній.
Програмне забезпечення
Враховуючи, що сучасна АСУ ТП повністю побудована на програмній
логікі [47], то наступним розділом структури АСУ ТП слідом за технічним
забезпеченням розглянемо ПЗ (рис. 1.3) [22].
Загальне ПЗ – це системне ПЗ, яке забезпечує середовище виконання для
спеціалізованих програм або завдань. На АРМ і серверах – це ОС, на мережевому
і периферійному обладнанні – це, як правило, прошивка (вбудоване ПЗ).
14
Спеціальне ПЗ, яке працює на загальному ПЗ, можна розділити на два
підкласи: базове ПЗ і прикладне ПЗ.
Базове ПЗ – це ПЗ, яке постачається на основі серійного виробництва від
виробника і не має можливості бути перепрограмоване під незадекларовані
можливості. Прикладом такого ПЗ є SCADA-системи [47], які представляють
середовище виконання заздалегідь визначених розробником завдань.
Прикладне ПЗ – це ПЗ, яке розроблено для вирішення конкретних завдань,
наприклад, проєкт SCADA, алгоритм ПЛК тощо, тобто таке ПЗ унікальне для
окремо взятої установки або для класу технологічних установок.

Рис. 1.3. Програмне забезпечення АСУ ТП

З погляду ІБ загальне ПЗ найбільш тиражований вид ПЗ, відповідно,
потенційно найбільш уразливий [38]. Спеціальне ПЗ менш поширене, проте
згідно зі статистикою в цьому виді ПЗ також знаходять уразливості. Загальне ПЗ
найбільш схильне до вразливостей, тому розробники все більше впроваджують
засоби захисту в ОС, що відсутнє в SCADA-системах, де механізми безпеки
розвинені не на такому рівні.
Прикладне ПЗ, як правило, являє собою унікальний програмний код для
кожного класу промислових об'єктів або всієї АСУ ТП, тому атаки
безпосередньо через уразливості прикладного ПЗ є скрутними, однак вони є
найпривабливішими для реалізації загрози, оскільки задають логіку роботи АСУ
ТП: якщо поміняти певні прикладні модулі, то можна домогтися того, що АСУ
ТП працюватиме некоректно, а оператор цього не помітить. Прикладом подібної
атаки є комп'ютерний хробак Stuxnet, який підміняв логіку роботи ПЛК у частині
15
обробки інформації від датчиків. Логіка роботи змінювалася через модифікацію
прикладного ПЗ, проте Stuxnet проникав через уразливість загального ПЗ [44],
тобто все ПЗ пов'язане.
Інформаційне забезпечення
Інформаційне забезпечення (ІЗ) – інформаційні активи, які необхідно
захищати (рис. 1.4) [46].

Рис.1.4. Інформаційне забезпечення АСУ ТП

Вхідні/вихідні сигнали – великий клас інформаційного забезпечення.
Вхідний сигнал – це сигнал, який рухається на технологічну установку, а
вихідний – з боку технологічної установки. Відмінність сигналу від даних
полягає в тому, що він має прив'язку до часового відрізка, тобто він має
передаватися вчасно і без спотворень, тому під захистом цілісності сигналу
мається на увазі не тільки відсутність спотворень, а й своєчасність його
надходження.
Протокольовані події – це інформація різного ступеня подробиці про те, як
протікає технологічний процес, що передається SCADA-системою або DCS.
Подібна інформація необхідна для відновлення перебігу подій у разі виникнення
аварійної ситуації, тобто виробник може проаналізувати зібрані події та знайти
причину збою. Ці події є важливим інформаційним ресурсом, яким необхідно
забезпечувати цілісність.
Дані, що надходять користувачеві, діляться на два підкласи
інформаційного забезпечення: вихідні документи або екранні форми.
16
Вихідні документи – це матеріальні об'єкти, що містять інформацію, яка
необхідна для звітності.
Екранні форми – це інформація, яка представляється людині на екрані
АРМ.
Інтегровані системи керування
Сучасні вимоги [35,36] щодо проектування АСУ ТП включають
необхідність розробляти інтегровані системи (рис. 1.5). Першим видом
інтегрованих систем є суміжні. Вони використовуються для обліку видобутих
ресурсів, моніторингу за станом виробництва і передавання діагностичної
інформації.

Рис. 1.5. Інтегровані системи керування АСУ ТП

Автоматизована система диспетчерського управління (АСДУ) є
наступним видом систем, які інтегруються в АСУ ТП. Такі системи необхідні
17
для управління технологічними процесами диспетчерами в режимі реального
часу.
У разі розподілених технологічних комплексів використовується система
лінійної телемеханіки (СЛТМ) для управління ними. СЛТМ керується
безпосередньо через АСДУ. Також може виникати необхідність обмінюватися
інформацією в режимі реального часу з головним офісом, тобто через АСДУ
інтегрується корпоративна мережа.

1.3. Опис типової структури автоматизованої системи управління
Розглянемо типову структуру АСУ ТП за рівнем управління (рис. 1.6).
Нижній рівень АСУ ТП складається з польового обладнання, що
встановлюється на технологічних об'єктах. Польове обладнання включає
датчики, виконавчі механізми та регулюючі органи, що належать до керованих
об'єктів. Їх конструкція та виконання дозволяють їм стійко та безпечно
функціонувати за найнесприятливіших погодних умов, а також у
вибухонебезпечних зонах. Польове обладнання з використанням електричних
кабелів підключаються до одного з модулів підсистеми введення/виведення.
Підсистема введення/виведення складається з апаратних модулів
введення/виведення. Модулі розрізняються за типом електричного сигналу,
застосуванням якого вони взаємодіють з польовими приладами, та напрямку
передачі сигналу. Якщо до модуля підключається датчик, модуль здійснює
введення сигналу в систему та називається модулем введення; якщо
підключається виконавчий механізм, то модуль виводить керуючий вплив із
системи і називається модулем виведення. За типами сигналів модулі
поділяються на аналогові (сигнали низького рівня та нормовані сигнали високого
рівня), дискретні (частотні, імпульсні та транзисторні) та цифрові сигнали [12].
Електричний сигнал, що надходить з датчика, в підсистемі
введення/виводу інтерпретується як вимір певної фізичної величини, наприклад,
тиск газу, потім сигнал перетворюється з аналогової в цифрову форму та
передається спеціальною шиною в контролер.
18

Рис. 1.6. Схема типового АСУ на небезпечному промисловому об'єкті

19
Підсистема введення/виведення працює і в іншому напрямку. Отримавши
від контролера цієї шині керуючу команду, підсистема введення/виведення
переводить її із цифрової форми в аналогову. Сформований електричний сигнал
кабелю подається на відповідний виконавчий механізм [44].
Середній рівень складається з ПЛК та необхідних вторинних приладів.
Основним завданням ПЛК є обробка підсистеми введення/виведення інформації
та зворотний керуючий вплив. Ця обробка здійснюється у відповідність до
закладених алгоритмів управління та відбувається циклічно. Зв'язок нижнього
рівня із середнім здійснюється за допомогою інтерфейсного модуля.
За принципом роботи ПЛК у типових структурах АСУ ТП на небезпечних
промислових об'єктів можна віднести до трьох незалежних підсистем:
1. DCS виконує функції безперервного контролю та управління
технологічними процесами. Ці системи охоплюють безліч
територіально розподілених об'єктів (від датчиків на віддалених
об'єктах до АСДУ). На практиці відстань між технологічними
установками, об'єднаними в одну систему управління, може досягати
кількох кілометрів, тому з погляду економічної ефективності (монтаж
кабелю) та підвищення надійності (обрив кабелю) на віддалених
об'єктах часто використовуються рішення із застосуванням
бездротового каналу зв'язку. Залежно від відстані між серверами
вводу/виводу та ПЛК, а також наявності інтерфейсів,
використовуються підключення через радіомодем або пристрій
широкосмугового доступу (ПШСД). Від радіомодему та ПШСД сигнал
приходить на радіовежу, від якої підключається до промислового
комутатору. Крім бездротового підключення, також можуть
використовуватися оптичні лінії, які безпосередньо підключаються до
комутатора, але для підвищення надійності доводиться резервувати
такі канали зв'язку, що збільшує витрати. Одними з шин передачі
даних, що часто використовуються на виробництві, є Ethernet або
спеціальна промислова шина Profibus DP. Цифрова мережа дозволяє
20
об'єднати рознесені елементи системи у єдиний програмно-апаратний
комплекс.
2. Система протиаварійного захисту (ПАЗ) виконує функції зупинки ТП
при аварійних режимах роботи. Завданням підсистеми є запобігання
аварійним ситуаціям на об'єкті, введення резерву у разі відмови
обладнання, своєчасна сигналізація небезпечних станів обладнання,
несправностей, безпечна зупинка та переведення в безпечний стан
технологічного обладнання у разі аварійної ситуації [42].
3. Система автоматичного пожежогасіння та контролю загазованості
виконує функції сигналізації, автоматичного зупинки технологічного
процесу та відключення струмоприймачів при виявленні пожежної та
газової небезпеки на об'єктах. Ці ПЛК забезпечують збір інформації від
пожежних сповіщувачів, датчиків тиску, кінцевих вимикачів, датчиків
контролю загазованості та інших датчиків, здійснюють її обробку за
заданими алгоритмами з автоматичною видачою команд управління на
засоби оповіщення, встановлення пожежогасіння, вентиляційні
установки [42], а також надсилання сигналів у систему ПАЗ. При цьому
всі випадки загазованості реєструються приладами з автоматичним
записом та документуються [17].
Верхній рівень системи складається із серверів введення/виведення,
сервера АСДУ та АРМ.
Сервери введення/виводу за функціональним призначенням ділиться на
три види:
− комунікаційний сервер забезпечує можливість спільної роботи засобів
автоматизації, що функціонують на різних апаратних платформах,
різних промислових мережах та вироблених різними фірмами на базі
сімейства програмних технологій, що надають єдиний інтерфейс OPC;
− архівний сервер забезпечує накопичення у реальному масштабі часу та
надійне тривале зберігання великих обсягів технологічної інформації, і
навіть доступом до неї з великої кількості АРМ оперативного рівня;
21
− сервер промислових додатків є високонадійною відмовостійкою
обчислювальною системою, яка здійснює попередню обробку даних
для відображення на АРМ операторів та інженерних станціях,
управління архівацією даних на архівному сервері та надає можливість
динамічної реконфігурації, централізованого супроводу та
розрахованої на багато користувачів розробки алгоритмів ПЛК [4].
Сервер АСДУ спільно з АРМ операторів та диспетчерів, а також
допоміжним обладнанням для друку звітів утворюють єдиний інформаційно-
обчислювальний комплекс, який реалізує відображення у графічному вигляді
технологічної інформації, що забезпечує видачу аварійних сигналів та взаємодія
операторів АСДУ з АСУ ТП, організує зв'язок з іншими системами керування
[15].
Також слід виділити засоби зв'язку (ЗЗ), які включають мережеве
обладнання та канали зв'язку. Причому, ЗЗ включають промислові комутатори
та перетворювачі. Відмовостійкість мережі забезпечується резервуванням
мережевих каналів, ліній зв'язку та комунікаційного обладнання. ЗЗ
розташовується на території таким чином, щоб мінімізувати витрати на монтаж
структурованих кабельних мереж та знизити вплив перешкод.

1.4. Основні типи загроз та порушень інформаційної безпеки в АСУ ТП
Розглянувши структуру АСУ ТП, види, її функцій та можливі механізми
сполучень, можна переконатися, що аспект ІБ є актуальним у подібних системах.
Типи загроз ІБ дуже різноманітні та мають безліч класифікацій [11], проте з
огляду на специфіку аналізованих АСУ ТП виділено наступні три основні типи
порушень ІБ [17]:
1. Нехтування правилами і недбалість з боку власних працівників
підприємства. Подібні інциденти виникають у разі використання
виробничої інфраструктури не за призначенням. Наприклад,
підключення зовнішніх пристроїв (носії інформації, модеми та інші),
22
встановлення незадекларованого ПЗ або підключення сторонніх
засобів обчислювальної техніки у промислову мережу.
2. Розкрадання. На відміну від попереднього типу порушень цей тип є
навмисний і передбачає використання АСУ ТП для того, щоб
приховувати розкрадання сировини.
3. Цільова кібератака (або Advanced Persistent Threat (APT)). Такий тип
порушень ІБ спрямований на використання АСУ ТП з метою вплинути
на виробничі процеси підприємства [18]. Цей вплив може бути або
промисловим шпигунством (щоб отримати конфіденційні дані), або
саботажем, спрямованим на припинення виробничого процесу або
підвищення ймовірності виникнення аварійних ситуацій.
Далі ці три напрями розглядаються докладніше з урахуванням архітектури
АСУ ТП.
Нехтування правилами та недбалість з боку власних працівників
підприємства.
Неналежне виконання (або невиконання) працівниками підприємства
правил у сфері ІБ може призвести до серйозних наслідків, які можуть вплинути
на ТП підприємства.
(1) Зразковий типовий сценарій порушення ІБ: оператор підключив
знімний носій, заражений шкідливим ПЗ, до АРМ. У разі відсутності антивірусів
або використання їх застарілих баз скриптів, шкідливе ПЗ проникає на
клієнтську машину оператора, порушуючи при цьому її роботу, та має
потенційну можливість поширитися на інші пристрої в локальній мережі. Одним
із варіантів прояву дій шкідливого ПЗ можуть бути помилки ОС, пов'язані з
нестачею системних ресурсів для виконання операцій. Також популярним типом
шкідливого ПЗ є віруси здирники, які вражають АРМ або сервера, блокуючи
доступ до ОС або запобігають зчитуванню записаних даних, вимагаючи у жертви
викуп для відновлення вихідного стану системи.
(2) Другий сценарій порушення ІБ передбачає підключення пристроїв, які
виконують функцію модему, до АРМ із доступом до SCADA-систему. Таким
23
чином, цей пристрій виявляється в Глобальній мережі і виявляється схильним до
безлічі потенційних загроз. Прикладом такої атаки може стати таємно
встановлювана на АРМ оператора програма, що дозволяє зловмиснику
виконувати дії з використанням ресурсів зараженої машини. Однією з таких дій
може бути DoS-атака (Denial of Service) на пристрої усередині промислової
мережі.

