Безопасность систем управления

Безопасность систем управления — это предотвращение преднамеренных или непреднамеренных помех правильной работе промышленных автоматизированных систем управления (АСУ). Эти системы сегодня управляют всеми основными видами деятельности, в том числе ядерной и иной электроэнеретикой, добычей и транспортировкой нефти, водоснабжением, транспортом, связью и различными иными производствами и процессами. АСУ включают в себя компьютеры, сети, операционные системы, приложения и программируемые и непрограммируемые контроллеры. Почти каждый из этих элементов может содержать уязвимости безопасности. Обнаружение в 2010 году зловреда Stuxnet продемонстрировало уязвимость АСУ в отношении кибер-инцидентов. С тех пор правительства различных стран стали принимать правила кибербезопасности, требующие повышенной защиты систем управления, ответственных за критическую инфраструктуру.

Безопасность систем управления включает в себя безопасность промышленных систем управления (ICS), безопасность диспетчерского управление и сбора данных (SCADA), безопасность управления технологическими процессами, промышленную сетевую безопасность и системы управления кибербезопасностью.

Источник: Википедия

Связанные понятия

Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению...

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

Стандарты социальной отчётности — документы, руководства и сборники правил, формулирующие требования к отчётам частных компаний по итогам их деятельности в рамках корпоративной социальной ответственности. Служат в качестве основных принципов социального учёта, аудита и отчётности. Используются многими транснациональными корпорациями и крупными компаниями как ориентиры при написании ежегодных отчётов о КСО наряду с МСФО – международными стандартами финансовой отчётности.

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придаётся большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией.

Подробнее: Защита информации в локальных сетях

Регуляторные технологии или регтех (англ. Regulatory Technology, RegTech) — подмножество финансовых технологий, которое описывает информационные технологии, обеспечивающие более легкое, быстрое или эффективное выполнение регуляторных требований участниками финансовых рынков.

Закон о кибербезопасности КНР (также Закон об интернет-безопасности КНР) — основной нормативно-правовой акт, регулирующий сферу интернет-безопасности КНР. Опубликован 7 ноября 2016 года, вступил в силу 1 июня 2017 года.

Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

Безопасность приложения ( англ. Application Security ) включает в себя меры, принимаемые для повышения безопасности приложения, часто путем обнаружения, исправления и предотвращения уязвимостей в безопасности. Для выявления уязвимостей на разных этапах жизненного цикла приложений, таких как проектирование, разработка, развертывание, обновление, обслуживание, используются различные методы.

Наилучшая доступная технология (НДТ) — «технология производства продукции (товаров), выполнения работ, оказания услуг, определяемая на основе современных достижений науки и техники и наилучшего сочетания критериев достижения целей охраны окружающей среды при условии наличия технической возможности её применения» (определение из Федерального закона от 21 июля 2014 года № 219-ФЗ «О внесении изменений в Федеральный закон „Об охране окружающей среды“ и отдельные законодательные акты Российской Федерации...

Жёсткая логика - это принцип построения автоматизированных устройств управления, создаваемых на комбинационных логических схемах, триггерах, счётчиках, регистрах, дешифраторах. Она была широко распространена в ранних версиях устройств управления, но с развитием полупроводниковой техники, появлением большого числа программируемых контроллеров и снижения на них цен, подавляющее число разработчиков отказались от использования устройств на жесткой логике.

Информационная инфраструктура — система организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия.Включает в себя...

Информатизация архивного дела — многосторонний процесс, включающий методические и нормативные разработки, экспериментальные работы, разработку программного обеспечения, обучение, внедрение, планирование работ.Начиная с середины 80-х гг. начинается активная работа по внедрению автоматизированных методов поиска документальной информации в практику работы архивов. В сфере НСА автоматизированные архивные технологии не только оказывают сильное влияние на способы создания и ведения справочно-поисковых...

Центр национальной компьютерной безопасности США (англ. National Computer Security Center) — является частью Агентства национальной безопасности США. Он отвечает за безопасность компьютеров на федеральном уровне. В конце 80-х и начале 90-х годов, Агентство национальной безопасности и Центр национальной компьютерной безопасности США опубликовали ряд критериев оценки надежности компьютерных систем в радужной серии книг.

