Можно ли инвентаризировать АСУ ТП без остановки производства?

Да, при использовании безагентных методов и пассивной разведки. Сетевые контроллеры опрашиваются по SNMP с минимальным числом запросов, SCADA-серверы — по SSH или WMI с правами read-only, контроллеры — через OPC UA или Modbus TCP в режиме чтения регистров. Для критичных сегментов применяется пассивный listening через mirror-port — устройства отдают свои данные сами, не получая ни одного пакета извне. Активный опрос ПЛК всегда планируется на технологические окна, согласованные с регламентом обслуживания.

Как учесть устаревшие SCADA на Windows XP?

Установка любого современного агента на Windows XP запрещена: нет совместимых сборок, велик риск зависания критичной системы. Для таких машин применяется удалённый сбор по SMB и WMI с другой машины (под учётной записью с правами чтения), либо ручной импорт паспортных данных. КиберОснова поддерживает оба сценария: автоматическое обнаружение по сетевым артефактам (имя хоста, MAC, версия SMB) и ручной ввод полей с прикреплением сканов формуляров. Эти активы помечаются признаком «legacy» для приоритезации в плане модернизации.

Поддерживает ли КиберОснова промышленные протоколы (Modbus, Profinet, OPC UA)?

Да, через шлюз-коннектор. Для Modbus TCP читаются регистры holding/input в режиме read-only, для OPC UA подключение идёт по стандарту OPC UA Specification с подпиской на namespace оборудования, для Profinet применяется пассивный разбор трафика через mirror-port на промышленном коммутаторе. S7-протокол Siemens поддерживается через библиотеку Snap7 для чтения паспортных данных контроллера. Все опросы выполняются с лимитом частоты и в окнах ТО, чтобы не повлиять на циклы управления процессом.

Нужно ли выделять АСУ ТП в отдельную систему инвентаризации?

Не обязательно — лучше единый реестр с тегом сегмента. КиберОснова ведёт общий перечень активов, где промышленные объекты помечаются как «АСУ ТП» с указанием уровня по модели Purdue (Level 0–4), площадки, технологического процесса. Это даёт два преимущества: ИБ-офицер видит всю инфраструктуру в одном месте, при этом отчёты для комиссии по категорированию КИИ формируются с фильтрацией только по промышленному сегменту. Разделение по разным базам ведёт к рассинхрону справочников и потере связей между ИТ и ОТ-сегментами.

Как обновлять реестр активов АСУ ТП — частота и подход?

Базовое правило — еженедельная пассивная сверка и ежеквартальная активная инвентаризация. Пассивный listening идёт постоянно: новые MAC-адреса, изменения IP, появление неизвестных протоколов фиксируются автоматически и отправляются в отчёт об отклонениях. Активный SNMP-опрос проводится в окне ТО раз в неделю. Полная сверка с физическим обходом площадки — раз в квартал, по графику обслуживания. Любое плановое изменение конфигурации (замена ПЛК, обновление прошивки) фиксируется в реестре в день работ с указанием ответственного.

Что делать если контроллер не поддерживает SNMP?

Большинство ПЛК старых поколений не имеют SNMP-агента. Для них применяется три подхода. Первый — чтение через специализированный протокол (Modbus TCP, S7, Profinet) с минимальным набором запросов. Второй — пассивный сбор через зеркальный порт коммутатора: сам факт обмена пакетами с управляющей станцией показывает, что контроллер жив и работает. Третий — ручной импорт паспортных данных в реестр с привязкой к точке установки. КиберОснова поддерживает все три подхода и хранит данные в одном профиле актива.

Инвентаризация АСУ ТП: учёт промышленной инфраструктуры

Промышленные ИТ-сети — особый класс инфраструктуры. Здесь нет компромиссов с доступностью: остановка SCADA-сервера на химическом производстве или сбой ПЛК на энергоблоке означают не «неприятный простой ИТ-сервиса», а потерю выручки в миллионах рублей за смену, аварию или угрозу жизни персонала. Поэтому подходы, привычные для офисной инфраструктуры — массовая установка агентов, полный сетевой аудит «по расписанию», агрессивный SNMP-опрос — здесь неприменимы.