Рис. 1.7 Клас атак – недбалість

Ще одним потенційно можливим підваріантом може бути порушення
відображення інформації, що використовується оператором АСУ ТП для
прийняття та реалізації оперативних рішень. У цих випадках через неправильну
інформацію операторами можуть прийматися та виконуватися невірні рішення,
які можуть призводити до аварійних ситуацій. У формалізованому вигляді
приклади сценаріїв порушення ІБ (та їх наслідки) внаслідок нехтування та
недбалості з боку власних працівників представлені на рис. 1.7. Зазначимо, що
через специфіку роботи ТП та їх АСУ навіть короткочасні одноразові
несприятливі впливи шкідливих програм можуть мати дуже несприятливі
наслідки для організацій або їх підрозділів.
24
Розкрадання
Інформація про те, скільки вироблено чи видобуто ресурсів під час ТП
передається від нижнього рівня ієрархії системи до верхнього. Як окремий
випадок розглянемо клас атаки – розкрадання на КІ [19]. За розрахунок
видобутого обсягу газу відповідають витратоміри, які вимірюють газ, що
надходить у прилад рівними за обсягом дозами, які потім підсумовуються. Газ
перед цим нагрівається до певної (стандартної) температури. Маса газу при
цьому не вимірюється. Тому, якщо вплинути на прилад, відповідальний за
нагрівання видобутого газу перед подачею у витратомір, змінивши температуру
нагрівання на кілька градусів, то через витратомір можна пропустити більший
об'єм газу. Різницю між розрахунковими обсягами газу, видобутого при робочій
та зміненої температури, можна приховано викрасти.

Рис. 1.8. Клас атак – розкрадання

Для реалізації такого типу порушення ІБ необхідно вплинути на свідчення
системи, тобто зробити так, щоб замість заданих до системи потрапляли хибні
свідчення, у яких зацікавлений зловмисник. Такого результату можна досягти,
зокрема, такими способами: перепрограмуванням ПЛК, відповідального за
передачу інформації про нагрівання; за допомогою шкідливого ПЗ спробувати
спотворити дані на АРМ, яке передає їх для обліку у SCADA-систему;
використовувати інші способи (рис. 1.8).
Цільова кібератака
Цільові кібератаки стосовно АСУ ТП умовно можна поділити на два види:
− несанкціоноване отримання інформації;
25
− порушення технологічного процесу.
Отримання інформації. Такий вид атак спрямований на використання АСУ
ТП із метою вплинути на виробничий процес підприємства. Цей вплив може
бути промисловим шпигунством, щоб розвідати дані обмеженого доступу, або
саботажем, спрямованим на дезорганізацію або припинення виробничого
процесу. Необхідно враховувати, що організації, які використовують АСУ ТП
для видобутку корисних копалин, наприклад, нафтогазовидобувні підприємства,
видобувають ресурси на виділених ліцензійних дільницях. Таким чином,
організації, що володіють ліцензією на видобуток подібної сировини, в країні
обмежена кількість та їх діяльність багато в чому контролюється державою.
Тому конкурентна розвідка між такими компаніями зазвичай недоцільна, але
зазначені відомості можуть становити інтерес для іноземних організацій, в т.ч.
конкуруючих на зарубіжних ринках збуту таких ресурсів або продуктів їхньої
переробки.
Інформацією обмеженого доступу є будь-яка інформація, якою може
скористатися зловмисник для заподіяння шкоди підприємству. Такою
інформацією можуть бути конфігурації ПЛК, дані з пульта управління
оператора, архівні відомості SCADA-системи та інші, за якими можна відновити
технологічний процес. Отриману інформацію можна використовувати для
впливу на виробництво та організації інших видів атак, у деяких випадках – для
нанесення репутаційних збитків підприємствам.
Порушення технологічного процесу. Зруйнувати (порушити) техпроцес
АСУ ТП можна кількома способами. Одним з них є доведення виробничого
процесу до аварійного стану, наприклад, перепрограмування ПЛК або АРМ, що
відповідає за контроль показників датчиків КП промислового об'єкту. На
небезпечних промислових об'єктах, як правило, передбачені аварійні ситуації та
реалізовані процеси контролюються нормами промислової безпеки. Тому у разі
виходу певних показників за допустимі межі, незалежна (від основної АСУ ТП)
система вимикає ці об'єкти. Менш очевидною атакою на техпроцес є атака, що
має на меті надання впливу на кінцевий продукт. Як і в прикладі з розкраданням
26
можна, наприклад, вплинути на логіку роботи пристроїв АСУ ТП, підмінивши
алгоритми, зокрема, змінити принцип роботи механізмів, відповідальних,
наприклад, за відділення газу від конденсату. Таким чином, у результаті продукт,
що видобувається, матиме іншу консистенцію і відповідно іншу якість. Це може
надалі позначитися на репутації компанії та призвести до серйозних економічних
збитків для неї.

1.5. Стадії атаки на автоматизовані системи та стратегії захисту
Підсумовуючи вищезазначене вище, можна дійти висновку, що будь-яка
атака на АСУ ТП, пов'язана з технологічним процесом, складається з 3-х
основних стадій [31], які починаються на верхньому рівні АСУ ТП та
закінчується на нижньому (рис. 1.9).
Перша стадія – це ІТ-атака через людино-машинний інтерфейс АСУ ТП
або підключення до суміжних систем – основні ланки АСУ ТП. Вони зазвичай
використовують популярні поза промисловими системами IT-рішення, містять
загальновідомі вразливості, і, як наслідок, схильні традиційним атакам, у рамках
яких зловмисник проникає в периметр АСУ ТП, що захищається, для подальших
дій.
Друга стадія – це наступний етап атаки, де вразливими об'єктами
являються технологічні елементи системи, наприклад, логіка роботи SCADA-
системи або алгоритми ПЛК. При цьому метою є створення збоїв у роботі АСУ
ТП, маніпуляції технологічними процесами та ін.
Третя стадія – атака на технологічні об'єкти управління, які управляються
ПЛК. На цій стадії метою є нанесення максимальної шкоди. Як приклад можна
навести поведінку відомого комп'ютерного хробака Stuxnet [70], який потай
збільшував швидкості обертання центрифуг у системах збагачення 235-м
ізотопом шестифтористого урану.
Хробак вражав безпосередньо ПЛК, змушуючи центрифуги працювати в
гранично-допустимому режимі. Це призводило до підвищеного зносу
обладнання, але не до миттєвого виходу з ладу. Після виходу з ладу кількох
27
центрифуг поспіль логічно провести позачергове технічне обслуговування,
додаткове налагодження та знайти відхилення. Тому передчасний знос
обладнання було розтягнуто за часом, щоб центрифуги не почали виходити з
ладу майже одночасно і тим самим викрити дії шкідливого ПЗ. При цьому
Stuxnet домагався того, щоб центрифуги виходили з ладу швидше, ніж їх
встигали поповнити (замінити).

Рис. 1.9. Стадії атаки на АСУ ТП

Для організації атаки на такому технологічному рівні необхідно мати
інформацією про те, як влаштований технологічний процес, яким керують
атаковані АСУ ТП.
28
Вважається, що область ІБ закінчується там, де починається технологічний
об'єкт управління, і відбувається перехід до промислової безпеки. Її завданням є,
насамперед, безпечне функціонування системи, а саме відсутність людських
жертв та мінімальні екологічні збитки. Завданням ІБ, у свою чергу, є
нейтралізація зловмисника другої стадії.
Стратегії захисту АСУ ТП
З точки зору забезпечення ІБ необхідно розглянути стандартну модель
стратегії захисту [7]. Будь-яка атака, якщо розглядати її за часом, складається з
трьох основних фаз (рис. 1.10):
− підготовча фаза, яка відбувається під час розвідки для пошуку
вразливостей для подальшої експлуатації та отримання інших даних;
− фаза реалізації атаки, яка відбувається під час впровадження
шкідливого коду, отримання несанкціонованого доступу та ін.;
− фаза нанесення шкоди, коли результат атаки перетворюється на
конкретні несприятливі наслідки системи.
З точки зору захисту протидії атакам на кожній із цих фаз визначає
використовувані методи:
− проактивний захист передбачає відсікання атаки на стадії її підготовки:
за таким принципом діють, наприклад, міжмережевий екран (МЕ) та
антивіруси, тобто визначивши ознаки явної атаки, вони припиняють
потенційно шкідливу активність, проте не виключається можливість
припуститися помилки другого роду, а саме прийняти нормальну
роботу системи за шкідливу;
− активний захист виникає на стадії реалізації атаки, що нерідко
передбачає участь людини, наприклад, зараження шкідливим кодом,
відповідальних осіб поінформовано, і їм необхідно прийняти рішення
про те, які дії слід вжити;
− реактивний захист використовується в той момент, коли атака
здійснена і необхідно мінімізувати шкоду, яку їй завдано, або
максимально швидко відновити працездатність функцій, що вийшли з
29
ладу, тобто, якщо шкідливе ПЗ вивело з ладу сервер, який відповідає за
збір інформації про видобутку сировини, і є можливість відновити його
з резервної копії, то наслідки такої атаки мінімізуються до втрати даних
між датою останньої резервної копії та часом її відновлення.
У корпоративних інформаційних системах (КІС) усі три стадії атаки
можуть проходити за лічені секунди на відміну від АСУ ТП, де загальна
тривалість атаки може тривати кілька років, наприклад, атака Stuxnet на ядерну
програму Ірану зайняла близько 5 років [22]. У зв'язку з цим при забезпеченні ІБ
АСУ ТП можна змістити вектор з проактивного захисту, коли необхідно
автоматично приймати рішення, у бік активного захисту, де може взяти участь
людина, щоб вирішити необхідність втручання в роботу.

Рис. 1.10. Стратегії захисту АСУ ТП

Відмінність підходів до забезпечення ІБ між КІС та АСУ ТП
Розглянувши основні особливості побудови АСУ ТП, включаючи типи
порушень ІБ, стадії атаки та стратегії захисту АСУ ТП, необхідно порівняти
підходи забезпечення ІБ між КІС та АСУ ТП. З погляду ІБ основними відмітними
ознаками між КІС та АСУ ТП є [41]:
1. Насамперед, КІС, як правило, побудовані за принципом одних
архітектур: клієнт-сервер, файл-сервер, багаторівнева і так далі [3].
Кожна з цих архітектур має однорідну структуру на всіх рівнях. В АСУ
30
ТП системи мають абсолютно неоднорідну структуру, чітку ієрархічну
роздільність, різні канали взаємозв'язку.
2. При цьому КІС зазвичай орієнтована на роботу з Користувачем на всіх
рівнях, автоматична робота практично відсутня. В АСУ ТП залежно від
рівня ієрархії взаємодія може відбуватися між людиною та АС, або
тільки між АС. Користувач не вимогливий до Швидкості отримання
інформації, тобто затримки в кілька мілісекунд для нього непомітні, на
відміну АС, де затримки можуть стати критичними, т.я. може
виникнути відхилення від заданих параметрів, внаслідок чого може
виникнути непередбачувана реакція системи керування.
3. З погляду внесення змін КІС є постійним середовищем, що змінюється:
зміна версій ПЗ, встановлення оновлень, заміна програмних та
апаратних продуктів. Причому безліч змін можуть залишитися
незафіксованими. При цьому АСУ ТП, у свою чергу, практично не
змінюється, за винятком режиму технічного обслуговування, коли
змінюється технологічне обладнання, або технологічний процес, то
зміни вносяться, проте при цьому кожне з них реєструється.
Позапланові зміни, як правило, не допускаються.
4. Життєвий цикл КІС має дуже короткий термін, тобто протягом п'яти
років застосовуваний продукт може повністю застаріти або необхідне
обладнання може бути знято з виробництва, тому виникає необхідність
перепроектування системи. В АСУ ТП проект будується на найбільш
тривалий термін, порівнянний з об'єктом управління, тобто система
розрахована на роки, іноді десятки років.
5. Наслідки інцидентів ІБ для КІС – це відома проблема [7,8], однак
виміряти збитки у грошовому еквіваленті не завжди представляється
можливим, т.я. існують непрямі фактори, наприклад репутаційні
втрати. В АСУ ТП збитки від порушення коректного перебігу
технологічного процесу, зазвичай, відомий, тобто при некоректному
режимі роботи кількість виробленого або видобутого продукту не
31
збігається з планом, вартість за умовну одиницю відома – це прямі
фінансові втрати. У разі простою технологічної установки – можна
оцінити у скільки обійдеться виробничому підприємству цей простій.
6. При виборі між безпекою та зручністю використання системи КІС
пріоритет за забезпечення ІБ, тобто продуктивність процесу
користувача, як правило, обмежується вимогами безпеки ІБ. В АСУ ТП
головним пріоритетом є коректність робочого процесу.
В результаті можна скласти наступну зведену таблицю відмінностей КІС
від АСУ ТП – таблиця 1.1.

