Морозов И.М.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЦИФРОВОЙ ИНФРАСТРУКТУРЕ ТЭК: ТЕХНОЛОГИИ МОНИТОРИНГА И ОЦЕНКА ЭФФЕКТИВНОСТИ *
Аннотация:
в статье рассматриваются современные подходы к защите информационных систем ТЭК с фокусом на мониторинговые технологии SIEM, DLP и специализированные IDS для SCADA. Приводятся примеры их применения на предприятиях ТЭК (в частности, в ПАО «Газпром»), включая внедрение отечественных решений InfoWatch Traffic Monitor, операционная система «РЕД ОС» и т.д. Анализируются практические меры защиты промышленных объектов и даётся оценка эффективности внедрения средств мониторинга (в том числе с экономической точки зрения). Представлены таблица с основными технологиями мониторинга и рисунок, иллюстрирующий актуальность угроз.
Ключевые слова:
информационная безопасность, ТЭК, мониторинг, Газпром, РЕД ОС, эффективность
Введение. В условиях цифровизации ТЭК информационные технологии всё плотнее интегрируются с критическими производственными процессами. Это повышает уязвимость объектов к киберугрозам и делает актуальными современные методы проактивного мониторинга и защиты. Особенно важна ИБ для таких системообразующих предприятий, как ПАО «Газпром», где сбой в работе сетей или утечка данных могут привести к масштабным последствиям. На предприятиях ТЭК регистрируется рост целевых атак: по данным МВД РФ, число киберинцидентов в энергоотрасли неуклонно растёт. Введение систем мониторинга (SIEM, DLP, IDS) и переход на сертифицированное отечественное ПО (операционные системы «РЕД ОС», Astra Linux и пр.) позволяет повысить устойчивость инфраструктуры к угрозам.В Газпроме формируется централизованный центр мониторинга (SOC) на базе SIEM для круглосуточного отслеживания инцидентов. Это обеспечивает проактивную защиту: события анализируются в реальном времени и позволяют обнаруживать атаки на ранних стадиях.Технологии мониторинга ИБ: SIEM, DLP, SCADA-IDS.Мониторинговые решения играют ключевую роль в ИБ цифровой инфраструктуры ТЭК. Рассмотрим основные из них [1]:SIEM (Security Information and Event Management) – системы сбора и корреляции событий безопасности. SIEM агрегирует логи с серверов, сетевого оборудования, приложений и спецсистем, а затем анализирует их для выявления аномалий и сложных скрытых атак. Такие платформы (например, Splunk, IBM QRadar, отечественный OSSIM) дают обзор текущего состояния сети и генерируют оповещения при обнаружении угроз. Центры мониторинга безопасности (SOC) на базе SIEM в Газпроме позволяют оперативно уведомлять ИБ-службу о подозрительных активностях и быстро реагировать на инциденты.DLP (Data Loss Prevention) – системы предотвращения утечек данных. DLP контролируют перемещение конфиденциальной информации (документов, баз данных) и блокируют несанкционированные копирования или передачи за пределы периметра. В структурах Газпрома применяется отечественная система InfoWatch Traffic Monitor, способная анализировать сетевой трафик и действия пользователей. В 2023 году на одном из предприятий группы («Газпром трансгаз Саратов») была реализована миграция InfoWatch DLP на российскую ОС «РЕД ОС». Это позволило гарантировать непрерывность контроля при отказе от зарубежного ПО. DLP-системы особенно важны для защиты коммерческой тайны и технологий добычи, а предотвращение утечек конфиденциальных данных экономически оправдано (пример расчёта ROSI приведён в подразделе 4).SCADA-IDS / ICS-IDS – системы обнаружения вторжений для промышленных сетей. Эти решения анализируют трафик и события в системах АСУ ТП, выявляя несанкционированные команды или сетевые атаки на контроллеры. В критической ИТ-инфраструктуре Газпрома устанавливаются специализированные SCADA-IDS (например, Kaspersky Industrial CyberSecurity – KICS), которые пассивно контролируют трафик промышленных сегментов и оповещают о признаках Атаки. Таблица 1 обобщает основные мониторинговые технологии.Таблица 1. Основные технологии мониторинга ИБ в цифровой инфраструктуре ТЭК.Практические меры по защите промышленных объектов.