An Approach to Identifying Information Security Threats Relevant and Specific for a Universal Industrial Controller

Determining current threats to information security for a certain object of assessment, as a rule, should be carried out according to the Methodology for Assessing Security Threats, approved on February 5, 2021 as a methodological document of the FSTEC of Russia. This article shows that, provided that the main element of the assessment object, e.g., OS, (which implements the main mechanisms of the subsystem for protecting information from unauthorized access) and for which there is a security profile introduced in the established order, the list of typical security threats can also be obtained from the analysis of this document. Comparison of information security threats obtained from the security profile of operating systems of type “B” of the 4^th security class, with a list of information security threats obtained from the FSTEC of Russia Database based on the expert method, after optimizing this list and the exclusion of repeated threats from it, shows that the remaining threats are in certain correspondence with the threats from the security profile with some detail on their implementation.

1. Контроллеры программируемые. Часть 1. Общая информация (IEC 61131-1:2003, IDT). URL: https://docs.cntd.ru/document/1200135007 (дата обращения 13.10.2023).

2. «Методика оценки угроз безопасности информации». Методический документ ФСТЭК России, утвержден 5 февраля 2021 года. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (дата обращения 13.10.2023).

3. Приказ ФСТЭК России от 9 августа 2018 г. № 138 «О внесении изменений в требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239».

4. Приказ ФСТЭК России от 19 августа 2016 г. № 119 «Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации ограниченного доступа (требования безопасности информации к операционным системам)».

5. Методический документ. «Профиль защиты операционных систем типа «В» четвертого класса защиты – ИТ.ОС.В4.ПЗ». https://www.garant.ru/products/ipo/prime/doc/71588736/ (дата обращения 13.10.2023).

6. «Банк данных угроз безопасности информации ФСТЭК России». URL: https://bdu.fstec.ru (дата обращения 13.10.2023).

7. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения 13.10.2023).

8. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения 13.10.2023).

9. Приказ ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к технической защиты информации и средствам обеспечения безопасности информационных технологий». URL: https://check-ib.ru/docs/prikaz-fstek-rossii-76-ot-02-06-2020/ (дата обращения 13.10.2023).