Таблиця 1.1
Порівняння КІС та АСУ ТП
КІС АСУ ТП
1. Принципи побудови систем
Переважно централізовані системи зі Ієрархія різноманітних систем.
схожою архітектурою побудови Кожна окремо взята система унікальна
2. Орієнтація працювати з користувачем
Орієнтована на взаємодію з Ступінь взаємодії з користувачем
користувачем на всіх рівнях залежить від рівня ієрархії
3. Внесення змін
Постійно у міру експлуатації. Виключено у оперативному режимі.
Мінімальний контроль Повний контроль за всіма змінами
4. Життєвий цикл
3-5 років від 10 років
5. Наслідки інцидентів ІБ
Найчастіше складно оцінити збитки Збитки від порушення протікання
технологічного процесу відомі та
виміряно конкретними сумами
6. Обмеження
Безпека проти зручності використання Коректність роботи понад усе –
можлива і на шкоду безпеці
32
1.6. Режими функціонування автоматизованих систем управління
На відміну від КІС в АСУ ТП яскраво виражені режими функціонування.
У КІС є поняття режиму функціонування, наприклад, технічне обслуговування,
проте зазвичай це передбачає наявність доступу користувачів до системи, чи
його відсутність. В АСУ ТП можна виділити два основні режими
функціонування:
Оперативний – це режим, під час якого здійснюється керування
технологічним процесом, протягом якого не допускаються зміни до апаратного
або програмного забезпечення. Користувачі під час оперативного
функціонування, як інструмент управління мають обмежені можливості: вони
активні в так званому режимі, коли відсутня можливість залишити інтерфейс
вибраної програми, щоб у них не було можливості вплинути непередбачено на
технологічний процес.
Під час роботи в оперативному режимі формується замкнуте програмне
середовище, що виключає появу несанкціонованих змін, які можуть вплинути на
систему та технологічний процес. Важливо розуміти, що будь-які системи
захисту, що впроваджуються, повинні мінімізувати автоматичне втручання в
роботу АСУ ТП, тому що ймовірність виникнення помилок другого роду, які у
разі автоматичної роботи неприпустимі. На відміну від КІС в АСУ ТП помилки
першого роду є не настільки критичними, тому що, як описувалося раніше,
проміжок між фазою реалізації атаки і заподіяння шкоди може становити кілька
років, і виявивши таку атаку, не можна намагатися відразу блокувати, т.я.
необхідно донести інформацію про її виявленні компетентності людині, яка
вивчить ознаки атаки та прийме рішення: потрібно впливати на ці дії зараз або
краще відкласти.
Технічне обслуговування – це режим, під час якого технологічне
встановлення відключається, а АСУ ТП починає проходити ряд певних заходів:
проведення тестів, внесення змін до ПЗ тощо.
Під час цього режиму проводяться роботи з окремими елементами
(серверами, ПЛК, активним мережевим обладнанням та іншим), система
33
перестає бути єдиним цілим, саме в цьому режимі вносяться зміни апаратної та
програмної частини.
Під час технічного обслуговування з'являється можливість
використовувати весь асортимент механізмів забезпечення ІБ, які знаходять
часте застосування в КІС. Також слід чітко контролювати зміни у процесі
управління конфігураціями, щоб у разі несанкціонованих змін існувала
можливість провести розслідування для виявлення причини їх виникнення та
встановлення наявності ознак серйозної спрямованої атаки.
Замкнене програмне середовище
Для формування замкнутого програмного середовища необхідно, в першу
чергу, спроектувати довірену систему, яка виконує такі вимоги [5]:
1. Проходження елементами системи перевірки – відсутність шкідливого
коду та недекларованих можливостей, а також коректне
функціонування елементів відповідно до того, як спроектовано
розробником.
2. Забезпечення контролю цілісності програмної частини, і навіть
апаратної та програмної конфігурацій.
3. Забезпечення контролю інформаційних потоків, тобто поява
додаткових інформаційних потоків слід розглядати як потенційний
інцидент ІБ.
4. Відсутність інструментів, що дозволяють ввести зміни до замкнутої
системи, таким інструментом може бути навіть текстовий редактор.
Причому АСУ ТП, як правило, представляє розподілену структуру, де
використовують суміжні системи, які не є довіреними, їх необхідно розглядати
як потенційне джерело шкідливої активності, з якою необхідно взаємодіяти.
Тому, щоб забезпечити властивості замкнутого середовища, канал зв'язку має
бути в ідеалі одностороннім (використання OPC-сервера, МЕ, «діода даних» та
інше).

34
Висновки
У розглянутому розділі здійснено огляд предметної області. Описано
основні особливості АСУ ТП, що включають рівні управління та види функцій.
Наведено структуру сучасної АСУ ТП на прикладі КІ. Також розглянуто об'єкт
дослідження та його особливості. Наведено основні типи загроз та порушень ІБ
в АСУ ТП, описані стадії атаки на АСУ ТП, цілі забезпечення ІБ та стратегії
захисту АСУ ТП. Здійснено порівняння різних підходів до забезпечення ІБ між
КІС та АСУ ТП.
У реальному житті дуже складно все передбачити, тому й довірена
система, та односторонні канали зв'язку вимагають безперервного моніторингу
функціонування. Відповідно, система моніторингу також є суміжною та зв'язок
з нею має будуватися за принципом одностороннього каналу зв'язку. З
використанням такого моніторингу відхилень з'являється можливість виявити
дії, реалізовані за рамками моделі, яка прийнята під час проектування системи.
Наприклад, у оператора з'являється можливість переконфігурувати
технологічний процес, використавши систему можна виявити зміну
інформаційної схеми потоків та вжити коригуючих заходів.
На основі описаних особливостей предметної області та об'єкта
дослідження сформульовано актуальне науково-технічне завдання, показано
основні завдання розробки задля досягнення поставленої мети.
35
РОЗДІЛ 2
МОДЕЛЬ ОЦІНКИ ІНФОРМАЦІЙНИХ РИЗИКІВ АВТОМАТИЗОВАНИХ
СИСТЕМ УПРАВЛІННЯ КРИТИЧНО ВАЖЛИВИХ ОБ'ЄКТІВ

2.1. Вибір підходу до моделювання
Попередній аналіз типових АСУ ТП, протоколів передавання інформації
та інформаційних ресурсів показує складність їхніх взаємодій і, як наслідок,
потенційну можливість реалізації певних загроз ІБ [45].
Статистику щодо інцидентів, пов'язаних із порушенням ІБ, важко зібрати
у необхідному обсязі, тому актуальним завданням є моделювання АСУ ТП із
подальшою можливістю оцінювати ризики ІБ, оптимізації витрат, що
потребують підвищення рівня ІБ, і конкретизації рекомендацій до
організаційних і технологічних заходів, що підвищують захищеність АСУ ТП.
Існують різні підходи до моделювання систем захисту інформації (СЗІ), що
відображають різні аспекти систем захисту [4-7]:
− моделі, що використовують підходи теорії ймовірності та нейронних
мереж;
− моделі, побудовані з використанням теорії мереж Петрі-Маркова;
− моделі, засновані на теорії скінченних автоматів;
− моделі, побудовані з використанням теорії графів;
− моделі, що використовують теорію нечітких множин;
− моделі, побудовані з використанням ентропійного підходу;
− теоретико-множинні моделі.
Моделі, що використовують теорію ймовірності та нейронні мережі,
ідеально працюють, наприклад, під час аналізу аномалій мережевого трафіку із
зовнішньої мережі, коли можна на основі статистики класифікувати аномалію і
прийняти рішення про блокування певного трафіку [9].
Моделі на основі мереж Петрі-Маркова, як і моделі, що використовують
автомати Мура, добре зарекомендували себе для аналізу управління ймовірністю
36
успішної реалізації несанкціонованого доступу за часом (з використанням
статичних даних) [8].
Моделі ІБ, що використовують теорію графів, добре працюють у системах
підтримки прийняття рішень з використанням експертів, коли, наприклад,
необхідно оцінити безпеку певного шляху реалізації процесу, а для оптимізації
вибору найбезпечнішого маршруту використовується модифікований алгоритм
Дейкстрі [5].
Моделі на основі нечітких множин (модель Мамдані, TSK-моделі тощо)
можна використовувати для оцінки ризиків ІБ з використанням добре
спланованих експериментів і експертів, здатних грамотно оцінити результат
роботи моделі, тобто отриманий ризик, за вхідними даними. Зазвичай добре
працюють для конкретних інформаційних процесів в інформаційній системі (ІС).
Моделі ІБ, побудовані на основі ентропійного підходу, використовуються
для виявлення можливості ідентифікації користувачів веб-ресурсів [3].
Теоретико-множинний опис являє собою універсальну модель, тому що
може бути застосований до досить широкого класу систем [4], у т.ч. для
моделювання об'єктів ІБ [6].
Як правило, підхід до моделювання вибирають, орієнтуючись на
параметри, використовувані як вхідна інформація, і результати розрахунків, які
отримано на виході. Зазвичай вхідна інформація базується на наявній статистиці
для наявних ІС та/або даних експертів. Розроблювана модель має містити
формальний опис об'єкта моделювання, що враховує відносини між елементами
ієрархічної структури АСУ ТП. Оскільки описані види моделей ефективні для
певних завдань з упущеннями, а в розглядуваному випадку відсутня можливість
визначити зв'язок або характер залежності, то на першому етапі необхідним є
використання теоретико-множинної моделі. Також розроблювана модель не
повинна пропонувати конкретних результатів, вона надає можливість
відстежити взаємодію активів, за необхідності отримання результату, можна
скористатися додатково різними моделями із сімейства вищеописаних.
37
Таким чином, пропонована модель використовуватиме теоретико-
множинний підхід, саме в такому вигляді зручно формалізувати концептуальний
опис системи, оскільки концептуальна модель зрештою являє собою опис певної
структури взаємопов'язаних понять і відносин між ними.

2.2. Модель автоматизованої системи управління критичної
інфраструктури
Для моделювання АСУ ТП та її елементів пропонується використовувати
теоретико-множинний підхід.

Рис. 2.1. Взаємозв'язок активів АСУ ТП
38
Насамперед, необхідно визначити всі множини елементів узагальненої
структури сучасної АСУ ТП, які можуть впливати на оцінку ризиків ІБ, і
відносини між ними, описані в попередньому розділі.
Відносини перелічених множин активів представлено на схемі (рис. 2.1).
Модель критичних процесів
Взаємодію КП з польовим обладнанням представлено у вигляді схеми
(рис. 2.2).

Рис. 2.2. Взаємодія КП з нижнім рівнем АСУ ТП

Модель КП АСУ ТП визначається у вигляді кортежу:

����КП = 〈����ТП, ����КУ, ����КП〉

де ����ТП = ����КП ∪ ����ниж – множина елементів ТП, ����КП – множина елементів КП,
����ниж – множина елементів нижнього рівня АСУ ТП; ����КУ = ����конт ∪ ����упр – множина
процесів із контролю та управління (КУ) КП, ����конт – множина процесів контролю
КП, ����упр – множина процесів управління КП; ����КП = 〈����ТП, ����КП〉 – формалізація
структури взаємодії КП із нижнім рівнем АСУ ТП у вигляді графа, вершини –
множина ТП, ребра – множина КУ.
39
Модель технічного забезпечення
Керування технологічним процесом вимагає застосування спеціальних
технологічних рішень побудови мереж передавання даних. Як описувалося
раніше, структура АСУ ТП будується за ієрархічним принципом. Зазвичай у
промислових АСУ ТП виділяють 3 рівні [7-9]:
− нижній рівень, або рівень введення даних, виконавчих пристроїв:
датчики (датчики температури, тиску тощо) і виконавчі механізми;
− середній рівень, або рівень автоматичного керування: промислові
контролери, що керують виконавчими механізмами і, за необхідності,
передають дані з датчиків на верхній рівень;
− верхній рівень, або рівень операторського управління: централізоване
дистанційне керування, засноване на SCADA або DCS і сучасних
розробках у сфері інформаційних технологій (сервера
введення/виведення, робочі місця операторів і диспетчерів, бази даних,
ПЗ для збирання даних, візуалізації та моніторингу ТП).
Модель ТЗ АСУ ТП визначається у вигляді кортежу:

����ТЗ = 〈����ТЗ, ����ФС〉

де ����ТЗ = ����ниж ∪ ����серед ∪ ����верх ∪ ����ЗЗ – множина елементів ТЗ [17]; ����ниж =����датч ∪ ����ВМ
– множина елементів нижнього рівня АСУ ТП, ����датч – множина датчиків, ����ВМ –
множина виконавчих механізмів; ����верх = ����серв ∪ ����АРМ – множина елементів
верхнього рівня, ����АРМ – множина АРМ, ����серв – множина серверів;
����ФС =〈����ТЗ, ����КС〉 – формалізація фізичної структури АСУ ТП у вигляді графа,
вершини – множина елементів ТЗ, ребра – множина КС.
Модель інформаційного забезпечення
Модель використання ІЗ АСУ ТП визначається у вигляді кортежу:

����ІЗ = 〈����ІЗ, ����КС, ����ІЗ〉
40
де ����ІЗ = ����сиг ∪ ����под ∪ ����дан – множина елементів ІЗ, ����сиг – множина сигналів, ����под –
множина протокольованих подій, ����дан – множина даних; ����ІЗ: ����ІЗ → {0,1} –
відношення, що визначає використання КС певних ІЗ.