Управление записями (англ. Records Management) — управление документами организации с момента их создания до окончательного уничтожения. Данная практика включает в себя формирование документов в делопроизводстве, их хранение, защиту и уничтожение (либо, в некоторых случаях — архивное хранение).

Общие критерии оценки защищённости информационных технологий, Общие критерии, ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — принятый в России международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут...

Безопасное программирование — методика разработки программного обеспечения, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Баги и логические ошибки являются основной причиной появления уязвимостей программного обеспечения.

Электро́нный би́знес (англ. Electronic Business), Е-бизнес, И-бизнес, e-Business — бизнес-модель, в которой бизнес-процессы, обмен бизнес информацией и коммерческие транзакции автоматизируются с помощью информационных систем. Значительная часть решений использует Интернет-технологии для передачи данных и предоставления Web-сервисов. Впервые термин прозвучал в выступлении бывшего генерального директора IBM Луиса Герстнера.

Ведомственная сеть связи — до 2003 года, а также сети связи специального назначения (после 2003 года), сети электросвязи в Российской Федерации, создаваемые для производственных и специальных потребностей органов государственной власти и крупных государственный предприятий, госкорпораций. Ведомственные сети связи могут выполнять роль среды передачи данных (интранет) и организации внутренней телефонной связи.

Бухгалтерская система (система автоматизации бухгалтерского учёта, САБУ) — программное обеспечение, предназначенное для ведения бухгалтерского и фискального (направленного на удовлетворение требований государства по расчёту и уплате налогов) учёта.

Адаптивный кейс-менеджмент ACM (англ. Adaptive Case Management, Dynamic Case Management, Advanced Case Management) — концепция динамического управления бизнес-процессами предприятия.

Крипто-войны — это неофициальное название попыток правительства США ограничить общественности и зарубежным государствам доступ к криптографическим методам с сильной защитой от дешифровки национальными разведывательными управлениями, особенно, американским АНБ.Примерно в 2005 году общественность объявила, что отстояла доступ к шифрованию в криптографической войне. Впоследствии, утечка данных 2013 года показала, что АНБ тайно ослабило алгоритмы шифрования и стандарты безопасности, что породило новые...

Подробнее: Криптографические войны

Жизненный цикл программного обеспечения (ПО) — период времени, который начинается с момента принятия решения о необходимости создания программного продукта и заканчивается в момент его полного изъятия из эксплуатации.

Каналы утечки информации — методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой .

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Подробнее: СТО БР ИББС

Смартста́нция (от англ. Smartstation — «умная станция») — это класс электронных многофункциональных устройств, одновременно выполняющих функции L2/L3 маршрутизатора, беспроводной Wi-Fi точки-доступа, VoIP-шлюза, мини АТС, базовой станции DECT, сетевого хранилища NAS, принт-сервера и других сетевых устройств.

Модельно-ориентированное проектирование (МОП) — это математический и визуальный метод решения задач, связанных с проектированием систем управления, обработки сигналов и связи. МОП часто используется при управлении движением в промышленном оборудовании, аэрокосмической и автомобильной промышленности. МОП является методологией, применяемой при разработке встроенного программного обеспечения.

Система обнаружения утечек (СОУ) - автоматизированная информационная система, контролирующая целостность стенки трубопровода.

Видеоаналитика — технология, использующая методы компьютерного зрения для автоматизированного получения различных данных на основании анализа последовательности изображений, поступающих с видеокамер в режиме реального времени или из архивных записей.

Система предотвращения вторжений (англ. Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий...

Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.

Файловая сеть (File Area Network) определяет способ совместного использования файлов через сеть, например, хранилищ данных, подключенных к файловому серверу или сетевому хранилищу (NAS).

Программно определяемая радиосистема (англ. Software-defined radio, SDR) — радиопередатчик...

Политика ограниченного использования программ (в английской версии Windows - SRP, Software Restriction Policy) впервые появилась в Windows XP и присутствуют в последующих версиях ОС Windows.

Аппаратные средства защиты информационных систем — средства защиты информации и информационных систем, реализованных на аппаратном уровне. Данные средства являются необходимой частью безопасности информационной системы, хотя разработчики аппаратуры обычно оставляют решение проблемы информационной безопасности программистам.