При этом 187-ФЗ требует от субъектов критической информационной инфраструктуры вести точный перечень объектов КИИ, включая АСУ ТП и информационно-телекоммуникационные сети. Без актуального реестра активов невозможно ни категорирование, ни проектирование системы защиты, ни прохождение проверок ФСТЭК. Стандартные ITAM-системы для офиса не подходят: они не понимают промышленных протоколов, не работают с устаревшими ОС и склонны нарушать стабильность критичных систем. В этой статье — как инвентаризировать АСУ ТП без остановки производства, что включить в реестр и как привязать промышленные активы к объектам КИИ.

Чем АСУ ТП отличается от офисной инфраструктуры

Главное отличие промышленных систем от корпоративных — приоритет доступности над всеми остальными свойствами. В офисной сети допустимо перезагрузить рабочую станцию для установки агента или обновить прошивку коммутатора в выходной день. В АСУ ТП любая операция, которая может вызвать паузу в обмене данными между ПЛК и SCADA, проходит через многоступенчатое согласование с технологами и службой главного инженера.

Жизненный цикл оборудования. Корпоративный ноутбук живёт 3–5 лет, сервер — 5–7. ПЛК Siemens S7-300, установленный в 2007 году, может работать ещё лет десять — производитель снял его с поддержки, но контроллер исправно управляет линией. На реальных производствах нормально встретить SCADA-сервер на Windows XP Embedded SP3 — потому что замена ОС требует переписывания мнемосхем, заново сертифицированных производителем линии. Из-за этого реестр активов АСУ ТП всегда содержит существенную долю «legacy»-позиций, и инструмент инвентаризации обязан корректно их обрабатывать — то есть не пытаться поставить агент, не отправлять активные probe-запросы и не помечать такие активы как «недоступные» только потому, что они не отвечают на стандартный SNMP-обход.

Операционные системы. Помимо Windows XP/7 на инженерных станциях встречаются специализированные ОС реального времени: QNX Neutrino на DCS-системах нефтепереработки, VxWorks в контроллерах безопасности, embedded Linux на современных шлюзах данных. Поставить на них агент инвентаризации в принципе невозможно — они не предусматривают сторонних программ. Иногда встречаются и проприетарные системы вроде Schneider Modicon Quantum с собственной прошивкой, не имеющей даже файловой системы в привычном смысле — для таких устройств единственный путь — пассивный сбор и ручной импорт паспортных данных.

Сетевая архитектура. Промышленные сети сегментированы по модели Purdue: между Level 0 (полевые приборы) и Level 4 (корпоративная сеть) — несколько уровней изоляции. Внутри сегмента работают протоколы, незнакомые офисному админу: Modbus TCP, Profinet, OPC UA, S7, EtherNet/IP, IEC 61850. Любая попытка отправить «лишний» широковещательный запрос в сегмент с реалтайм-трафиком ломает циклы управления.

Регуляторные требования. Для офисной инфраструктуры применяются Приказы ФСТЭК №21 (ИСПДн) и №17 (ГИС). Для АСУ ТП на значимых объектах КИИ действует Приказ ФСТЭК №239, который требует точного знания всех компонентов системы и их связей. Дополнительно — 187-ФЗ требует ведения перечня объектов КИИ как такового, а Постановление Правительства РФ №127 устанавливает порядок их категорирования по показателям значимости (социальным, политическим, экономическим, экологическим). Невозможно категорировать то, что не учтено в реестре, поэтому инвентаризация — самый первый шаг работы с КИИ.