2.3. Методи оцінки ризиків інформаційної безпеки
Для автоматизації технологічних процесів використовуються АСУ ТП,
побудовані з урахуванням ПЛК [9]. Одним із завдань коректного
функціонування АСУ ТП є забезпечення ІБ цих систем.
Важливо відзначити, що функціонування АСУ ТП складно порушити через
наступні обставини:
− ПЗ кожній АСУ ТП, як правило, пропрієтарне та закрите [4];
− у локальній мережі користувачів на верхньому рівні АСУ ТП,
проблеми з безпекою можна вирішити організацією коректної політики
обмеження доступу;
− проникнення в АСУ ТП пов'язане з великими інтелектуальними
витратами, а вигода для зловмисника очевидна [5].
Проте інциденти, пов'язані із зараженням АСУ ТП промислових
підприємств такими шкідливими програмами як Stuxnet [7], Duqu [9], Flame [7],
WannaCry [8] та інші, свідчать про протилежне. Більше того, факт, що
підприємства передають дані у зовнішні мережі, наприклад, в центральний офіс,
показують, що такі системи необхідно захищати, т.я. через можливе
використання інформаційних технологій як інструменту тиску та протиборства.
Це знайшло відображення у Стратегії національної безпеки США 2015 року.
Необхідно відзначити, що атакам піддаються не тільки пристрої верхнього
рівня, але також пристрої середнього та нижнього рівня [27]. Це змушує по-
новому поставити питання, пов'язані з ІБ підприємств, які використовують АСУ
ТП.
Об'єднання пристроїв у мережу, наявність з'єднань між різними зонами, а
також поява інтерфейсів для віддаленого обслуговування створюють умови, за
яких виникають загрози ІБ для АСУ ТП та підприємства загалом.
41
Враховуючи, що АСУ ТП є суб'єктами критичних інформаційних
інфраструктур (КІІ), до систем автоматизації таких підприємств висуваються
підвищені вимоги щодо забезпечення стабільності роботи процесів та надійності
їх функціонування.
Подібні вимоги зумовлюють наявність особливого підходу до оцінки
ризиків при побудові та підтримці системи захисту інформації АСУ ТП від
загроз ІБ.
За відсутності адекватної оцінки ризиків складно відповісти на запитання
про початок побудови системи захисту інформації, необхідних ресурсах, видах
загроз, від яких слід захищати, про типи достатніх та пріоритетних контрзаходах
[10]. Важко також вирішувати завдання оцінки необхідності та достатності
певного набору контрзаходів, їх адекватності існуючим ризикам [7]. Таким
чином, завдання оцінки ризиків, пов'язаних із здійсненням атак на АСУ ТП є
першочерговою [11].
Попередній аналіз підходів до оцінки ризиків ІБ промислових систем
показує складність у виборі єдиного алгоритму розрахунку впливу загроз [12].
Метод SANS Institute
У роботах [33,34] для розрахунку оцінки серйозності мережевої атаки
використовується метод, запропонований в Інституті SANS Стівеном
Норткатом.
Відповідно до цього методу атаки різного ступеня критичності, вимагають
різного рівня реагування. Критичність атаки (Severity) визначається величиною
ризику з його здійсненням. Розмір ризику, своєю чергою, визначається
ймовірністю успішного здійснення атаки та величиною можливих збитків.
Величина можливої шкоди визначається значимістю ресурсів (Criticality), проти
яких спрямована атака. Ймовірність успішного здійснення атаки (Lethality)
визначається ефективністю методів та величиною вразливості системи захисту,
що використовуються для її здійснення. Величина вразливості визначається
ефективністю контрзаходів системного (System countermeasures) та мережевого
42
рівня (Network countermeasures), що використовуються для протидії цьому виду
загроз [15].
Формула для визначення рівня серйозності атаки виглядає наступним
чином [16]:

Severity = (Criticality + Lethality) - (System Countermeasures +
+ Network Countermeasures)

Ця формула може використовуватися для визначення величини ризиків,
пов'язаних з атаками, виявленими на основі IDS, під час аналізу результатів
моніторингу мережного трафіку. Зазвичай інтерес становлять лише атаки, для
яких величина ризику перевищує певне значення.
Для визначення рівня серйозності атаки (Severity) використовується
числова шкала в діапазоні {-10; 10}.
Значимість мережного ресурсу (Criticality) визначається, виходячи з
призначення мережного ресурсу і виконуваних ним функцій та приймає
значення від 1 до 5. Як правило, використовують наступну шкалу [15]:
− МЕ, DNS-сервер, маршрутизатор – 5;
− поштовий шлюз – 4;
− UNIX-робоча станція – 2;
− Windows робоча станція – 1.
Імовірність успішного здійснення атаки та вид збитків (Lethality) приймає
одне з наступних значень:
− атакуючий може отримати права адміністратора на віддаленій
системі – 5;
− відмова в обслуговуванні в результаті здійснення мережевої атаки – 4;
− отримання прав непривілейованого користувача на віддаленій
системі – 3;
− розкриття конфіденційної інформації в результаті здійснення
несанкціонованого мережного доступу – 2;
43
− ймовірність успішного здійснення атаки дуже мала – 1.
Ефективність реалізованих контрзаходів системного рівня (System
Countermeasures) приймає такі значення:
− сучасна ОС, встановлені всі актуальні пакети оновлення,
використовуються додаткові засоби захисту – 5;
− застаріла версія ОС, встановлені не всі пакети оновлень – 3;
− відсутні спеціалізовані засоби захисту, відсутні політика управління
паролями, паролі передаються через мережу у відкритому вигляді – 1.
Ефективність реалізованих контрзаходів мережного рівня (Network
Countermeasures) приймає такі значення:
− МЕ, що реалізує принцип мінімізації привілеїв, є єдиною точкою входу
до мережі – 5;
− МЕ та наявність додаткових точок входу в мережу – 4;
− МЕ, що дозволяє все, що явно не заборонено – 2.
Головним недоліком такого методу є сувора прив'язка до заздалегідь
певної шкали відповідності, внаслідок чого при нестандартному сценарії атаки,
її точна оцінка неможливо.
Метод CRAMM
У 1985 році Центральне агентство з комп'ютерів та телекомунікацій (CCTA
– Central Computer and Telecommunications Agency) Великобританії розробило
новий метод, який відповідає власним вимогам – CRАММ (CCTA Risk Analysis
& Management Method). В основі методу CRAMM лежить комплексний підхід до
оцінки ризиків, що поєднує кількісні та якісні методи аналізу ризиків. Окремі
фрагменти цього методу використовувалися в роботах [19,24]. Дослідження ІБ
системи за допомогою Метод CRAMM проводиться в кілька етапів.
На першому етапі проводиться формалізований опис кордонів
інформаційної системи, її основних функцій, категорій користувачів, а також
персоналу, який бере участь у обстеженні. На етапі ідентифікації та оцінки
ресурсів описується та аналізується все, що стосується ідентифікації та
визначення цінності ресурсів системи. В кінці цього етапу замовник дослідження
44
знатиме, чи задовольнить його існуюча традиційна практика або потребує
проведення повного аналізу ризиків. В останньому випадку буде побудовано
модель інформаційної системи з позиції ІБ [18].
Етап оцінювання загроз та вразливостей не є обов'язковим, якщо
замовника задовольнить базовий рівень ІБ. Цей етап виконується при проведенні
повного аналізу ризиків. Рівень загроз та вразливостей оцінюється після
відповіді на згенерований список питань, що допускають однозначну відповідь.
На основі цієї інформації розраховуються рівні ризиків у дискретній шкалі з
градаціями від 1 до 7.
Етап аналізу ризиків дозволяє оцінити ризики на основі зроблених оцінок
загроз та вразливостей при проведенні повного аналізу ризиків, або
використання спрощених методик для базового рівня безпеки.
Причому CRAMM містить дуже велику бібліотеку контрзаходів. З більш
ніж 3000 детальних контрзаходів, організованих у понад сімдесят логічних груп
[17]. У методиці CRAMM під оцінкою рівня загрози мається на увазі частота її
виникнення, а під оцінкою рівня вразливості – ймовірність успішної реалізації
загрози. Така оцінка цих параметрів не дозволяє найбільш точно сортувати
загрози та вразливості за рівнем небезпеки, т.я. найнебезпечніші, проте рідкісні
загрози, матимуть низьку оцінку.
Методика FRAAP
Методика FRAAP (Facilitated Risk Analysis and Assessment Process)
розроблена Томасом Пельтьє. Основним завданням FRAAP є захист інформації,
що, у свою чергу, призводить до розмежування між власником, адміністратором
та користувачем даних [17]:
− власники класифікують дані та визначають/контролюють захисні
заходи; зрештою вони несуть відповідальність за конфіденційність,
цілісність та доступність даних;
− адміністратори здійснюють певні власником вимоги щодо класифікації
та виконання захисту даних;
45
− користувачі – це уповноважені особи, які мають доступ до даних; вони
повинні дотримуватися класифікації та контролю доступу, визначені
власниками та застосовувані адміністраторами.
Ці тристоронні відносини посилюють необхідність ретельного планування
та стандартів управління даними.
Попередній етап у методиці FRAAP концентрується на тому, що дослідник
працює безпосередньо з власником даних, щоб визначити: загальні організаційні
бізнес-мети, обсяг оцінки ризику, тимчасові та бюджетні обмеження,
адміністративні вимоги та вимоги до документації. На цьому етапі визначаються
учасники для наступного етапу FRAAP. Учасники повинні мати достатній досвід
для виявлення та розуміння відповідних загроз, а також для надання зворотного
зв'язку необхідного для завершення оцінки ризиків.
На наступному етапі FRAAP дослідник працює з учасниками, визначеними
раніше. На основі якісних оцінок учасники оцінюють ймовірність реалізації
загрози та потенційні збитки у разі реалізації загрози. Виходячи з якісних оцінок
учасників будується матриця ризиків, відповідно до якої кожній загрозі
присвоюється оцінка ризику [19].
Заключним етапом є формування плану дій, в якому перераховані
ідентифіковані загрози, відповідальна група (власники, адміністратори,
користувачі), оцінка ризику та способи зниження оцінки ризику кожної загрози.
У цій методиці при обчисленні оцінки ризику не враховуються
уразливості, однакові для кількох типів загроз. Таким чином, можлива ситуація,
за якої одна вразливість врахована кілька разів при оцінці взаємопов'язаних атак,
що призведе до неточності підсумкової оцінки.
Метод OCTAVE
Метод OCTAVE (Operationally Critical, Threat, Asset and Vulnerability
Evaluation) розроблений в Інституті розробки програмного забезпечення в
Університет Карнегі-Меллона. Особливістю методу є можливість провести
аналіз ризиків тільки із залученням працівників підприємства без консультантів
зовнішніх організацій. Для всебічної оцінки наслідків при реалізації загроз у
46
сфері ІБ формується група учасників з технічних фахівців та керівників усіх
підрозділів [10]. Цей метод складається з трьох фаз:
− розробка профілю загроз, пов'язаних з активом;
− ідентифікація інфраструктурних вразливостей;
− розробка стратегії та плану безпеки.
На першому етапі групи учасників збирають інформацію про активи
організації, що визначають вразливості, загрози та поточні захисні заходи.
На другому етапі група учасників розширює результати, отримані на
першому етапі, аналізуючи інфраструктуру, пов'язану з виявленими активами, та
додаючи нові вразливості.
На третьому етапі оцінюються ризики на основі звітів попередніх двох
етапів. Розмір ризику визначається як усереднена величина річних втрат
організації внаслідок реалізації загроз безпеці. Необхідно враховувати, що при
оцінці ризику в OCTAVE враховується лише потенційні збитки без оцінки
ймовірності його реалізації. Далі за оцінкою ризиків розробляються стратегії та
плани безпеки щодо зниження ризиків трьох типів: короткострокові,
середньострокові та довгострокові.
Метод OCTAVE використовується в роботах [10,17] при оцінці ризиків ІБ
та впровадження процесів управління ризиками. Важливим етапом у цих методів
є ідентифікація інфраструктурних уразливостей, яка передбачає визначення
інфраструктури виділених на початковому етапі активів та оточення, яке може
отримати доступ до цього активу.
Недолік OCTAVE в тому, що при оцінці ризику формується лише оцінка
очікуваного збитку. Тобто, без оцінки ймовірності, що дозволяє вкрай
малоймовірним ризикам з високою шкодою бути пріоритетними для більш
ймовірних ризиків.
Порівняння підходів до аналізу ризиків
Для порівняння розглянутих підходів до аналізу ризиків будемо
використовувати такі критерії:
− оцінювати загрози з довільними параметрами;
47
− при оцінці ризику враховується потенційна шкода та ймовірність
реалізації загрози;
− облік негативних наслідків для групи вразливостей;
− зв'язок збитків при реалізації загрози з ієрархією активів.
На основі перерахованих вище критеріїв проведено порівняння
аналізованих підходів у таблиці 2.1.