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом...

EDI (англ. Electronic data interchange «электронный обмен данными») — серия стандартов и конвенций по передаче структурированной цифровой информации между организациями, основанная на определенных регламентах и форматах передаваемых сообщений.

Ситуационный/диспетчерский центр — это помещение (зал, комната, кабинет), оснащённое средствами коммуникаций (видеоконференцсвязь, конференц-связь и другими средствами интерактивного представления информации), предназначенное для оперативного принятия управленческих решений, контроля и мониторинга объектов различной природы, ситуаций и других функций.

Автоматиза́ция ма́рке́тинга — использование специализированных компьютерных программ и технических решений для автоматизации маркетинговых процессов предприятия, перенос текущих бизнес-процессов компании в область цифровых сервисов с целью экономии трудовых и временных ресурсов. Основные области автоматизации — это маркетинговое планирование и бюджетирование, управление маркетинговыми активами, управление маркетинговыми кампаниями, взаимодействие с клиентами, управление потенциальными продажами...

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Инженерия производительности (англ. Performance Engineering) — часть системной инженерии, включающая в себя набор ролей, знаний, практик, инструментов и результатов и применяющаяся на каждом этапе Цикла разработки программного обеспечения с целью убедиться в том, что создаваемое, программируемое и поддерживаемое архитектурное решение соответствует нефункциональным требованиям к производительности этого решения.

Управление эффективностью деятельности организации (английские термины CPM, BPM, EPM) — это набор управленческих процессов (планирования, организации выполнения, контроля и анализа), которые позволяют бизнесу определить стратегические цели и затем оценивать и управлять деятельностью по достижению поставленных целей при оптимальном использовании имеющихся ресурсов. Это система управления, построенная на принципах управления стоимостью бизнеса.

Межсетевое взаимодействие — это способ соединения компьютерной сети с другими сетями с помощью шлюзов, которые обеспечивают общепринятый порядок маршрутизации пакетов информации между сетями. Полученная система взаимосвязанных сетей называется составной сетью, или просто интерсетью.

Токенизация, применяемая в области информационной безопасности, представляет собой процесс замены конфиденциального элемента данных на неконфиденциальный эквивалент, называемый токеном, который не имеет самостоятельного смысла/значения для внешнего или внутреннего использования. Токен — это ссылка (то есть идентификатор), которая сопоставляется с конфиденциальными данными через систему токенизации. Сопоставление исходных данных с токеном использует методы, которые делают невозможным обратное преобразование...

Электронное таможенное декларирование в России — возможность подачи таможенных деклараций в электронном виде и проведения удалённой процедуры таможенного декларирования товаров, реализованная в России в начале 2000-х годов.

Управление ИТ-активами (IT asset management) – одна из важнейших стратегических областей деятельности организации. Одним из ключевых факторов управления ИТ-активами является возможность проведения инвентаризации, выявляющей детальную информацию по используемому аппаратному и программному обеспечению, которая позволяет принимать объективные решения для заказа новых или перераспределения существующих элементов ИТ-инфраструктуры (ИТ-активов).

Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и (или) компьютерные носители информации, а целью — поиск и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удалённых объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом и решается по-разному.

Сопровождение программного обеспечения стандартизовано, имеются национальные стандарты Российской Федерации, идентичные международным (ISO/IEC 12207:2008 System and software engineering — Software life cycle processes, ГОСТ Р ИСО/МЭК 12207-2010 «Национальный стандарт Российской Федерации. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств»; ISO/IEC 14764:99 Information tehnology — Software maintenance, ГОСТ Р ИСО/МЭК 14764-2002 «Государственный...

Мониторинг активности базы данных (DAM), это технология безопасности базы данных для мониторинга и анализа активности, которая работает независимо от системы управления базами данных (СУБД) и не зависит от какой-либо формы внутреннего (СУБД-резидентного) аудита или собственных журналов, таких как трассировка или Журналы транзакций. DAM обычно выполняется непрерывно и в режиме реального времени.

а б в г д е ё ж з и й к л м н о п р с т у ф х ц ч ш щ э ю я