Критерий	Офис	АСУ ТП
Жизненный цикл	3–5 лет	10–25 лет
ОС	Win 10/11, Linux	XP/7, QNX, embedded
Сеть	TCP/IP open	Изолированные сегменты
Протоколы	HTTP, SMB	Modbus, Profinet, OPC
Простой допустим?	Да	Нет — производство встанет
Регуляторика	№21, №17	№239, 187-ФЗ

Что входит в инвентаризацию АСУ ТП

Промышленная инфраструктура описывается через модель Purdue Enterprise Reference Architecture — пять уровней от полевого оборудования до корпоративной сети. Каждый уровень имеет свои типы устройств, свои протоколы и свои подходы к учёту.

Уровень полевого оборудования (Level 0–1)

Это самый нижний слой — то, что физически взаимодействует с технологическим процессом.

Датчики и исполнительные устройства — термопары, преобразователи давления, расходомеры, частотные преобразователи, клапаны, приводы. Большинство из них не имеют сетевого интерфейса в IP-смысле — они подключены через токовые петли 4–20 мА или промышленные шины (HART, Profibus).
Программируемые логические контроллеры (ПЛК) — Siemens SIMATIC S7-300/400/1500, Schneider Electric Modicon, Mitsubishi MELSEC, ABB AC500, отечественные ОВЕН ПЛК и ЭЛЕСИ Элсима. У большинства ПЛК есть Ethernet-порт и собственный набор протоколов.
HMI-панели — Weintek, Pro-face, Siemens HMI Comfort. Локальные интерфейсы оператора с прошивками от производителя.

В реестре для каждого ПЛК фиксируется производитель и серия, артикул, серийный номер, версия прошивки (firmware), MAC-адрес встроенного Ethernet-модуля, IP в технологическом сегменте, точка установки (шкаф, цех, технологический узел) и привязка к технологическому процессу. Этот объём данных задаёт минимальный профиль актива нижнего уровня АСУ ТП.

Уровень управления (Level 2)

Сюда попадают серверы, обрабатывающие данные с контроллеров и формирующие интерфейс оператора.

SCADA-серверы — зарубежные системы Siemens WinCC, Rockwell FactoryTalk, Schneider Wonderware InTouch и российские Master SCADA, Trace Mode, КРУГ-2000. На них установлены драйверы протоколов, мнемосхемы, базы реального времени.
Инженерные станции — машины разработчиков мнемосхем и логики ПЛК, обычно с TIA Portal, Studio 5000 или RS Logix.
Серверы исторических данных — PI System OSIsoft, КРУГ-2000 ИЛИЦА, базы исторических трендов на MS SQL или InfluxDB.

Уровень MES/ERP (Level 3–4)

Этот слой связывает производство с корпоративной ИТ-инфраструктурой.

MES-системы — диспетчеризация производства, управление качеством, расчёт OEE.
Шлюзы интеграции с ERP — связь с 1С, SAP S/4HANA, Galaktika ERP. Здесь же серверы отчётности и BI-системы.

Уровни 3–4 чаще всего работают на стандартных серверах под Windows Server и Linux, поэтому для них применимы те же подходы инвентаризации, что и для офисной инфраструктуры — агенты на серверах, безагентный опрос сетевого оборудования, синхронизация с Active Directory. Сложность — в правильной классификации: эти серверы относятся к АСУ ТП, а не к корпоративной ИТ, и должны попадать в перечень объектов КИИ.

Сетевая инфраструктура

Промышленные сети строятся на специализированном оборудовании, рассчитанном на работу в условиях вибрации, перепадов температуры, электромагнитных помех.

Промышленные коммутаторы — Hirschmann, Phoenix Contact FL Switch, Moxa EDS, отечественные АТМ-Микро.
Промышленные межсетевые экраны — UserGate ICS, R-Vision NPP, Кросс-технолоджис АПКШ «Континент» в исполнении для АСУ ТП.
Шлюзы между ОТ и ИТ — Diode-системы однонаправленной передачи данных, OPC-серверы как прокси между Level 2 и Level 3.

