В третьей серии цикла вебинаров рассмотрены законодательные инициативы и требования регулирующих органов Российской Федерации, а также дан общий обзор лучших мировых практик и международных стандартов о области информационной безопасности АСУ ТП.
Дата вебинара 12 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/Jr-4A9OIofI
Докладчик: Сергей Кацапов.
2. – 2 –
Требования по защите АСУ ТП
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭК
КСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭК
Требования по ЗИ в АСУ ТП
3. – 3 –
КСИИ vs АСУ ТП
КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Системы, обеспечивающие
управление опасными
объектами
• водоснабжением
• энергоснабжением
• транспортом
• потенциально опасными
объектами
Системы, обеспечивающие
функционирование информ.
объектов, осущ. управление
(обеспечение) важных для
РФ процессов
• органов власти
• банков
• предупреждения ЧС
• навигации
• сетей связи
Автоматизированные системы
управления технологическими
и производственными
процессами
4. – 4 –
Документы ФСТЭК России в области КСИИ
Система
признаков КВО
2005г
Базовая модель
угроз
2007г
Методика
определения
актуальных угроз
2007г
Общие
требования по
обеспечению
безопасности
2007г
Рекомендации по
обеспечению
безопасности
2007г
Положение о
Реестре КСИИ
2009г
5. – 5 –
Документы ФСТЭК России в области АСУ ТП
Приказ №31
Требования к
защите
информации
2014г
Проект
Требования к
средствам
антивирусной
защиты
2015г
Проект
Меры защиты
информации
2016г
Проект
Методика
определения
угроз
2016г
Проект
Порядок
выявления и
реагирования на
уязвимости
2016г
Проект
Порядок
реагирования на
инциденты
2016г
6. – 6 –
Этапы работ по защите АСУ ТП
Формирование
требований
• Принятие решения о защите
• Классификация
• Моделирование угроз
• Формирование требований
Разработка
системы защиты
• Проектирование
• Разработка экспл. док-ции
Внедрение и
ввод в действие
• СМР и ПНР
• Орг. меры
• Анализ уязвимостей
• Испытания и приемка
Эксплуатация
• Управление инцидентами
• Информирование и обучение
• Планирование и анализ рисков
• Контроль (мониторинг)
Вывод из
эксплуатации
• Архивирование
• Уничтожение инф.
7. – 7 –
Основания начала работ по защите АСУ ТП:
• Требования законодательства
• Внутренние требования
• Инциденты ИБ в АСУ ТП
• Результаты аудита ИБ АСУ ТП
Принятие решения о защите АСУ ТП
8. – 8 –
Документы по
КСИИ
Классификация АСУ ТП
Отнесение к КСИИ
Определение уровня
важности
(1, 2, 3)
Определение группы
КСИИ
Включение в реестр
КСИИ
Приказ №31
Классификация по КСИИ
Определение уровня
значимости информации
(УЗ 1, УЗ 2, УЗ 3)
Определение класса
защищенности
(К1, К2, К3)
9. – 9 –
Моделирование угроз безопасности
Документы по КСИИ
1. Процесс прописан в:
• Базовой модели угроз
• Методике определения
актуальных угроз
2. Угроза признается
актуальной на основании
оценки:
• Коэффициента опасности
• Вероятности реализации
Приказ №31
1. Документы, описывающие
процесс не разработаны
2. Проект методики
определения угроз
ожидается в 2016г
3. В настоящее время
применяются документы по
КСИИ
10. – 10 –
Формирование требований по защите
Для АСУ ТП применяется Приказ №31
Документы по КСИИ – дополнительный методический материал
Выбор
базовых
мер
с учетом класса
защищенности
Адаптация
базовых мер
с учетом
структуры АСУ ТП
Уточнение
набора мер
для защиты от
всех угроз
Дополнение
набора мер
с учетом доп.
требований
Порядок выбора мер защиты информации:
Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП
11. – 11 –
Проектирование системы защиты АСУ ТП и разработка
эксплуатационной документации
• ГОСТ 34 серии. Автоматизированные системы (АС)
• ГОСТ Р 51624. АС в защищенном исполнении. Общие требования
• ГОСТ Р 51583. Порядок создания АС в защищенном исполнении
Разработка системы защиты
12. – 12 –
Внедрение и ввод в действие
Этап Особенности
Монтаж оборудования и
пусконаладочные работы
Должно быть обеспечено:
• функционирование АСУ ТП
• совместимость средств защиты с ПО АСУ ТП
Внедрение орг. мер Орг. меры регламентируют работу:
• операторского персонала
• администраторов
• обеспечивающего персонала
Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатацию
Может включать тестирование на проникновение
Испытания и приемка Применяется весь комплекс испытаний
Аттестация не обязательна
13. – 13 –
Обеспечение защиты в ходе эксплуатации АСУ ТП
• Планирование мероприятий по защите АСУ ТП
• Обеспечение действий в нештатных (непредвиденных) ситуациях
• Информирование и обучение персонала АСУ ТП
• Периодический анализ угроз и рисков от их реализации
• Управление системой защиты АСУ ТП
• Выявление инцидентов и реагирование на них
• Управление конфигурацией АСУ ТП и ее системы защиты
• Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП
14. – 14 –
Обеспечение защиты при выводе из эксплуатации АСУ ТП
• Архивирование информации, содержащейся в АСУ ТП
• Уничтожение (стирание) данных и остаточной информации с
машинных носителей информации и (или) уничтожение
машинных носителей информации
15. – 15 –
Международный опыт
Международные стандарты:
• Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security
• Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security»
Документы схожи с Приказом №31 ФСТЭК России, но содержат:
• описание АСУ ТП и анализ угроз и уязвимостей
• рекомендации и особенности по реализации мер защиты в АСУ ТП
• примеры реализации защитных мер
Дополнительно нужно учитывать документы разработчиков АСУ ТП
http://www.siemens.com/industrialsecurity