Современные промышленные системы управления (АСУ ТП) характеризуются длительным жизненным циклом оборудования — 10 и более лет — и жёсткой привязкой к конкретным версиям операционных систем, драйверов и библиотек. Любое обновление может повлечь необходимость повторной сертификации, переаттестации и переработки технологического ПО. В результате предприятия атомной и энергетической отрасли часто вынуждены эксплуатировать проверенные, но устаревшие версии программного обеспечения, для которых публикуются известные уязвимости.

Для таких систем важно не столько немедленное обновление, сколько грамотное управление рисками эксплуатации уязвимого ПО — оценка вероятности реализации угроз, определение допустимого уровня риска и внедрение компенсирующих мер безопасности.

В Российской Федерации основы обеспечения безопасности промышленных информационных систем определены:

1. Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры»;
2. Приказами ФСТЭК России № 239, № 31 и № 235, устанавливающими требования к защите значимых объектов КИИ;
3. «ГОСТ Р 57580.1–2017 «Безопасность функционирования критической информационной инфраструктуры. Общие положения»
4. ГОСТ Р 57580.2–2017 «Безопасность функционирования критической информационной инфраструктуры. Методы и средства обеспечения безопасности функционирования. Часть 2»

Все эти документы требуют, чтобы организация поддерживала процесс оценки рисков и документировала причины, по которым обновление не может быть выполнено.

АСУ ТП часто включают компоненты, которые невозможно обновить без остановки производственного процесса: контроллеры, HMI-системы, библиотеки реального времени, серверы сбора данных.

Невозможность обновления ведёт к накапливанию уязвимостей, что повышает вероятность эксплуатации через сетевые сервисы, пользовательские интерфейсы или встраиваемые модули.

Причины невозможности обновления заключаются в следующем:

1. Сертификационные ограничения (ПО включено в аттестованную среду);
2. Зависимость от специфических драйверов или проприетарных интерфейсов;
3. Риск нарушения технологического цикла;
4. Отсутствие поддержки у вендора.

Существует методика оценки рисков:

1. Идентификация активов и уязвимостей: составляется список ПО и его версий, проводится CVE/БДУ записей и оценка CVSS.
2. Оценка вероятности эксплуатации: учитываются доступность уязвимого сервиса, наличие эксплойтов и уровень сегментации сети.
3. Оценка ущерба: определяются последствия для безопасности жизни, производства и конфиденциальности данных.
4. Расчет остаточного риска: применяется модель «Риск = Вероятность × Ущерб × (1 — Эффективность мер)».
5. Сравнение с допустимым уровнем: если риск превышает нормативные пороговые значения, то вводятся компенсирующие меры.

Компенсирующие меры при невозможности обновления:

1. сетевые ограничения (фильтрация, DMZ, unidirectional gateway);
2. жёсткое разделение ролей и минимизация прав учётных записей;
3. мониторинг целостности и журналирование событий;
4. использование виртуальных патчей (IPS/IDS, WAF);
5. регулярный аудит и контроль конфигураций.

Применение таких мер позволяет снизить вероятность реализации уязвимости без вмешательства в сертифицированное ПО.

Оценка рисков в системах АСУ ТП на предприятии осуществляется в несколько этапов:

1. Выявляются уязвимости по CVE/BDU;
2. Производят анализ влияния на технологический процесс;
3. Принимаются решения о возможности обновления или введении компенсирующих мер;
4. Вносятся записи в реестр остаточных рисков.

Такой подход обеспечивает доказуемость принятых мер и соответствия требованиям ФСТЭК при аудите.

Автоматизация оценки рисков и анализа уязвимостей в АСУ ТП является ключевой тенденцией современной промышленной информационной безопасности. Рост объёма данных о конфигурациях оборудования, версиях ПО и результатах аудитов делает ручную обработку медленной и подверженной ошибкам. Для повышения скорости реагирования и минимизации человеческого фактора внедряются SIEM- и SOAR-платформы, а также внутренние скрипты и сервисы мониторинга.

Такие решения интегрируют сведения из систем инвентаризации с открытыми API баз уязвимостей (CVE, NVD, БДУ ФСТЭК) для автоматического выявления актуальных угроз, оценки их критичности и фиксации статусов устранения («актуально», «в работе», «компенсировано»). Данные заносятся в централизованный реестр остаточных рисков, что обеспечивает прозрачность и воспроизводимость процесса принятия решений.

Автоматизация особенно эффективна в крупных и технически неоднородных инфраструктурах, позволяя перейти от реактивной модели реагирования к проактивной — с постоянным контролем защищённости, своевременным обнаружением угроз и автоматическим запуском мер по компенсации или обновлению при сохранении стабильности производственного процесса.