Таблиця 2.1
Системний аналіз підходів до аналізу ризиків
Критерії SANS CRAMM FRAP OCTAVE
Оцінка загроз із довільними
Ні Ні Так Так
параметрами
Облік потенційної шкоди та
Так Ні Так Ні
ймовірності реалізації загрози
Врахування негативних
наслідків для групи Ні Ні Ні Так
вразливостей
Зв'язок збитків при реалізації
Ні Так Ні Ні
загрози з ієрархією активів

Слід звернути увагу на те, що більшість характеристик у розглянутих
підходах аналізу ризиків (табл. 2.1) ґрунтуються на якісних оцінках, що знижує
їх ефективність [11].
Також запропоновані методи дозволяють оцінити ризики для окремих
ділянок системи та не завжди враховують наслідки для системи загалом, тобто
при оцінці ризиків не розглядаються негативні наслідки для атак, які
використовують сукупність уразливостей, що досить критично для промислових
мереж АСУ ТП [18]. Таким чином, необхідно розробити власну методику
обчислення оцінки ризиків ІБ АСУ ТП.

48
2.4. Модель загроз автоматизованих систем критичної інфраструктури
Модель загроз АСУ ТП КІ [11] визначається як кортеж:

����загр = 〈����, ����, ����, ����загр, ������������, ������������〉

де ���� – множина активів АСУ ТП; ���� – множина вразливостей; ���� – множина загроз
ІБ; ����загр = ���� × ���� × ���� – формалізація моделі загроз у вигляді тридольного графа
[12] (рис. 2.3); ������������: ���� → {0,1} – відношення, визначальний вплив на вразливість;
������������: ���� → {0,1} – відношення, яке визначає вплив на загрози.

Рис. 2.3. Модель загроз АСУ ТП

Для управління ризиками ІБ у аналізованому АСУ ТП необхідно визначити
особу, що приймає рішення, яка приймає остаточне рішення за необхідності на
окремих етапах цього процесу [6]. Протягом процесу також необхідно
сформувати експертну групу (ЕГ), яка оцінює значення необхідних параметрів.
49
Група представлена у вигляді множини ���� (при цьому |����| > 0), де кожному
експерту �������� призначається вага ������������. Експерт визначає множину активів згідно з
моделлю.
Алгоритм оцінки значимості активів
Оцінивши збитки, які можуть бути викликані припиненням або
порушенням виконання кожного КП необхідно визначити значимість активів
АСУ ТП, що залишилися, які забезпечують працездатність КП. Для цього
необхідно побудувати ієрархію залежності активів і на кожному рівні визначити
значущість активів, попарно порівнюючи всі залежні активи на одному рівні
[17].
Таким чином, для оцінки значущості активів АСУ ТП розроблено алгоритм
оцінки значимості активів АСУ ТП, що включає такі кроки.
Крок 1. Здійснюється оцінка значимості всіх елементів множини КП АСУ
ТП.
Крок 2. На основі графів ����КП, ����ФС і ����ЛС та відношень ����ТС, рівня ІЗ (рис. 2.5).
Крок 3. Передбачається, що витрати та втрати кожного КП незалежні один
від одного, тому витрати та втрати для кожного елемента рівня ТЗ адитивні. При
цьому тимчасові витрати та втрати є залежними, відповідно, для кожного
елемента рівня ТЗ використовується максимальне із значень, пов'язаних з КП.
Таким чином, оцінка значущості буде мати наступне значення:

Крок 4. Далі для побудованих на етапі 2 ієрархій залежності кожного із
елементів рівня ТЗ застосовується МАІ, тобто кожен параметр, оцінка
значущості розподіляється між залежними елементами більш низького рівня.
Внаслідок виконання алгоритму у кожного з активів АСУ ТП визначається
оцінка значимості. Якщо актив ніяк не впливає на КП, його оцінка значимості
дорівнює нулю. Для описаного алгоритму побудовано покрокову блок-схему
(рис. 2.4).
50

Рис. 2.4. Блок-схема виконання алгоритму

Висновки
Для вибору конкретної технології моделювання захисту АСУ ТП, у першу
чергу, використовуємо формалізовані моделі і такі критерії:
− простота визначення вхідних параметрів моделі (модель може
використовувати різні дані як вихідні, однак можливості отримання
цих даних можуть бути завданнями різної складності);
− можливість урахувати різнорідність елементів системи кожного рівня
АСУ ТП і зв'язок між ними;
− відображення взаємодії активів АСУ ТП і вплив цих зв'язків на оцінку
інформаційних ризиків.
51
Наукова новизна моделі АСУ ТП КІ полягає в описі особливостей
багаторівневої структури АСУ ТП, що відрізняється наявністю відношення між
активами та КП, що дає змогу на основі ієрархії взаємодії активів визначати
збитки від впливу потенційних загроз.
У розглянутому розділі розроблено алгоритм оцінки збитків від реалізації
загрози АСУ ТП, алгоритм можливості реалізації загрози та методика оцінки
ризиків ІБ АСУ ТП. Оцінка ризиків ІБ АСУ ТП розраховується за допомогою
оцінок збитків та можливості реалізації загрози. Оцінка збитків від реалізації
загрози залежить від значимості активів.
52
РОЗДІЛ 3
РЕАЛІЗАЦІЯ МОДЕЛІ УПРАВЛІННЯ ІНФОРМАЦІЙНИМИ
РИЗИКАМИ

3.1. Класи реалізацій спрямованих на забезпечення інформаційної
безпеки
Більшість рішень на ринку для забезпечення ІБ представляють поєднання
програмних та апаратних «інструментів, але для реалізації функціоналу
вимагають інтеграції у промислову мережу. Враховуючи, що основним
завданням АСУ є забезпечення безперервності ТП, впровадження подібних
засобів забезпечення ІБ у системах, у яких спочатку не передбачено та
протестовано їх використання, може частково чи повністю несприятливо
вплинути на весь ТП [40].
Можливі проблеми можуть бути викликані як несумісністю обладнання
або програмного забезпечення, так і вбудованим функціоналом блокування
додаткових програмно-апаратних засобів. З огляду на те, що АСУ ТП може
застосовуватися на небезпечному промисловому об'єкті, подібна дія може бути
причиною відмови обладнання або навіть аварії. Тому при виборі рішень для
захисту системи необхідно керуватися насамперед мінімальним втручанням у
виробничі процеси [15].
Із запропонованих на ринку класів рішень, які надають мінімальний вплив
на систему і підвищують рівень її ІБ, можна назвати такі «класи» [13,16]:
− засоби мережевого екранування;
− системи забезпечення односторонньої мережевої взаємодії;
− системи виявлення вторгнень;
− дублювання та перенаправлення технологічного трафіку;
− кореляція інцидентів та моніторинг подій ІБ;
− сканери вразливостей;
− засоби моделювання загроз.
53
Засоби мережевого екранування (МЕ)
МЕ – це система мережної безпеки, яка відстежує та контролює вхідний та
вихідний мережевий трафік на основі заздалегідь визначених правил безпеки.
МЕ зазвичай поділяються на мережеві та хостові. Мережеві брандмауери
розташовані на комп'ютерах-шлюзах локальних мереж, глобальних мережах та
інтрамережах. Вони представляють програмні рішення, що працюють на основі
апаратного забезпечення загального призначення або окремі пристрої з
вбудованою ОС. МЕ на основі хоста розташовані на мережному вузлу та
контролюють вхідний та вихідний мережевий трафік цих пристроїв.
У кожного типу МЕ є переваги та недоліки. Однак у промислових мережах
застосування найчастіше знаходить мережевий тип МЕ. Його використовують
для встановлення бар'єру між довіреною внутрішньою мережею та
«ненадійною» зовнішньою мережею. У разі АСУ ТП це відповідає наступному:
між промисловою мережею та корпоративною.

Рис. 3.1. Застосування промислових мережевих екранів на рівні АСУ ТП

Іноді МЕ може застосовуватися і всередині промислової мережі між
верхнім та середнім рівнями контролю мережевого трафіку. У цьому випадку
54
правила доступу налаштовуються таким чином, що до списку відкритих портів
входять необхідні промислові протоколи. Наприклад, доступ до порту TCP 502
(Modbus TCP).
Однією з різновидів МЕ є «промислові польові МЕ» – використовуються
лише на рівні контролерів (рис. 3.1). Основними вендорами, які постачають
подібний тип устаткування, є зарубіжні компанії, проте ведуться вітчизняні
розробки у цьому напрямі [34].
Основною відмінністю промислових польових МЕ є контроль сесії
промислових протоколів на прикладному рівні, а не лише на мережевому. Таким
чином, промислові польові МЕ можуть проводити повноцінну інспекцію
промислових протоколів на рівні додатків, дозволяючи гнучкіше налаштовувати
допустимий у промисловій мережі трафік.
При захисті промислової мережі між рівнями АСУ ТП також важливими є
технічні характеристики, такі як вимоги до вібраційних навантажень, робочої
температури, вологостійкості. Виходячи з цих параметрів можна визначити,
наскільки конкретний пристрій відповідає експлуатаційним вимогам до
мережного обладнання на конкретному об'єкті.
Системи забезпечення односторонньої мережевої взаємодії
Системи забезпечення односторонньої мережевої взаємодії (рис. 3.2),
також відомі як односпрямовані шлюзи та діоди даних, – це пристрої зв'язку, які
забезпечують безпечну односторонню передачу даних між сегментованими
мережами. Інтелектуальна конструкція таких систем підтримує фізичний та
електричний поділ мереж джерела та призначення. При цьому встановлюється
немаршрутизований, повністю закритий, односторонній протокол передачі між
мережами. Забезпечення безпеки потоків даних у мережі з використанням
систем односторонньої міжмережевої взаємодії унеможливлює передачу
небезпечних або ворожих шкідливих програм, а також віддалений доступ до
промислових систем [17].
Таким чином, застосування технологій односторонніх шлюзів у
промислових мережах дозволяє безпечно передавати інформацію тільки в
55
одному напрямку, від захищених областей (АСУ ТП) до менш захищених систем
(корпоративний сегмент мережіі), виключаючи можливість проникнути у
промислову мережу ззовні. Подібне рішення на відміну від популярніших:
OPC- , MES- (Manufacturing Execution System) серверів, набагато ефективніше
захищає від спроб несанкціонованого доступу до мережі АСУ ТП, так як
зловмисник фізично не має доступу з корпоративного сегменту до промислового.

Рис. 3.2. Система забезпечення односторонньої мережевої взаємодії

Для повноцінної роботи «діода даних», йому потрібні проксі-сервери:
внутрішній (перебуває у промисловому сегменті мережі) і зовнішній
(знаходиться у корпоративному сегменті мережі). Взаємодія між проксі-
серверами відбувається в одному напрямку, наприклад, від зовнішнього до
внутрішнього. У зворотному напрямку проксі-сервери не можуть взаємодіяти
через використання діода даних. У ньому на апаратному рівні виключено
інтерфейс щодо прийому інформації від внутрішнього проксі-сервера [18].
Існує безліч варіантів використання систем односторонньої мережевої
взаємодії в АСУ ТП (рис. 3.3):
− відправлення даних через OPC Server ресурсів в сегмент корпоративної
мережі для моніторингу та аналізу інформації;
56
− забезпечення взаємодії елементів ієрархії WSUS (Windows Server
Update Services) сегментів корпоративної мережі та АСУ ТП;
− пересилання журналів аудиту у форматі syslog для SIEM-систем
(Security Information and Event Management), розташованих поза
сегментом АСУ ТП;
− віддалене обслуговування обладнання АСУ ТП, із залученням
кваліфікованої сервісної підтримки, що виключає виток інформації
[19].

Рис. 3.3. Схема роботи системи забезпечення односторонньої мережевої
взаємодії

Діод даних також може застосовуватися у випадках, коли існують вимоги
щодо контролю двонаправленого з'єднання.