Защита предприятий ТЭК комплексна и многоуровнева. Помимо технических систем мониторинга, применяются организационные меры и инфраструктурные решения. Одной из важных мер является сегментирование сети: отделение промышленных сетей АСУ ТП от офисной ИТ-инфраструктуры. В Газпроме выделены отдельные VLAN и физически изолированные каналы для сетей управления трубопроводами и компрессорными станциями, что ограничивает распространение угроз. Также используются промышленные межсетевые экраны и шлюзы. Например, внедряются отечественные NGFW (например, UserGate) и межсетевые экраны уровня SCADA [1, 3].На предприятиях ТЭК широко внедряются российские операционные системы и ПО. Сертифицированные «РЕД ОС» и Astra Linux устанавливают на АРМы операторов и сервера. Эти ОС соответствуют требованиям ФСТЭК и Минобороны, гарантируя высокий уровень надёжности. Одновременно с этим развёртываются отечественные ИБ-решения: антивирусы «Лаборатории Касперского», «Доктор Веб», системы обнаружения вторжений, платформы UEBA и поведенческого анализа. В частности, в проектах Газпрома используются DLP-системы InfoWatch, на основе которых проводятся расследования инцидентов и аудит утечек. Подобные импортозамещённые комплексы обеспечивают технологический суверенитет отрасли [3].Кроме того, на уровне персонала реализуются меры безопасности: обучение сотрудников принципам ИБ, введение многофакторной аутентификации и контроля доступа к критичным системам. Особое внимание уделяется криптографической защите: данные коммерческих контрактов, результатов ГИС и другие секреты шифруются отечественными средствами. Все это вместе с мониторингом повышает доверие регуляторов и сводит к минимуму риск штрафов и репутационных потерь.Оценка эффективности внедрения средств мониторинга (в том числе экономическая).Оценка эффектов от ИБ-систем включает и качественные, и количественные показатели. С точки зрения безопасности, внедрение SIEM и SOC приводит к сокращению времени обнаружения инцидентов (MTTD) и времени реагирования (MTTR), что снижает потенциальный ущерб. Например, по данным Газпрома, после запуска центра мониторинга инцидентов наблюдалось уменьшение числа успешных атак и ускорение расследований.С экономической точки зрения рассчитываются показатели вроде ROI/ROSI. Так, пример расчёта экономической обоснованности внедрения DLP-системы показал, что при среднем ущербе 5 млн руб. за инцидент и среднем числе утечек 10 в год инвестиции в отечественный DLP оказались оправданы (ROSI ≈ 3,54). Это означает, что компании выгодно вкладываться в мониторинг утечек: предотвращённые утечки и снижение штрафов превосходят затраты на систему и её обслуживание. Аналогично, стоимость любых кибермераоприятий оправдывается за счёт повышения надёжности производства и избежания аварийных простоев.Суммарная эффективность определяется как совокупное снижение рисков и экономия. Широкомасштабные проекты импортозамещения (переход на РЕД ОС, внедрение отечественных SIEM/DLP) учитывают не только технико-экономические, но и политические факторы – укрепление суверенитета ИТ-инфраструктуры. По словам представителя Red Soft, благодаря подобным инициативам Газпром достиг большей независимости от зарубежных решений и приобрёл готовый стэк отечественного ПО без критического ущерба производительности.Заключение.Развитие цифровой инфраструктуры ТЭК требует адекватных средств ИБ-мониторинга и защиты. Технологии SIEM, DLP и SCADA-IDS, в сочетании с импортозамещённым ПО (РЕД ОС, отечественными антивирусами и криптосистемами), позволяют существенно повысить защищённость объектов. На примере ПАО «Газпром» продемонстрировано, что комплексный подход к ИБ (создание SOC, сегментация сетей, переход на отечественное ПО) даёт осязаемые результаты: киберинциденты обнаруживаются и устраняются оперативнее, а экономический эффект от предотвращения утечек превышает вложения. При этом обязательным остаётся постоянный анализ эффективности через метрики (ROI, MTTD, MTTR) и адаптация мер под новые угрозы.
Номер журнала Вестник науки №5 (86) том 3
Ссылка для цитирования:
Морозов И.М. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЦИФРОВОЙ ИНФРАСТРУКТУРЕ ТЭК: ТЕХНОЛОГИИ МОНИТОРИНГА И ОЦЕНКА ЭФФЕКТИВНОСТИ // Вестник науки №5 (86) том 3. С. 1417 - 1423. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/23167 (дата обращения: 12.07.2025 г.)
Вестник науки © 2025. 16+