Введение Особенностью современных методов реализации угроз нарушения информационной безопасности стратегически важных ресурсов предприятия является их целенаправленность не столько на нарушение конфиденциальности, сколько на нарушение целостности ресурсов за счёт разрушения их инфраструктуры. Статья посвящена разработке комплекса мер противостояния данным целенаправленным кибер-атакам на основе анализа тактик злоумышленников.      Яркими примерами целевых кибер-атак (далее APT – advancedpersistentthreats – целевая кибер-атака) являются StuxNet, поразившие автоматизированную систему управления технологическим процессом (далее АСУ ТП) SCADA предприятия ядерной промышленности Ирана в 2010 г, а также проекты Aurora и Red October, которые были направлены на крупные компании с целью осуществления кибершпионажа в отношении стран СНГ [1, 2].Большинство современных промышленных предприятий относится к объектам критической информационной инфраструктуры (далее КИИ), требующих высокого уровня защиты информации [3]. Как правило, к стратегически важным ресурсам промышленного предприятия относятся: информационные, интеллектуальные, программно-аппаратные и технические ресурсы, входящие в состав основных АСУ ТП предприятия [4-7].На языке шахмат к основным характеристикам APT можно отнести:«преимущество белых шахмат»: злоумышленники ходят первыми – так называемая атака нулевого дня («zero-dayattack»), на момент реализации которой не существует метода её предотвращения, так как она является абсолютно новой для систем защиты;«пешечный штурм»: злоумышленник выстраивает свою армию из, казалось бы, не значащих фигур (закладок, люков, найденных небольших брешей в системе защиты и т.д.) для дальнейшего совершения молниеносной единовременной атаки – «обрушения». Как правило, более 98 % времени у злоумышленника уходит на подготовку («выстраивание пешек»).  Анализ тактики злоумышленника «Преимущество белых шахмат» Яркий пример APTStux Net отличается не столько новизной применяемых методов атаки, сколько новизной самого принципа: впервые в истории кибер-войн субъектом атаки стала физическая инфраструктура предприятия, а не информационные ресурсы [2, 8]. Информационные и программно-аппаратные ресурсы предприятия стали механизмом реализации, но не целью как таковой. В итоге система защиты не справилась со своей задачей, так как атака оказалась совершенно новой.По сути Stux Net поразил предприятие КИИ – завод по обогащению урана. В настоящее время в нашей стране к предприятиям КИИ относятся:предприятия легкой промышленности;предприятия тяжелей промышленности;медицинские организации;организации транспортной отрасли;предприятия станкостроения, самолётостроения, автомобилестроения;предприятия энергетического сектора и т.д. [3]Таким образом, объектом APT может оказаться большинство современных предприятий, в связи с чем задача обеспечения защиты является актуальной проблемой [9, 10].  Анализ тактики злоумышленника «Пешечный штурм» Подготовка к штурму состоит из двух этапов. Этап 1 – пассивное наблюдение.Исследование особенностей защищаемых АСУ ТП:- анализ особенностей функционирования основных процессов АСУ ТП;- анализ взаимодействия ресурсов АСУ ТП;- исследование основных информационных потоков АСУ ТП;Исследование особенностей систем (механизмов) защиты:- анализ методов защиты;- анализ методов контроля со стороны систем (механизмов) защиты. Этап 2 – активное, но малозаметное и долгосрочное вмешательство:- малозаметное внесение изменений в настройки АСУ ТП;- малозаметное внесение изменений в настройки систем (механизмов) защиты;- применение методов социальной инженерии: сбор информации от бывших сотрудников; подкуп сотрудников; запугивание сотрудников;  применение схем мошенничества; попытки влияния на процессы принятия решений.Наиболее опасными являются методы социальной инженерии, направленные на сотрудников отдела информационной безопасности предприятия, так как именно они осведомлены о большинстве характеристик систем (механизмов) защиты.  Основные меры защиты стратегически важных ресурсов от APT В связи с особенностями рассмотренных тактик злоумышленников система защиты (комплекс механизмов защиты) должна обеспечивать в первую очередь:- мониторинг изменений АСУ ТП: настроек АСУ ТП; характеристик внутренних и внешних информационных потоков;- применение мер противостояния социальной инженерии: составление правил обращения с ресурсами (в рамках политики информационной безопасности предприятия); проведение соответствующих мероприятий:по ознакомлению с принятыми на предприятии правилами обращения с ресурсами;с методами защиты;с типичными схемами мошенничества;- анализ действий сотрудников:выявление нехарактерных действий в рамках информационных потоков (например, передача информации от сотрудника экономического отдела сотруднику отдела разработки является нехарактерным действием);выявление нехарактерного поведения (как правило, с помощью методов динамической биометрической аутентификации).Таким образом, согласно проведенному анализу основных тактик злоумышленников и классификации методов противодействия их реализации, комплекс мер защиты формируется путем применения методов отслеживания изменений настроек защищаемых автоматизированных систем, а также методов противодействия социальной инженерии.При выборе средств защиты необходимо использование аналоговой модели принятия решения – схемы информационного взаимодействия сотрудников предприятия с АСУ ТП. Также необходимо применение алгоритмов выявления причинно-следственных связей между событиями информационной безопасности путем анализа потоков данных (как внешних, так и внутренних).  Автоматизация процессов защиты стратегически важных ресурсов предприятия К процессам защиты стратегически важных ресурсов предприятия, которые могут быть автоматизированы, относятся:мониторинг изменений АСУ ТП;формирование, хранение и распределение материалов базы знаний информационной безопасности (БЗИБ) (правила обращения со стратегически важными ресурсами, данные о методах защиты, актуальная информация о схемах мошенничества);анализ внутренних и внешних информационных потоков;анализ действий сотрудников.Рационально создание автоматизированной системы защиты стратегически важных ресурсов предприятия (АСЗСВРП), включающей соответствующие модули автоматизации:модуль мониторинга изменений (ММИ);работы с базой знаний информационной безопасности (МРБЗИБ);анализа информационных потоков (МАИП);анализа действий сотрудников (МАДС), в который водят функции: анализа нехарактерных действий в рамках информационных потоков (АНДРИП); анализа характеристик поведения (АХП).Структура модулей АСЗСВРП представлена на рис. 1.Важно отметить, что БЗИБ формируется сотрудниками отдела информационной безопасности (обращение к БЗИБ по записи через МРБЗИБ), однако остальным сотрудникам предоставление информации из БЗИБ проводится только путем обращений к БЗИБ по чтению через специальный интерфейс, предоставленный МРБЗИБ (рис. 2).     Рис. 1.  Структура модулей АСЗСВРП    Рис. 2. Схема обращения к БЗИБ Выводы Современные предприятия, относящиеся к объектам КИИ, нуждаются в высоком уровне обеспечения безопасности стратегически важных ресурсов. В рамках поставленной задачи повышения уровня защиты проанализированы основные тактики злоумышленников, выявлены их особенности; классифицированы современные методы защиты от комплексных кибер-атак; сформирован комплекс мер защиты на основе результатов проведенного анализа и классификации.Новизна работы состоит в разработанной модульной структуре автоматизированной системы защиты, основной задачей которой является повышение уровня рационального взаимодействия современных технологий информационной безопасности ресурсов предприятия.