Рис. 3.4. Приклад використання двонаправленої схеми односторонньої
мережевої взаємодії
57
Дані з корпоративної мережі перед передачею у промислову мережу
проходять через DMZ, де встановлено систему фільтрації. Таким чином, діод
даних забезпечує контроль даних, що направляються в захищену мережу
(рис. 3.4).
Система виявлення вторгнень
Система виявлення вторгнень – це апаратне або програмне рішення, яке
відстежує мережу або системи на предмет шкідливих дій або порушень політики
безпеки. Про будь-які зловмисні дії та порушення зазвичай або повідомляється
адміністратору, або інформація про ці дії збирається централізовано з
використанням системи захисту інформації та управління подіями (SIEM) [15].
Основна відмінність системи виявлення вторгнень (СВВ) від МЕ полягає в
тому, що МЕ обмежує доступ між мережами, щоб запобігти вторгненню та не
сигналізує про напад усередині мережі. СВВ, в свою чергу, описує
передбачуване вторгнення і сигналізує про небезпеку. Також СВВ відстежує
атаки, що виходять із ОС. Зазначені можливості досягаються вивченням
мережевих взаємодій, виявлення евристики та сигнатур поширених
комп'ютерних атак; вжиття заходів щодо попередження операторів АСУ ТП,
спеціалістів з ІБ.
Типи СВВ варіюються, і вони застосовуються, починаючи від окремих
комп'ютерів і великих мереж. Найбільш поширеними класифікаціями СВВ є
мережеві системи виявлення вторгнень (NIDS) та хост-системи виявлення
вторгнень (HIDS). Система, яка відстежує важливі файли операційної системи, є
прикладом HIDS, а система, яка аналізує вхідний мережевий трафік, є прикладом
NIDS. Також можна класифікувати СВВ із використанням підходу до виявлення.
Найбільш відомі варіанти – це сигнатурне виявлення (розпізнавання
небезпечних сигнатур, таких як шкідливі програми або атаки) та виявлення на
основі аномалій (виявлення відхилень від моделі допустимого трафіку, яка часто
спирається на машинне навчання).
Розширений варіант СВВ зі здатністю реагування на виявлені вторгнення
називається системою запобігання вторгненням. У промислових мережах такий
58
засіб захисту не рекомендується використовувати у зв'язку з потенційною
можливістю блокування технологічних процесів у разі виявлення аномальної та
шкідливої мережної активності, що може суттєво вплинути на всю промислову
мережу загалом. Тому використання СВВ з відсутністю можливості реагувати на
виявлені вторгнення є прийнятним варіантом.
Дублювання та перенаправлення технологічного трафіку
Дублювання та перенаправлення мережевих пакетів називають
віддзеркалюванням. Як правило, віддзеркалізація портів використовується на
мережному комутаторі для відправлення копій всіх або окремо взятих VLAN
вхідних та/або вихідних мережних пакетів, одержуваних на одному або
декількох портах, на окремий інтерфейс для моніторингу мережного трафіку
[11]. З точки зору безпеки найефективніше цей метод може використовуватися
спільно з попереднім засобом захисту – СВВ [16]. Спосіб найбільш прийнятний
для реалізації при використанні промислових мереж СВВ, так як це гарантує, що
з аналізу трафіку відсутні загрози роботи промислової мережі.
Ще одним корисним застосуванням віддзеркалювання портів є аналіз та
налагодження отриманої інформації або діагностики помилок у мережі. Це
допомагає системним адміністраторам уважно стежити за продуктивністю
мережі та сповіщати їх у разі виникнення проблем.
Кореляція інцидентів та моніторинг подій ІБ
У сфері комп'ютерної безпеки програмні продукти та послуги із захисту
інформації та управління подіями (SIEM) об'єднують управління інформаційною
безпекою (SIM) та управління подіями безпеки (SEM). Вони забезпечують у
реальному часі аналіз попереджень безпеки, що генеруються додатками та
мережевим обладнанням.
Застосування SIEM може представляти як програмне або апаратне
рішення, так і послугу, що надається [12]. Цей клас рішень може виконувати такі
функції:
− агрегація даних – збирання та обробка даних з кількох джерел,
включаючи мережні пристрої, сервери, бази даних, додатки, журнали
59
безпеки, забезпечуючи можливість консолідувати відстежувані дані
таким чином, щоб важливі події не залишилися непоміченими [12];
− кореляція – пошук загальних атрибутів та об'єднання подій у осмислені
зв'язки, що надає можливість виконувати різні методи пошуку
взаємозв'язку при інтеграції різних джерел, щоб інформація про події
була найбільш повною та не містила повторів;
− оповіщення – автоматизований аналіз оброблених подій з
повідомленням про інциденти;
− панелі інструментів – інструменти для моніторингу в режимі реального
часу, які можуть збирати дані про події та перетворювати їх на
інформаційні діаграми, щоб наочно надати можливість відстежити
закономірності або ідентифікувати дії, які є аномальними [15];
− перевірка на відповідність вимогам – система може застосовуватися
для автоматизації перевірки зібраних даних на відповідність вимогам
безпеки, складання звітів, що адаптуються до існуючих процесів чи
аудиту безпеки;
− зберігання – використання довготривалого зберігання неактуальних
даних для більш точної кореляції даних з часом, а також для
розслідування потенційних інцидентів;
− криміналістичний аналіз – можливість пошуку за журналами подій
доступних вузлів мережі у різні відрізки часу на основі певних
критеріїв.
Основна увага приділяється моніторингу та управління правами
користувачів та служб, службами каталогів та інших змін конфігурації системи,
а також реагування на інциденти [6]. Система SIEM поєднує вихідні дані з
кількох джерел та використовує методи фільтрації аварійних сигналів, щоб
відрізнити шкідливу активність від хибних аварійних сигналів. Це дозволяє
позбутися необхідності стежити за різними консолями засобів захисту та вручну
аналізувати отриману з них інформацію про події, максимально
автоматизувавши і спростивши цей процес [13].
60
У разі коли розглядається технологічний сегмент підприємств, де
необхідний цілодобовий контроль справності промислових систем, крім
вищезазначеного функціоналу, рішення можуть стати одним із компонентів, що
використовуються в «комплексному ситуаційному центрі». У його рамках
формується єдина точка відстеження як технічних показників систем та контроль
процесів, так і моніторинг управління інформаційною безпекою підприємства.
Сканери вразливостей
Сканер уразливостей – це комп'ютерна програма, яка призначена для
оцінки комп'ютерів, мережної інфраструктури або програм на наявність відомих
вразливостей. Вони використовуються для виявлення вразливостей, що
виникають через неправильну конфігурацію або помилки в програмному коді
мережевих пристроїв та програм, таких як МЕ, маршрутизатор, веб-сервер,
сервер додатків тощо [14].
Сучасні сканери вразливостей дозволяють виконувати сканування як з
автентифікацією, так і за її відсутності [15]. Більшість сканерів вразливостей
мають можливість формувати звіти про вразливості, а також про встановлене ПЗ,
відкриті порти, сертифікати та іншу інформацію про пристрій, яку можна
запросити під час сканування [15].
Сканування з аутентифікацією дозволяє сканеру отримувати прямий
доступ до мережевих ресурсів з використанням протоколів віддаленого
адміністрування, таких як SSH або RDP, та аутентифікуватись з використанням
наданих системних облікових даних. Це дозволяє сканеру вразливостей
отримувати доступ до даних низького рівня, таких як певні служби та відомості
про конфігурацію ОС пристрою. Після сканування надається докладна та точна
інформація про ОС та встановлене ПЗ, включаючи недоліки конфігурації та
відсутні виправлення безпеки.
Сканування без аутентифікації – це метод, який може призвести до великої
кількості помилкових спрацьовувань і не дозволяє надати детальну інформацію
про певні служби та конфігурацію ОС, а також встановлене ПЗ. Цей метод
зазвичай використовується суб'єктами загроз або аналітиками безпеки, які
61
намагаються визначити стан безпеки доступних зовнішніх активів.
Використання сканерів вразливостей у мережах АСУ ТП дозволяє
автоматизувати процес пошуку недоліків конфігурації використовуваного
обладнання. Однак необхідно враховувати, що такий клас рішень також
здійснює навантаження на промисловий трафік та обладнання. Внаслідок цього
може порушуватися безперервний процес керування технологічними системами.
Засоби моделювання загроз
Моделювання загроз – це процес, на основі якого потенційні загрози, такі
як структурні вразливості, можуть бути ідентифіковані, перераховані та
розподілені за пріоритетами на ранньому етапі проектування – з погляду
гіпотетичного зловмисника. Метою моделювання загроз є надання фахівцям із
захисту інформації систематичного аналізу профілю ймовірного зловмисника,
найбільш ймовірних векторів атаки та активів організації, схильних до більш
ймовірного нападу [9].
На відміну від сканерів вразливостей, засоби моделювання загроз не
вимагають взаємодії з пристроями для аналізу поточних вразливостей. Тому в
засобах моделювання загроз виключено такі недоліки сканерів вразливостей, як
вплив на промисловий трафік. Тому цей клас рішень дозволяє безпечно
визначити вразливість обладнання АСУ ТП, проте, на відміну від сканерів
вразливостей, етап дослідження інфраструктури відбувається не в
автоматичному режимі. Також на основі цього типу засобів можна проводити
аналіз та здійснювати управління ризиками використання АСУ ТП [16].
Як правило, процеси моделювання загроз, пов'язані з ІТ, починаються зі
створення візуального представлення додатка, що аналізується, або
інфраструктури мережі. Вони розбиваються на окремі елементи, щоб провести
максимально докладний аналіз системи загалом. Після завершення аналізу
візуальне подання використовується для перерахування потенційних загроз.
Подальший аналіз моделі щодо ризиків, пов'язаних з виявленими загрозами,
розстановкою пріоритетів загроз та перерахуванням відповідних
«пом'якшуючих загроз» заходів управління, залежить від методологічної основи
62
використовуваного процесу побудови моделі загроз [9]. У разі використання
засобів моделювання загроз для управління ризиками замість загроз можна
розглядати також несприятливі події [17].
Моделювання загроз бажано виконувати на ранніх етапах циклу
проектування АСУ ТП. При цьому потенційні проблеми можуть бути виявлені
на ранній стадії та усунуті, що дозволить уникнути більш складних розв'язань
проблеми у майбутньому. Використання моделювання загроз для аналізу вимог
безпеки може призвести до використання проактивних архітектурних рішень, які
допоможуть зменшити загрози з початку експлуатації системи.
Необхідно відзначити, що інформація є загальнодоступною і може
поширюватись на безоплатній основі із зазначенням джерела інформації.
Використання інформації, розміщеної в автоматизованих засобах контролю
захищеності інформації (сканерах безпеки), що створюються та
розповсюджуються в комерційних цілях, здійснюється за погодженням з
відповідним органом.
З іншого боку, слід розуміти, що іноземні реєстри відомих вразливостей
часто містять велику кількість записів, мало корисних для практичного
застосування, зокрема інформацію про застарілі вразливості неактуального ПЗ
та про вразливості специфічного та мало поширеного ПЗ.
Порівняння переваг та недоліків розглянутих класів забезпечення ІБ АСУ
ТП
Для вибору найбезпечнішого рішення, яке спрямоване на забезпечення ІБ
АСУ ТП необхідно сформувати перелік критеріїв для порівняння розглянутих
класів. Як критерії будемо використовувати такі характеристики:
− вплив на промисловий трафік;
− можливість роботи з ПЛК;
− зміна налаштувань використовуваного обладнання;
− використання аналізованого класу рішень у проектованому АСУ ТП.
На основі перелічених критеріїв проведено порівняння аналізованих класів
рішень у таблиці 3.1.
63
Таблиця 3.1
Порівняння актуальних класів рішень забезпечення ІБ АСУ ТП
Вплив на Можливість Зміна налаштувань Використання в
промисловий роботи з ПЛК використовуваного проектованому
трафік обладнання АСУ ТП
Засоби МЕ Впливає Працює Не змінюється Не
застосовується
Діод даних Впливає Працює Не змінюється Не
застосовується
Не
СВВ Впливає Працює Змінюється застосовується
Дзеркало
трафіку Не впливає Працює Змінюється Не
застосовується
SIEM-система Впливає Не працює Змінюється Не
застосовується
Сканери Не
вразливостей Впливає Не працює Змінюється застосовується
Засоби
моделювання Не впливає Працює Не змінюється Застосовується
загроз

3.2. Проектування структури бази даних
В результаті порівняння актуальних класів вирішення завдань
забезпечення ІБ АСУ ТП слід зауважити, що лише два класи (віддзеркалювання
трафіку та засоби моделювання загроз) при застосуванні в АСУ ТП у разі їх
некоректної роботи або отримання доступу зловмисником до цих засобів не
вплинуть на технологічний процес.
Також встановлення та налаштування засобів захисту інформації
здійснюється у випадках, якщо такі засоби необхідні для нейтралізації загроз
безпеці інформації, які неможливо виключити налаштуванням АСУ ТП. Тому
насамперед необхідно використовувати вбудований функціонал АСУ для
підвищення безпеки для усунення вразливостей поточної інфраструктури.
Виходячи з результатів лише три класи рішень (МЕ, діод даних та засоби
моделювання загроз) не вимагають маніпуляцій із працюючою системою:
налаштування мережного обладнання та впровадження додаткових програмних
або програмно-апаратних рішень у промислову мережу. Крім цього, слід
64
зазначити, що лише засоби моделювання загроз дозволяють ефективно
спроектувати промислову мережу, що ще не існує, на ранніх етапах усуваючи
потенційно можливі загрози [14].
Такий клас рішень – найбільш безпечний інструмент підвищення рівня ІБ
АСУ ТП [35]. Як випливає з таблиці порівняння існуючих методів управління,
багато з цих рішень орієнтовані виключно на рівень розробки ПЗ, і вони не
призначені для коректного моделювання загроз промислових мереж. Також
багато продуктів не дозволяють моделювати загрози з параметрами, яких не
існують в їх базі. У зв'язку з цим актуальним завданням є розробка засобу
моделювання загроз АСУ ТП з метою оцінки ризиків ІБ.
Через відмінності розглянутих вразливостей слід зазначити, що у кожної
БД є переваги і недоліки. Важливо розуміти, що великий обсяг БД CVE (NVD)
та SAaVD пов'язаний з вразливістю застарілого та малопоширеного ПЗ. Для
подальшого застосування методики оцінки ризиків ІБ необхідно мати великий
перелік відомостей про вразливість, при цьому доступ до цього переліку має бути
безкоштовним.
Ще одним важливим критерієм є оперативне оновлення та можливість
вивантаження даних для подальшого використання. Враховуючи, що в цьому
переліку БД найбільш прийнятною, виходячи із зазначених критеріїв, то вона
буде використовуватися для подальшого застосування засобу для моделювання
загроз для оцінки ризиків ІБ.
Для реалізації функціоналу продукту необхідно організувати зберігання
даних, що використовуються не тільки для розрахунків оцінки загроз, але і
відповідальних за інтерфейс об'єктів. Виходячи з порівняння СУБД, найбільш
зручною з точки зору відсутності прив'язки до сервера та невеликого займаного
простору бібліотекою є СУБД SQLite.
При проектуванні структури БД враховувалося, що деякі активи мають
додаткові параметри, які можуть використовуватися, наприклад, для фільтрації.
Загальну структуру БД [17], що використовується в комплексі моделювання
65
загроз (рис. 3.5), можна розділити на 5 тематичних блоків, у кожному з яких є
взаємопов'язані таблиці:
− 1 – блок таблиць, пов'язаних з поданням пристроїв та зв'язків;
− 2 – блок таблиць з інформацією про встановлене ПЗ та виправлення на
пристрої;
− 3 – блок таблиць з інформацією про вразливості та їх характеристики;
− 4 – блок таблиць з інформацією про загрози та їх характеристики;
− 5 – блок таблиць формування вектору вразливості.