Все эти классы активов учитываются в едином CMDB-модуле с явной типизацией по уровню Purdue, площадке и технологическому процессу. Это позволяет отчитываться комиссии по категорированию КИИ по объектам в целом, а не по разрозненным карточкам оборудования. Подробнее о ведении единой базы активов с типизацией по уровням — в материале CMDB: что это и как работает.

Безагентная инвентаризация — единственно возможный путь для критичных систем

Универсальное правило для АСУ ТП: чем критичнее система, тем меньше у неё допустимое воздействие при инвентаризации. На контроллер атомной станции нельзя поставить агент — нет сертифицированной сборки. На SCADA-сервер химзавода нельзя ставить агент — производитель линии запретил любые сторонние программы под угрозой потери гарантии. На промышленный коммутатор нельзя ставить агент — у него нет такой возможности в принципе.

Почему агент не подходит:

Невозможна установка на embedded ОС (QNX, VxWorks) и устаревшие версии Windows
Риск зависания критичной системы из-за конфликта с прикладным ПО SCADA
Производители промышленных систем снимают с гарантии любую несертифицированную модификацию
Невозможен корректный сбор данных в режиме hard real-time

Безагентные методы для АСУ ТП:

SNMP — для сетевого оборудования и большинства SCADA-серверов под Windows. Опрос идёт в режиме read-only с минимальным числом запросов.
Modbus TCP / OPC UA — для контроллеров и серверов SCADA. Чтение регистров и тегов оборудования без записи.
Wireshark / passive listening — пассивный сбор трафика через mirror-port. Самый безопасный метод: ничего не отправляется в сеть, только анализируется проходящий трафик.
SSH — для Linux-серверов SCADA и шлюзов на Debian/Astra Linux Special Edition. Команды dmidecode, lshw, dpkg запускаются под учётной записью read-only.

Гибридный подход. На практике применяется комбинация: агент устанавливается только на серверы и инженерные станции с поддержкой производителя (обычно это Windows Server в серверной комнате), а полевое оборудование и контроллеры опрашиваются безагентно. Такой режим даёт максимум полезных данных без риска для критичной части системы: с агента приходят детали по установленному ПО, обновлениям, локальным учётным записям и сертификатам, а безагентные коннекторы наполняют реестр инвентарными данными по контроллерам и сетевому оборудованию. Подробнее о работе агента — на странице инвентаризация через агент.

Как инвентаризировать АСУ ТП без остановки производства

Инвентаризация промышленной инфраструктуры — это не разовый сетевой скан, а спланированная процедура. Ниже — пять шагов, которые применяются на проектах по 187-ФЗ.

Шаг 1. Картирование сегментов. Перед любым техническим действием изучается схема сети: какие L2-сегменты существуют, какие VLAN, где межсегментные шлюзы, где точки межуровневого обмена по модели Purdue. Источник — документация проектировщика АСУ ТП и интервью с главным инженером. Без этой карты любое сетевое сканирование может затронуть критичный сегмент. На этом же этапе определяется список «недоступных для активного опроса» зон — обычно это сегменты с реалтайм-трафиком к контроллерам безопасности и системам ПАЗ (противоаварийной автоматической защиты).

Шаг 2. Пассивная разведка. На промышленных коммутаторах настраивается mirror-port, копия трафика заводится на сервер сбора. За 1–2 недели анализа трафика выявляются все активные узлы сегмента, их IP и MAC-адреса, используемые протоколы, направления обмена данными. Этот этап не отправляет в сеть ни одного пакета — производство ничего не замечает. На выходе получается карта реальных взаимосвязей между устройствами — часто она существенно отличается от того, что нарисовано в проектной документации десятилетней давности.

Шаг 3. Активный SNMP-опрос с ограничением. После пассивной разведки и согласования с технологами проводится точечный SNMP-опрос — только для тех устройств, которые поддерживают SNMP, только в окне технического обслуживания, только в режиме read-only. Частота запросов лимитируется 1 пакет в секунду, чтобы не нагрузить контроллер.

