Джерело

За даними IoT Analytics в 2016 році найбільше проектів (22% від загальної кількості), пов'язаних із застосуванням інтернету речей, було реалізовано для промислових об'єктів. Це підтверджує розвиток і поширення технологій заявлених у доктрині Industry 4.0.

Таким чином, на наших очах виник новий клас кібер-фізичних систем, отримав назву Industrial Internet Control Systems (IICS) або Industrial Internet of Things (IIoT).
З назви зрозуміло, що такі системи є гібридом технологій, що використовуються в АСУ ТП і в системах на базі інтернету речей. Відповідно в таких системах необхідно враховувати всі ризики, пов'язані з порушенням властивостей інформаційної (security) і функціональної безпеки (safety).

Дана стаття продовжує цикл публікацій щодо функціональної безпеки. У ній розглянуто вимоги до організації життєвого циклу систем управління (АСУ ТП, вбудовані системи, інтернет речей). Запропонована єдина структура процесів, що підтримують виконання вимог як до інформаційної, так і до функціональної безпеки.

Читати далі →

Інформаційна безпека АСУ ТП: Дон Кіхот в еру кіберзброї


В даній статті здійснена систематизація вимог до інформаційної безпеки (ІБ) АСУ ТП. Вимоги обрані з доступних на даний момент стандартів, у першу чергу, з NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» і розробляється нової редакції серії ISA/IEC 62443 «Security for Industrial Automation and Control Systems».

АСУ ТП взаємодіють з об'єктами фізичного світу і забезпечують захист від аварій та катастроф. В англомовній літературі АСУ ТП називають Industrial Control Systems (ICS) або Industrial Automation and Control Systems (IACS). У світі IT технологій їх можна порівняти з Дон Кіхотом, який залишився вірним простим, але не дуже модним принципами вже давно мінливому світі.

Тому, була проведена паралель з функціональної безпекою та розглянуто комплекс вимог, що дозволяють забезпечити обидві сторони безпеки АСУ ТП, і функціональну, інформаційну.

Схожі проблеми слід вирішувати і для інших кібер-фізичних систем, включаючи IoT і вбудовані керуючі системи.

Читати далі →

Функціональна безпека, частина 4 з 4. Процеси управління та оцінювання



Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

Частина 1 є вступній.
частина 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.
частини 3 вимоги МЕК 61508 розкладено «по поличках» на основі їх загальної класифікації.

У цій статті досить абстрактні вимоги до управління функціональної безпекою інтерпретовані для впровадження в робочі процеси. Ця інформація перевірена і відшліфована на практиці декількох проектів по сертифікації.
Процесна інженерія – нудно це чи ні? Саме процеси дозволяють масштабувати IT-бізнес. Мені особисто доводилося спостерігати, як впровадження процесів в розробку призводило до серйозного професійного зростання, як виконавців, так і всієї компанії. І навпаки, «затики» і так звана «недоцільність» впровадження добре структурованих процесів свідчили про незрілість і інших серйозних проблем.
Отже…

Читати далі →

Функціональна безпека, Частина 3 із 3. МЕК 61508: Систематична випадковість чи випадкова систематичність?

Безпеки на Хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:

— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

У частині 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.

Опис досить непростий термінологічної казуїстики зайняло цілу статтю, і тепер настав час розібратися зі структурою вимог МЕК 61508.

Не рекомендується до прочитання тим, хто не цікавиться стандартизацією.

Читати далі →

Функціональна безпека, Частина 2 з 2. МЕК 61508: ким бути, Шерлоком Холмсом чи Дата Туташхиа?


Джерело

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:
— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

Для того щоб зробити ще один крок, необхідно продовжити розгляд стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems). Справа в тому, що функціональна безпека – це досить формалізований властивість, оскільки системи, важливі для безпеки, є предметом державного ліцензування у всіх країнах.

Читати далі →

Функціональна безпека – старша сестра інформаційної безпеки

image

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди. Інформаційної безпеки АСУ ТП присвячено чимало статей на хабре. Функціональної безпеки автори теж стосувалися, як в хабі SCADA, так і в хабі промисловому програмування АСУ ТП, але, як мені здалося, трохи побіжно. Тому я пропоную коротку інформацію про цьому важливому властивості, від якого безпосередньо залежить, чи отримає SkyNET контроль над людством.
У статті зроблено певні узагальнення для АСУ ТП, а також для вбудованих і кібер-фізичних систем.

Читати далі →

Дослідження: уразливості промислових систем управління в 2014 році



В ході естонських киберучений НАТО у квітні 2015 року стало відомо, що основним киберподразделению Північноатлантичного Альянсу вже не такі цікаві пристрої на Android або веб-камери: фокус уваги військових хакерів змістився в бік систем <a href=«habrahabr.ru/company/pt/blog/257879/>Windows SCADA.

Місяць тому дослідили Dell відзначили, що в 2014 році стався двократне зростання числа зловредів, розроблених для атак на магазинні POS-системи і SCADA-системи, а сьогодні ми розповімо про деяких цифрах і спостереженнях у сфері АСУ ТП (ISC/SCADA), зібраних нашими експертами за останні три роки.

Читати далі →