Рис. 3.5. Структура бази даних
66
Для розробки засобу моделювання загроз необхідно джерело інформації, в
якому здійснюється пошук існуючих загроз і вразливостей. Таким джерелом
може бути БД уразливостей.
БД вразливостей – це платформа, призначена для збору, підтримки та
поширення інформації про виявлені вразливості комп'ютерної безпеки. У БД
вразливостей, як правило, описуються виявлені вразливості, оцінюється їх
потенційний вплив на вразливі системи та перераховуються способи їх усунення
(за наявності). Враховуючи різноманітність існуючих БД вразливостей,
необхідно розглянути найбільш популярні та підтримувані сьогодні, щоб
визначити, яка з них найбільше підходить для особливостей оцінки ризиків АСУ
ТП.
Common Vulnerabilities and Exposures
Розглянута БД Common Vulnerabilities and Exposures (CVE) містить
інформацію про загальновідомі вразливості інформаційної безпеки [11]. CVE
розроблено некомерційною дослідницькою корпорацією MITRE Corporation у
1999 році, і в даний час є основою для вказівки відповідності записів
вразливостей на багатьох ресурсах, пов'язаних з ІБ.
У документації корпорації MITRE ідентифікатори CVE (CVE-ID)
визначені як унікальні ідентифікатори для загальновідомих вразливостей ІБ у
програмному забезпечення. Враховуючи, що кількість вразливостей з кожним
роком зростає, порядковий номер за необхідності календарного року може
перевищувати чотири цифри.
На сьогоднішній день актуальними полями в CVE, є:
− опис – стандартизований текстовий опис проблеми;
− посилання – список URL-адрес;
− дата створення запису – дата внесення інформації про вразливість до
БД CVE, призначена безпосередньо MITRE.
Однією з головних переваг CVE є його широка підтримка в сучасних
програмних продуктах і сервісах, спрямованих на забезпечення ІБ. Далеко не
повний перелік видів цих продуктів та сервісів включає: БД та реєстри
67
вразливостей, сканери безпеки та засоби моніторингу, антивірусні засоби (CVE-
ID у сигнатурних правилах), системи виявлення\запобігання атакам, а також інші
засоби забезпечення ІБ.
Exploit Database
Альтернативним підходом до зберігання інформації про виявлені
вразливості ПЗ є реєстрація не вразливостей, а сценаріїв їх експлуатації
(експлойтів, exploits) або прикладів експлуатації вразливості (Proof of Concept –
PoC). Прикладом реалізації такого підходу є БД Exploit Database, створена
організацією Offensive Security Team, що спеціалізується на проведенні тренінгів
в галузі ІБ та тестування комп'ютерних систем на проникнення.
Exploit Database (ED) – це сховище публічних експлойтів для відповідного
вразливого ПЗ та прикладів експлуатацій уразливостей, що робить цю базу
цінним ресурсом для використання тестерами на проникнення [16].
Запис у базі ED містить наступне:
− опис вразливості;
− версії вразливих програм або їх компонентів;
− вразливу програмну платформу (ОС або фреймворк веб-додатку);
− CVE-ID, присвоєний цій вразливості (за його наявності);
− посилання на сторонні джерела інформації про вразливість;
− детальний опис причин виникнення вразливості;
− місця локалізації вразливості у коді (з безпосередньою демонстрацією
вразливого фрагмента коду, якщо код програми публічно доступний);
− опис працездатних сценаріїв експлуатації вразливостей або прикладів
PoC.
Також ведеться облік вразливих версій додатків, щоб дослідники, які
використовують ED, мали можливість відтворити наявність вразливості та
перевірити працездатність націленого на неї експлойта.
Причому ED широко використовується фахівцями, які проводять
тестування комп'ютерних мереж на проникнення, у складі інструментальних
засобів перевірки наявності вразливостей у досліджуваних мережах.
68
Такий підхід до зберігання інформації про виявлені вразливості міг би бути
корисним і як джерело інформації для сигнатурних систем виявлення атак і
подібних засобів моніторингу трафіку, але основним недоліком ED є той факт,
що в ній відсутній інтерфейс для отримання оновлень бази, можливість для
скачування архіву всіх актуальних записів та, в деяких випадках, угод про
використання матеріалів.
National Vulnerability Database
National Vulnerability Database (NVD) – база даних вразливостей, заснована
на стандартах протоколу автоматизації вмісту безпеки (Security Content
Automation Protocol – SCAP) [13]. NVD включає в БД недоліки, неправильні
конфігурації, назви продуктів і показники впливу. Ці дані дозволяють
автоматизувати керування вразливістю, вимірювання безпеки та відповідність
вимогам.
Формально БД CVE виступає початковим джерелом записів для NVD, а
фахівці бази NVD роблять уточнений аналіз і збір доступної інформації за
вразливістю, зареєстрованою в CVE, наприклад, збирають посилання на
сторонні джерела інформації про вразливість і заходи щодо її усунення або
запобігання експлуатації.
На відміну від Exploit Database ні CVE, ні NVD у записах про вразливості
не містять інформації про точне місце локалізації вразливості в коді вразливого
ПЗ та можливі вектори атак, на основі яких можлива експлуатація даної
вразливості. У деяких випадках ця інформація може бути знайдена за
посиланнями на зовнішні ресурси, однак у більшості випадків виробники та
вендори ПЗ уникають публікації цієї інформації, причому не тільки на період
розробки та впровадження патчів, що закривають виявлену вразливість, але й
надалі. Частково така політика пояснюється небажанням учасників CVE
Numbering Authorities надавати подібну інформацію потенційним зловмисникам,
особливо через те, що вразливе програмне забезпечення може бути широко
поширене, а організації, що його експлуатують, часто не мають можливостей або
не надають необхідного значення своєчасній установці оновлень [16].
69
3.3. Практична реалізація методу оцінки ризиків інформаційної
безпеки
Програмний комплекс управління інформаційними ризиками АСУ ТП
«Risk Identification and Management Security Host-based Appliance»
(R.I.M.S.H.A.), заснований на методиках оцінки та обробки ризиків ІБ АСУ ТП,
описаних раніше, призначений для ідентифікації існуючих вразливостей,
моделювання загроз та оцінки ризиків автоматизованих системах [19].
Програмний комплекс R.I.M.S.H.A. дозволяє побудувати топологію АСУ ТП,
зв'язавши елементи (АРМ операторів та інженерів, сервера введення-виведення
інформації, мережеве обладнання, ПЛК та інші), а також з польовим
обладнанням [14]. На основі побудованої топології обчислюється потенційні
збитки при реалізації загроз на кожен з елементів.
На основі отриманих даних визначається ризик для кожної з існуючих у
системі загроз. Програмний комплекс R.I.M.S.H.A. також дозволяє обчислювати
інформаційні ризики для проектованих промислових систем [41]. Джерелом
інформації для програмного комплексу R.I.M.S.H.A. є розроблена база даних
(рис. 3.5).
Інтерфейс головного вікна програмного комплексу R.I.M.S.H.A. (рис. 3.6)
містить 7 секцій елементів інтерфейсу [43]:
− 1 – «Головне меню» містить різні опції програмного комплексу;
− 2 – панель «Проектування топології» призначена для побудови
топології АСУ ТП переміщенням іконок обладнання з панелі «Список
елементів»;
− 3 – панель «Категорія елементів» містить список доступних категорій,
які використовуються в АСУ ТП елементів, при виборі одного з
елементів панелі змінюється список панелі «Підкатегорія елементів»;
− 4 – поле «Назва вибраного елемента» призначене для надання
відомостей про поточну категорію або підкатегорію вибраних
елементів;
70
− 5 – панель «Підкатегорія елементів» містить різні види певної категорії
елементів (наприклад, у мережевих пристроїв такими можуть бути
маршрутизатори, комутатори і так далі);
− 6 – панель «Список елементів» містить обладнання, за допомогою
якого проектується топологія АСУ ТП;
− 7 – панель «Властивості елемента» містить коротку інформацію про
вибраний елемент.

Рис. 3.6. Інтерфейс головного вікна програмного комплексу R.I.M.S.H.A.

Для перегляду детальної інформації про конкретний елемент
використовується форма ComponentInfo (рис. 3.7). Форма «ComponentInfo»
містить наступні 4 секції елементів інтерфейсу:
− 1 – область навігації «Характеристики елемента» призначена для
перемикання між різними відомостями про елемент: докладна
інформація, вразливість, загрози, найближчі сусіди;
71
− 2 – область «Відомості про елемент» містить докладну інформацію про
вибраний елемент;
− 3 – панель «Список встановленого програмного забезпечення» містить
список програмного забезпечення, яке встановлено на вибраному
елементі;
− 4 – «Зображення елемента» візуально відповідає підкатегорії вибраного
елемента.

Рис. 3.7. Форма для перегляду детальної інформації про елемент

Для ілюстрації факту наведено результат поліноміальної функції 6
порядку. Функція має досить «звивистий» характер, щоб «пройти поруч» з усіма
експериментальними точками.
Недолік: при додаванні нових експериментальних точок вид функції
суттєво змінюється, як і значення її коефіцієнтів. На практиці функціями, що
найчастіше використовуються, є експоненційна і логарифмічна. Лінійна функція
72
не використовувалася, так як експериментальні дані мають чітко виражену
нелінійну зворотну залежність, що також підтверджується найменшим
значенням коефіцієнта детермінації з усіх розглянутих апроксимуючих функцій.

Рис. 3.8. Графік залежності на основі оцінок експертів

Таким чином, у розглянутому випадку найкраща якість апроксимації у
логарифмічної функції. В результаті побудована залежність, обмежена
криволінійною функцією ����=−0,355ln(����)+0,1257 (рис. 3.8).

Висновки
Розроблено комплекс оцінки та обробки інформаційних ризиків АСУ ТП,
який реалізує розроблений метод управління інформаційними ризиками, що
дозволяє формувати оптимальний комплекс захисних заходів для зниження
існуючих ризиків.
Розроблений комплекс дозволяє проводити аналіз захищеності АСУ ТП з
метою подальшого усунення діагностованих (виявлених) вразливостей та
обробки ризиків. Також комплекс надає можливість змоделювати потенційні
вразливості та загрози ще до початку впровадження будь-якого обладнання чи
73
програмного забезпечення на підприємствах. Використання запропонованих
захисних заходів дозволить знизити кількість загроз на 78%.
Використання комплексу на практиці показало, що запропоновані метод та
алгоритми дозволяють ефективно вирішувати завдання щодо оцінки та обробки
інформаційних ризиків АСУ ТП в умовах багаторівневої ієрархічної структури
АСУ ТП. Їх застосування дозволяє підвищити ефективність захисту АСУ ТП з
допомогою вибору оптимальної сукупності засобів захисту.