Шаг 4. Документирование вручную. Часть полевого оборудования — датчики, старые ПЛК, частотные преобразователи — вообще не имеет сетевого интерфейса. Их данные вносятся в реестр вручную из паспортов и формуляров. КиберОснова поддерживает массовый импорт через Excel и привязку отсканированных паспортов к карточке актива.

Шаг 5. Связь с реестром объектов КИИ. По 187-ФЗ каждый актив АСУ ТП должен быть привязан к объекту КИИ (информационная система, автоматизированная система управления, ИТКС). Для каждого объекта определяется категория значимости (1, 2, 3 категория или без категории) согласно Постановлению Правительства РФ №127. Реестр активов становится основой акта категорирования: на основе перечня компонентов и их функционального назначения комиссия определяет показатели значимости и заполняет акт. Без актуального и точного реестра комиссия работает в условиях неопределённости и вынуждена опираться на старые формуляры, которые часто не соответствуют фактическому составу системы.

Шаг 6. Сопровождение и контроль изменений. Инвентаризация АСУ ТП — не разовый проект. После первичного учёта запускается режим непрерывного контроля: пассивный listening работает постоянно, отклонения (новый MAC, неизвестный протокол, изменение прошивки) попадают в очередь верификации к ИБ-офицеру. Любое плановое изменение конфигурации фиксируется в реестре в день проведения работ.

Подробнее о том, как организован учёт компьютеров и сетевых устройств — в материале инвентаризация компьютеров в сети.

КиберОснова для АСУ ТП — что мы умеем

Платформа КиберОснова изначально проектировалась с учётом двойного назначения — для офисной ИТ-инфраструктуры и промышленных систем. Это означает гибридную архитектуру и набор коннекторов, специфичных для АСУ ТП.

Безагентный режим (SNMP, SSH, WMI) — для сетевого оборудования, серверов под Linux и SCADA-станций на Windows Server. Опрос лимитирован по частоте и адаптирован под промышленные требования.
Агент только на поддерживаемых системах — Windows Server 2016/2019/2022, Astra Linux Special Edition, RedOS. На критичные SCADA-станции с прошивкой производителя агент не ставится.
Промышленные ОС через ручной импорт — для машин на QNX, VxWorks, Windows XP Embedded данные вводятся через массовый импорт из Excel или из формуляров. Автоматическое обнаружение по сетевым артефактам (MAC, имя хоста, версии протоколов) дополняет ручные записи.
Привязка активов к объектам КИИ — каждая единица учёта связана с объектом КИИ (ИС, АСУ или ИТКС) и категорией значимости. Это даёт прямой выход на акт категорирования и реестр объектов КИИ для отправки во ФСТЭК.
Сверка ПО SCADA с БДУ ФСТЭК — модуль сверки с БДУ ФСТЭК проверяет версии WinCC, FactoryTalk, Master SCADA и прошивки контроллеров на наличие записей в банке данных угроз ФСТЭК, включая специфические уязвимости промышленных систем (BSI-CSV для Siemens, Schneider Security Notifications).
Экспорт реестра для комиссии — генерация отчётов в формате, принятом для комиссии по категорированию КИИ: перечень объектов с категориями, реестр компонентов с назначением, схема взаимосвязей.
Контроль изменений и отклонений — постоянный пассивный listening и сравнение текущего состояния с эталонным. Появление нового устройства, изменение прошивки контроллера или открытие нового порта на промышленном коммутаторе попадают в очередь верификации к ИБ-офицеру.
Поддержка отечественных SCADA и ОС — Master SCADA, Trace Mode, КРУГ-2000, Astra Linux Special Edition, RedOS. Это критично для импортозамещения на объектах КИИ согласно требованиям ФСТЭК.

Готовое решение под задачи субъектов КИИ собрано на странице инвентаризация для КИИ — там же типовые сценарии для энергетики, нефтегаза, водоканалов и транспорта.

