В данной работе проведен обзор основных отечественных и международных подходов к выбору мер обеспечения информационной безопасности автоматизированных систем управления технологическими процессами. Работа посвящена разработке метода выбора мер защиты на каждом уровне АСУ ТП с применением теории множеств в рамках анализа базовых наборов мер защиты. В рамках исследования рассмотрены актуальные атаки на промышленную инфраструктуру, построен алгоритм выбора мер защиты АСУ ТП, а также выдвинуты предположения о необходимости применения мер защиты для каждого уровня системы в соответствии с индивидуальной оценкой класса защищенности соответствующего уровня. В работе авторами предложены математические выражения для минимального, базового, адаптированного и уточненного базовых наборов мер защиты АСУ ТП. Сделан вывод о необходимости исключения из рассмотрения этапа «уточнение адаптированного базового набора» алгоритма выбора мер защиты АСУ ТП в случае, если адаптированный базовый набор мер защиты информации обеспечивает блокирование всех угроз безопасности на рассматриваемом уровне системы. Результаты исследований рекомендованы для использования при моделировании угроз информационной безопасности и разработке требований к средствам защиты информации в автоматизированных системах управления технологическими процессами.
This paper reviews the main domestic and international approaches to the choice of information security measures for automated process control systems. The paper is devoted to the development of a method for selecting protection measures at each level of the automated process control system using set theory as part of the analysis of basic sets of protection measures. In the framework of the study, the current attacks on industrial infrastructure are considered, an algorithm for selecting the protection measures of the automated process control system is constructed, and assumptions are made about the need to apply protection measures for each level of the system in accordance with an individual assessment of the security class of the corresponding level. In this paper, the authors propose mathematical expressions for the minimum, basic, adapted and refined basic sets of automated process control system protection measures. It is concluded that it is necessary to exclude from the consideration of the stage "refinement of the adapted basic set" the algorithm for selecting the security measures of the automated process control system, if the adapted basic set of information security measures provides blocking of all security threats at the considered system level. The research results are recommended for use in modeling information security threats and developing requirements for information security tools in automated process control systems.