OT/ICS Security: как защитить АСУ ТП и промышленные сети

Чем OT отличается от IT и почему это важно

OT (Operational Technology) — это «железо и софт, которые управляют физическим миром»: датчики, исполнительные механизмы, ПЛК, SCADA. Перенести сюда привычные IT-практики напрямую нельзя — слишком разные приоритеты и ограничения.

- **Доступность важнее конфиденциальности.** Триада IT обычно ставит на первое место конфиденциальность, в OT — доступность и целостность процесса. Незапланированный простой стоит дороже и опаснее, чем утечка конфигурации. - **Долгий жизненный цикл и legacy.** Контроллеры и панели операторов работают десятилетиями на ОС без обновлений. «Просто пропатчить» нельзя — патч может не выйти или требует остановки производства. - **Протоколы без защиты.** Modbus, OPC (Classic/UA), PROFINET, DNP3 проектировались для изолированных сетей и часто не имеют аутентификации и шифрования. Любая команда принимается как доверенная. - **Чувствительность к воздействию.** Активное сканирование портов или установка тяжёлого агента способны вызвать сбой ПЛК. Поэтому инструменты защиты OT работают преимущественно **пассивно**.

Модель Purdue и сегментация промышленной сети

Базовый принцип защиты АСУ ТП — разделение сети на уровни и контроль переходов между ними. Эталонная модель Purdue описывает уровни от полевого оборудования до корпоративных систем, а ключевая граница проходит между технологической (OT) и корпоративной (IT) сетями.

- **Уровни 0–1 — полевой и контроллеры.** Датчики, исполнительные механизмы, ПЛК. Здесь любое прямое воздействие наиболее опасно. - **Уровни 2–3 — управление процессом.** SCADA, операторские станции, серверы АСУ ТП, историзаторы. Зона мониторинга и контроля доступа. - **Уровень 3.5 — промышленная DMZ.** Буфер между OT и IT: через него идёт контролируемый обмен данными, чтобы IT-сеть не имела прямого доступа к контроллерам. - **Уровни 4–5 — корпоративная сеть.** ERP, почта, интернет. Самая «грязная» зона, из которой чаще всего и приходят угрозы.

Практический смысл сегментации — чтобы заражение офисного ПК не доходило до ПЛК, а доступ к технологическому сегменту шёл только через защищённый шлюз и был полностью журналируем.

Как защищают АСУ ТП: мониторинг без вмешательства

Поскольку активные методы в OT рискованны, ядро защиты — **пассивный мониторинг технологического трафика**. Система получает копию трафика (например, через SPAN-порт или TAP), разбирает промышленные протоколы и строит модель «нормального» поведения процесса.

- **Глубокий разбор протоколов.** Понимание Modbus, OPC, PROFINET, DNP3 и команд внутри них — чтобы отличить штатную запись уставки от подозрительной команды на контроллер. - **Карта активов и связей.** Автоматическая инвентаризация устройств и их коммуникаций: без полной карты сети защищать АСУ ТП вслепую невозможно. - **Поведенческое обнаружение аномалий.** Отклонения от типового профиля (новые узлы, нетипичные команды, изменения логики ПЛК) — сигнал для расследования. - **Контроль изменений и доступа.** Журналирование подключений инженеров, съёмных носителей и загрузок прошивок; разграничение прав на технологический сегмент.

Дополняют пассивный мониторинг наложенные средства: промышленные межсетевые экраны и однонаправленные шлюзы (диоды данных), защита операторских станций и контроль съёмных носителей — выбираются под уровень и критичность объекта.

Типовые угрозы АСУ ТП и меры защиты

Угрозы промышленным сетям отличаются от офисных: цель злоумышленника — не данные, а сам процесс. Ниже — ориентир «угроза → мера», который помогает связать риски с конкретными направлениями защиты.

Требования регуляторов: 187-ФЗ и ФСТЭК

Если объект относится к критической информационной инфраструктуре (КИИ), защита АСУ ТП — это не только инженерная, но и нормативная задача. Рамку задаёт Федеральный закон № 187-ФЗ «О безопасности КИИ» и подзаконные акты ФСТЭК.

Общая логика без выдумывания конкретных номеров приказов такова: объекты КИИ подлежат категорированию по значимости, для значимых объектов формируется модель угроз и выстраивается система защиты, а применяемые средства защиты должны иметь подтверждённый статус — наличие в реестре отечественного ПО и сертификацию ФСТЭК под нужный класс и тип. Точные требования к вашему объекту определяются по результатам категорирования; проверяемые первоисточники — текст 187-ФЗ, [reestr.fstec.ru](https://reestr.fstec.ru/) и [reestr.digital.gov.ru](https://reestr.digital.gov.ru/).

Кто на рынке систем защиты АСУ ТП

Среди отечественных решений для OT/ICS Security чаще всего упоминают PT ISIM (Positive Technologies), Kaspersky Industrial CyberSecurity (KICS) и InfoWatch ARMA. Это **ориентир**, а не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/ot-ics-security) и в разборе [российских решений АСУ ТП против Claroty и Nozomi](/research/rossiyskie-resheniya-asu-tp-vs-claroty-nozomi).

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация и прозрачность данных. Перед закупкой сверяйте актуальный статус в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/).

Следующий шаг

Разобрались с подходом — переходите к сравнению поставщиков: **[рейтинг систем защиты АСУ ТП →](/rating/ot-ics-security)**. Полезно прочитать рядом: [российские решения АСУ ТП против Claroty и Nozomi](/research/rossiyskie-resheniya-asu-tp-vs-claroty-nozomi), [рейтинг систем защиты АСУ ТП и КИИ 2026](/research/reyting-sistem-zashchity-asu-tp-2026) и [187-ФЗ и приказы ФСТЭК: как закрыть требования по защите КИИ](/research/187-fz-fstek-kii-trebovaniya).