Отдельно стоит сказать о реальной картине внедрения. На большинстве проектов мы сталкиваемся с тем, что в существующей корпоративной ITAM-системе АСУ ТП учтена в лучшем случае как «комплекс оборудования цеха №3». КиберОснова замещает такой подход: каждый ПЛК, каждый промышленный коммутатор и каждая SCADA-станция получает отдельную карточку с полным набором атрибутов. При этом данные из старой ITAM можно импортировать через Excel — модуль автоматически разносит их по типам активов и связывает с обнаруженными в сети устройствами.

Регуляторика для АСУ ТП в РФ

Учёт активов АСУ ТП — не вопрос «лучших практик», а прямое требование российского законодательства для субъектов КИИ.

187-ФЗ «О безопасности критической информационной инфраструктуры», статья 10. Обязывает субъекта КИИ вести перечень объектов КИИ — информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, владельцем которых он является. Без актуального перечня невозможно подать сведения во ФСТЭК. Перечень обновляется при любых изменениях в составе объектов: вводе новой технологической линии, замене SCADA-системы, добавлении контроллеров. Несоответствие фактического состава заявленному — типичное замечание при плановых проверках ФСТЭК на промышленных объектах.

Приказ ФСТЭК России №239 от 25.12.2017. Устанавливает требования по обеспечению безопасности значимых объектов КИИ. Среди обязательных мер — учёт компонентов значимого объекта (УКФ.1), контроль состава программного обеспечения (УКФ.2), контроль конфигурации (УКФ.3). Эти меры реализуются только при наличии актуального реестра активов. Дополнительно №239 требует управления уязвимостями (АНЗ.1–АНЗ.5) — а уязвимости имеет смысл искать только на тех активах, которые точно учтены и идентифицированы, иначе результаты сканирования невозможно соотнести с реальной инфраструктурой.

Приказ ФСТЭК России №21 от 18.02.2013. Применяется к ИСПДн в составе АСУ ТП — например, когда система управления хранит персональные данные операторов или подрядчиков. Требует учёта компонентов системы защиты.

Постановление Правительства РФ №127 от 08.02.2018. Утверждает правила категорирования объектов КИИ и перечень показателей. Категория значимости (1, 2, 3 или без) определяется на основе данных о составе объекта и его функциональном назначении — то есть на основе реестра активов. Перечень показателей включает социальные, политические, экономические и экологические критерии, и для каждого комиссия должна оценить возможные последствия инцидента — а это невозможно без точного понимания, какие именно компоненты входят в объект и какие технологические процессы они обслуживают.

Без актуального реестра активов АСУ ТП невозможны категорирование объектов КИИ, проектирование системы защиты, аттестация значимых объектов, прохождение плановых и внеплановых проверок ФСТЭК. Точная инвентаризация — фундамент всей дальнейшей работы по 187-ФЗ.

Готовое решение под требования 187-ФЗ собрано на странице Инвентаризация для субъектов КИИ — модуль учитывает специфику АСУ ТП, поддерживает безагентный режим и формирует отчёты для комиссии по категорированию.

Заключение

АСУ ТП требует особого подхода к инвентаризации: безагентного режима для критичных систем, ограничений по нагрузке на сеть, сегментирования по модели Purdue и обязательной привязки активов к объектам КИИ. Универсальные ITAM-системы здесь не работают — они созданы для офисной инфраструктуры, где допустима установка агентов и активный сетевой аудит.

КиберОснова поддерживает гибридный режим работы: агент устанавливается только на серверы и инженерные станции с явной поддержкой производителя, а полевое оборудование и контроллеры опрашиваются безагентно через SNMP, SSH, OPC UA и Modbus TCP. Реестр активов автоматически связывается с объектами КИИ согласно требованиям 187-ФЗ, что даёт прямой выход на акт категорирования и подачу сведений во ФСТЭК.

Запросите демо для АСУ ТП — покажем, как инвентаризировать SCADA, ПЛК и промышленные коммутаторы без остановки производства, и сформируем для вас тестовый реестр объектов КИИ за один сеанс.

Инвентаризация промышленной инфраструктуры и АСУ ТП