Эксплуатация устаревшего программного обеспечения в АСУ ТП является объективной реальностью, обусловленной длительным жизненным циклом технологических систем, зависимостью от специализированных библиотек и ограничениями на обновление сертифицированных компонентов. В таких условиях ключевым элементом защиты становится не само обновление, а системный и документированный процесс оценки, управления и снижения рисков, обеспечивающий баланс между безопасностью и непрерывностью производственного процесса.

Разработанная методика оценки остаточных рисков позволяет формализовать подход к обработке уязвимостей, определить приоритеты реагирования и обосновать решения по выбору компенсирующих мер при невозможности обновления. Использование автоматизированных инструментов анализа и интеграции с базами CVE, NVD и БДУ ФСТЭК повышает оперативность, прозрачность и воспроизводимость процессов, а также способствует переходу от реактивного реагирования к проактивной защите технологической инфраструктуры.

Таким образом, предложенный подход обеспечивает выполнение требований нормативных документов ФСТЭК России, поддерживает высокий уровень защищённости объектов КИИ и способствует устойчивому функционированию промышленных систем управления в условиях постоянно изменяющегося ландшафта киберугроз.

Литература:

1. Федеральный закон № 187-ФЗ от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации». — Текст: электронный // КонсультантПлюс: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_219612 (дата обращения: 19.10.2025).
2. Приказ ФСТЭК России № 239 от 25 декабря 2017 г. «Требования к защите значимых объектов критической информационной инфраструктуры Российской Федерации». — Текст: электронный // ФСТЭК России: [сайт]. — URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 19.10.2025).
3. ГОСТ Р 57580.2–2017 «Безопасность функционирования критической информационной инфраструктуры. Методы и средства обеспечения безопасности функционирования. Часть 2». — Текст: электронный // Росстандарт: [сайт]. — URL: https://docs.cntd.ru/document/1200147713 (дата обращения: 19.10.2025).
4. ISO/IEC 27005:2022 Information Security Risk Management. — Текст: электронный // ISO: [сайт]. — URL: https://www.iso.org/standard/80585.html (дата обращения: 19.10.2025).
5. Иваненко В. Г., Иванова Н. Д. Оценка рисков информационной безопасности автоматизированных систем управления технологическим процессом // Информационные технологии и безопасность. — 2024. — № 1. — С. 116–123. — Текст: электронный // CyberLeninka: [сайт]. — URL: https://cyberleninka.ru/article/n/otsenka-riskov-informatsionnoy-bezopasnosti-avtomatizirovannyh-sistem-upravleniya-tehnologicheskim-protsessom (дата обращения: 19.10.2025).
6. Кириллова А. Д. Оценка рисков информационной безопасности АСУ ТП промышленных объектов с использованием технологий когнитивного моделирования // Системы и инструменты информатики и телекоммуникаций. — 2023. — № 2. — С. 35–42. — Текст: электронный // CyberLeninka: [сайт]. — URL: https://cyberleninka.ru/article/n/otsenka-riskov-informatsionnoy-bezopasnosti-asu-tp-promyshlennyh-obektov-s-ispolzovaniem-tehnologiy-kognitivnogo-modelirovaniya (дата обращения: 19.10.2025).
7. Бабенко А. А., Вдовкин А. А. Разработка программного комплекса оценки рисков информационной безопасности автоматизированной системы управления технологическим процессом // Информационные технологии в безопасности и телекоммуникациях. — 2023. — № 4. — Текст: электронный // CyberLeninka: [сайт]. — URL: https://cyberleninka.ru/article/n/razrabotka-programmnogo-kompleksa-otsenki-riskov-informatsionnoy-bezopasnosti-avtomatizirovannoy-sistemy-upravleniya (дата обращения: 19.10.2025).
8. Лившиц И. И., Широков М. А., Савельев А. П. Применение современных методов оценивания рисков информационной безопасности объекта КИИ // Вопросы кибербезопасности. — 2023. — № 3. — С. 45–52. — Текст: электронный // CyberLeninka: [сайт]. — URL: https://cyberleninka.ru/article/n/primenenie-sovremennyh-metodov-otsenivaniya-riskov-informatsionnoy-bezopasnosti-obekta-kii (дата обращения: 19.10.2025).
9. ФСТЭК России. Методический документ по оценке уровня защищенности информационных систем. — М., 2024. — Текст: электронный // ФСТЭК России: [сайт]. — URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-2-maya-2024-g (дата обращения: 19.10.2025).
10. Melnikov D., Mineeva E., Karpov V. Risk Assessment in Industrial Automation and Control Systems under Limited Update Conditions. — Текст: электронный // Procedia Computer Science: [сайт]. — URL: https://doi.org/10.1016/j.procs.2022.09.057 (дата обращения: 19.10.2025).