74
ВИСНОВКИ

У кваліфікаційній роботі розглянуто важливу область ІБ – управління
інформаційними ризиками АСУ ТП. Необхідність виконувати оцінку та
опрацювання інформаційних ризиків в умовах багаторівневої ієрархічної
структури потребувала розроблення відповідних методу й алгоритмів. У роботі
отримано наступні результати, що вирізняються науковою і технічною
новизною:
1. Розроблено теоретико-множинну модель АСУ ТП КІ, що
відрізняється наявністю опису взаємодії активів різних рівнів, схильних до
загроз ІБ. Модель відображає логічну та фізичну структури взаємодії між
активами, а також вплив на АСУ ТП КІ, що дає змогу здійснити аналіз
характеристик технічних і програмних засобів, технологічних процесів, а також
ефективно використовувати отримані результати для оцінювання ІБ.
2. Розроблено методику оцінювання ризиків ІБ АСУ ТП КІ, що
базується на моделі загроз АСУ ТП КІ. Запропонована методика відрізняється
об'єднанням моделі та алгоритмів з оцінювання збитків і можливості реалізації
загрози. Це дає змогу визначити актуальний рівень ІБ на основі
використовуваних ЗОР.
3. Розроблено метод управління ризиками ІБ АСУ ТП КІ, заснований
на методиках оцінювання та опрацювання ризиків. Запропонований метод,
відрізняється аналізом активів із застосуванням моделі АСУ ТП КІ, оцінкою
актуальних ризиків ІБ із застосуванням оригінальної методики, а також різними
підходами до опрацювання ризиків в умовах багаторівневої ієрархічної
структури, що дозволяє обрати оптимальний перелік ЗОР.
4. Розроблено комплекс управління інформаційними ризиками АСУ
ТП КІ, що реалізує запропонований метод управління ризиками ІБ, який дає
змогу ідентифікувати наявні вразливості, моделювати загрози, оцінювати ризики
ІБ і формувати оптимальний комплекс ЗОР для їх опрацювання.
75
5. На основі запропонованих моделі, методу та алгоритмів виконано
оцінювання та здійснено опрацювання інформаційних ризиків АСУ ТП,
результатом яких став вибір оптимальних заходів щодо зниження ризиків від
актуальних загроз. Розроблений комплекс дозволив здійснити аналіз
захищеності АСУ ТП КІ для подальшого усунення діагностованих вразливостей.
Використання обраних захисних заходів дало змогу знизити кількість загроз на
78%.
Таким чином, у роботі розв'язано важливу науково-технічну задачу, що
полягає в дослідженні наявних підходів і розробленні нових методик і
алгоритмів оцінювання ризиків ІБ АСУ ТП, а також їх обробки в умовах
багаторівневої ієрархічної структури. Вирішення цього завдання має важливу
наукову і практичну цінність для побудови ефективних систем захисту
інформації в АСУ ТП КІ.
76
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Abdelghani T. Implementation of Defense in Depth Strategy to Secure Industrial
Control System in Critical Infrastructures / T. Abdelghani // American Journal
of Artificial Intelligence. – 2019. – no. 3(2). – pp. 17–22.
2. Agrawal V.A Comparative Study on Information Security Risk Analysis
Methods / V. Agrawal // Journal of Computers. – 2018. – Vol. 12, no. 1. –
pp. 57–67.
3. Alguliyev R. Cyber-Physical Systems and Their Security Issues /
R. Alguliyev,Y. Imamverdiyev, L. Sukhostat // Computers in Industry. – 2018.
– Vol. 100. – pp. 212–223.
4. Alladi T. Industrial Control Systems: Cyberattack Trends and Countermeasures
/ T. Alladi, V. Chamola, S. Zeadally // Computer Communications. – 2020. –
Vol. 155. – pp. 1–8.
5. Al-Mohannadi H. Cyber-Attack Modeling Analysis Techniques: An Overview /
H. Al-Mohannadi, Q. Mirza, A. Namanya, I. Awan, A. Cullen, J. Disso //
FiCloud 2020: IEEE 4th International Conference on Future Internet of Things
and Cloud. – Vienna (Austria), August 22-24, 2020. – Vol. 4. – pp. 69–76.
6. Bale M. Risk Management in Information Technology Using Facilitated Risk
Analysis Process (FRAP) / M. Bale, J. Petrus, E. Sediyono // Journal of
Theoretical & Applied Information Technology. – 2019. – no. 2(68). – pp. 339–
351.
7. Bencsáth B. Duqu: Analysis, Detection, and Lessons Learned / B. Bencsáth,G.
Pék, L. Buttyán, M. Félegyházi // EuroSec 2018: European Workshop on System
Security. – Bern (Switzerland), April 10, 2018. no. 4 (7). – pp. 33–51.
8. Cherdantseva Y. A Review of Cyber Security Risk Assessment Methods for
SCADA Systems / Y. Cherdantseva, P. Burnap, A. Blyth, P. Eden, K. Jones,
H. Soulsby, K. Stoddart // Computers & Security. – 2019. – Vol. 56. – pp. 1–27.
77
9. Drias Z. Analysis of Cyber Security for Industrial Control Systems / Z. Drias,
A. Serhrouchni, O. Vogel // International Conference on Cyber Security of
Smart Cities, Industrial Control System and Communications (SSIC). –
Shanghai, China, 5-7 Aug. 2019. – pp. 1–8.
10. Evancich N. Attacks on Industrial Control Systems / N. Evancich, J. Li // Cyber-
security of SCADA and Other Industrial Control Systems. Advances in
Information Security. – 2018. – Vol. 66. – pp. 95–110.
11. Farn K. A Study on Information Security Management System Evaluation –
Assets, Threat and Vulnerability / K. Farn, S. Lin, A. Fung // Computer
Standards & Interfaces. – 2018. – Vol. 24, no. 6. – pp. 501–513.
12. Halakhov Yevhen. Mathematical Possibilities of Transition from Discrete to
Continuous Automated Cyber Audit of Enterprise. Scientific discussion. (Praha,
Czech Republic), ISSN 3041-4245, Vol. 1, No 38, 2019, рр. 45 – 48.
13. Kerzhner A.A. Analyzing Cyber Security Threats on Cyberphysical Systems
Using Model-Based Systems Engineering / A.A. Kerzhner, K. Tan, E. Fosse //
AIAA SPACE 2018 Conference and Exposition. – Pasadena (USA), August 31-
September 2, 2018. no. 8 – pp. 9– 21.
14. Kravets A.G. Industrial Cyber-Physical Systems: Risks Assessment and Attacks
Modeling / A.G. Kravets, N. Salnikova, K. Dmitrenko, M. Lempert // Studies in
Systems, Decision and Control. – 2020. – Vol. 260. – pp. 197–210.
15. Mengazetdinov N. The Information Security of Digital Control Systems for
Nuclear Power Plants / N. Mengazetdinov, A. Poletykin, V.G. Promyslov //
Journal of Energy and Power Engineering. – 2019. – Vol. 6, no. 5. – pp. 744–
754.
16. Mohurle S. A Brief Study of Wannacry Threat: Ransomware Attack 2019 /
S. Mohurle, M. Patil // International Journal of Advanced Research in Computer
Science. – 2019. – Vol. 8, no. 5. – pp. 1938–1940.
17. Myagmar S. Threat Modeling as a Basis for Security Requirements /
S. Myagmar, A.J. Lee, W. Yurcik // SREIS2020: Symposium on Requirements
Engineering for Information Security. – Paris (France), August 29, 2020. – 8 p.
78
18. Nishra N. Taxonomy & Analysis of Cloud Computing Vulnerabilities through
Attack Vector, CVSS and Complexity Parameter / N. Mishra, R.K. Singh //
International Conference on Issues and Challenges in Intelligent Computing
Techniques (ICICT). – Ghaziabad, India, 27-28 Sept. 2019. – pp. 1–8.
19. Rainer Jr R.K. Risk Analysis for Information Technology / R.K. Rainer Jr,
C.A. Snyder, H.H. Carr // Journal of Management information systems. – 2021.
– Vol. 8, no. 1. – pp. 129–147.
20. Rimsha A.S. The Problem of Selecting APCS’ Information Security Tools /
A.S. Rimsha, K.S. Rimsha // Studies in Systems, Decision and Control. – 2020.
– Vol. 260. – pp. 211–223.
21. Shin J. Cyber Security Risk Evaluation of a Nuclear I&C System Using
Bayesian Networks and Event Trees / J. Shin, H. Son, G. Heo // Nuclear
Engineering and Technology. – 2019. – Vol. 49, no. 3. – pp. 517–524.
22. Singhal A. Security Risk Analysis of Enterprise Networks Using Attack Graphs
/ A. Singhal, X. Ou // Network Security Metrics. – Cham, 2019. – pp. 53–73.
23. Vasiliev Y.S. Providing Security for Automated Process Control Systems at
Hydropower Engineering Facilities / Y.S. Vasiliev, P.D. Zegzhda, D.P. Zegzhda
// Thermal Engineering. – 2019. – Vol. 63, no. 13. – pp. 948–956.
24. Vegzhda D.P. Approach to APCS Protection from Cyber Threats / D.P.
Zegzhda, T.V. Stepanova // Automatic Control and Computer Sciences. – 2019.
– no. 49(8). – pp. 659–664.
25. Wangen G. Information Security Risk Assessment: a Method Comparison /
G. Wangen // Computer. – 2019. – Vol. 50, no. 4. – pp. 52–61.
26. Wei Y.C. Performance Evaluation of the Recommendation Mechanism of
Information Security Risk Identification / Y.C. Wei, W.C. Wu, Y.C. Chu //
Neurocomputing. – 2020. – no. 279. – pp. 48–53.
27. Xie F. Evaluating Industrial Control Devices Security: Standards, Technologies
and Challenges / F. Xie, Y. Peng, W. Zhao, Y. Gao, X. Han // CISIM 2019:
Computer Information Systems and Industrial Management. Lecture Notes in
Computer Science. – Berlin (Germany), 2019. – Vol. 8838. – pp. 624–635.
79
28. Барабаш О.В. Забезпечення функціональної стійкості інформаційних
мереж на основі розробки методу протидії DDoS-атакам / О.В. Барабаш,
Н.В. Лукова-Чуйко, А.П. Мусієнко, В.В. Собчук // Сучасні інформаційні
системи. – 2018. – Том 2, №1. – С. 56 – 63.
29. Барабаш О.В. Математичне моделювання інтенсивності кібератак
підприємства з урахуванням еластичності часового періоду проведення
аудиту. Сучасний захист інформації. Київ, ДУТ, – 2019. № 4. С. 12 – 21.
30. Барабаш О.В. Уразливості, проблеми безпеки та моделі атак мережевої
інфраструктури, рівня виправлень і конфігурації сервера. Матеріали
ХV Міжнародної науково-практичної конференції «Перспективні питання
світової науки – 2019» (м. Софія, 15 – 22 грудня 2019 року). Том 13.
Сучасні інформаційні технології. Софія, Бял ГРАДБГ, 2019. С. 38 – 40.
31. Ботій О. В. Аналіз систем показників безпеки інформації / О.В. Ботій,
Д.Ю. Пилипенко // Научно-технический журнал «Прикладная
радиоэлектроника. Тематический выпуск, посвященный проблемам
обеспечения информационной безопасности». Харьков, ХНУР, 2018. –
Том 9. – №3. – С. 435 – 443.
32. Галахов Є.М. Моделі кібератак стандартного програмного забезпечення.
Матеріали ХV Міжнародної науковопрактичної конференції «Наука та
освіта – 2019» (м. Прага, 22 – 30 грудня 2019 року). Том 10. Сучасні
інформаційні технології. Прага: Наука і освіта, – 2019. С. 68 – 70.
33. Галахов Є.М. Моделювання функції інтенсивності кібератак.
II Міжнародна науково-практична конференція «Science, society, education:
topical issues and development prospects», (м. Харків, 20 – 21 січня
2020 року). Харків. С. 180 – 185.
34. Гізун А.І. Застосування механізму кореляції інцидентів/потенційних
кризових ситуацій для оцінювання рівня критичності поточної ситуації в
інформаційній сфері / А.І. Гізун, І.Л. Лозова, О.А. Трикуш // Безпека
інформації. – 2021. – Том 23, № 3. – С. 215 – 221.
80
35. Грабовецький Б.Є. Методи експертних оцінок: теорія, методологія,
напрямки використання. – Київ, ЛРІДУ, 2018. – С. 34-48.
36. Грищук Р. В. Основи кібернетичної безпеки: монографія / Р. В. Грищук,
Ю. Г. Даник. Житомир: ЖНАЕУ, – 2016, 636 с.
37. Грищук Р.В. Диференціально-ігрова модель системи захисту інформації
при нестаціонарній природі потоків захисних дій та інформаційних атак /
Р. В. Грищук // Інформаційна безпека. – 2020. – № 2 (4). – С. 23–29.
38. Маслова Н.О. Методи оцінки ефективності систем захисту інформаційних
систем. – Донецк: «Штучний інтелект», 2018. – С. 253–264.
39. Новосад В. П. Методологія експертного оцінювання. – Вінниця, ВНТУ,
2020. – С. 10-31.
40. Пилипенко Д.Ю. Формування набору показників безпеки інформації на
основі підходу BSC та каталогу показників безпеки CISWG /
Д.Ю. Пилипенко // Теоретичні і прикладні проблеми фізики, математики
та інформатики. ІХ Всеукраїнська науково-практична конференція
студентів, аспірантів та молодих вчених, 22 квітня 2018 р. – Збірка тез
доповідей учасників. Частина 2. – К.: 2018. – С. 45 – 46.
41. Потій О. В. Властивості діяльності із забезпечення захисту інформації як
системної категорії / О.В. Потій, Д.Ю. Пилипенко // Научно-технический
журнал «Прикладная радиоэлектроника. Тематический выпуск,
посвященный проблемам обеспечения информационной безопасности».
Харьков ХНУРЭ, 2019. – Том 11. – №2. – С. 299 – 303.
42. Потій О.В. Структура та модель системи захисту інформації в рамках
процесного підходу / О. В. Потій, А. В. Лєншин, Д.Ю. Пилипенко //
Правове, нормативне та метрологічне забезпечення системи захисту
інформації в Україні. – 2020. – Вип. 1(20). – C. 25.
43. Снитюк В.Є. Експертні технології прийняття рішень. – Маклаут, Київ,
2018. – С. 444.
44. Страхарчук В.П. Концептуальні засади кількісної оцінки ризиків. – Суми:
УАБС НБУ, 2019. – С. 278–287.
81
45. Толюпа С.В. Підходи до проектування та оцінки ефективності системи
захисту інформації в автоматизованих системах обробки та передачі даних
/ С.В. Толюпа, О.М. Іванова, І.О. Демченко // Науковотехнічний журнал
«Сучасний захист інформації». – 2019. – С. 25–30.

ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets