Вебинар посвящён обзору организационной, документальной и технической основ комплексной системы обеспечения информационной безопасности АСУ ТП. Были представлены процессный подход и сама структура процессов обеспечения информационной безопасности промышленных систем автоматизации и управления. Дата вебинара 26 ноября 2015 года. Запись доступна на канале YouTube: https://youtu.be/kbSHwFIWB34 Докладчик: Николай Домуховский

1. Николай Домуховский
Главный инженер ДСИ
ООО «УЦСБ»
Построение комплексной системы
обеспечения ИБ АСУ ТП

2. Комплексный подход к обеспечению ИБ
Система обеспечения ИБ
АСУ ТП
Организационная основа
Эксплуатация средств и
систем защиты информации
Контроль выполнения
требований
Документальная основа
Стандарты и организационно-
распорядительные документы по
обеспечению ИБ
Требования по созданию и
эксплуатации АСУ ТП
Техническая основа
Создание комплексной системы защиты
информации

3. Структура процессов обеспечения ИБ
Идентификация и
аутентификация
субъектов доступа
Регистрация
событий ИБ
Обеспечение
целостности
Управление
персоналом
Управление инцидентами
ИБ
Обеспечение
сетевой
безопасности
Контроль
защищенности
Обеспечение
непрерывности
функционирования
Защита от
вредоносного
кода
Криптографическая
защита
Управление
СрЗИ
Управление
доступом
Управление
событиями
ИБ
Управление активами
Управление рисками
Управление
непрерывностью
Контроль соответствия
требованиям ИБ
Процессы защиты информации
Стратегические процессы управления ИБ
Тактические процессы управления ИБ
Контроль
подключения
устройств
Управление
обновлениями

4. Общая структура организационной основы
Процессы управления ИБ
Оперативные процессы управления
ИБ
Процессы защиты информации
Подразделение эксплуатации
• Эксплуатация СрЗИ
• Назначение и контроль прав
доступа и полномочий
• Оперативный учет событий ИБ
• Управление резервированием и
восстановлением СрЗИ
• Оповещение подразделения ИБ
• Контроль выполнения
федеральных, отраслевых и
корпоративных требований по
обеспечению ИБ
• Формирование требований к
обеспечению ИБ в
информационных системах
• Расследование инцидентов
ИБ
Подразделение ИБ

5. Документальная основа обеспечения ИБ
Политика ИБ
Правила и процедуры
процессов обеспечения
ИБ
Правила и процедуры
процессов обеспечения
ИБ
Инструкции Журналы учета Реестры

6. Техническая основа обеспечения ИБ.
Стадии создания
Предпроектное
обследование
Ввод в
действие
Проектная
документация
Формирование
требований

7. Предпроектное обследование
Исследование
АСУ ТП
Классификация
объектов
защиты
Контроль
защищенности
По отношению к
границам КЗ:
• в пределах КЗ
• за пределами КЗ
По техническому
уровню:
• релейные
• с использованием
СВТ
• микропроцессорные
По составу функций:
• информационные
• управляющие
• противоаварийной
защиты
По режиму работы:
• автоматические
• автоматизированные
По степени интеграции:
• изолированные
• интегрированные
По технологиям
передачи данных:
• Физические линии
• Точка-точка
• Коммутация пакетов

8. Формирование требований
Актуальные
угрозы ИБ
Результаты
классификации
Стратегия защиты
Техническая
возможность
Внешние
требования
Экономическая
эффективность

9. Построение комплексного решения
Технические меры защиты информации
реализуются посредством применения средств
защиты информации, имеющих необходимые
функции безопасности. В качестве средств защиты
информации в первую очередь подлежат
рассмотрению механизмы защиты (параметры
настройки) штатного программного обеспечения
автоматизированной системы управления при их
наличии
Приказ ФСТЭК России от 14.03.2014 №31
КСПД

10. Подготовка
Стратегии защиты
Реализация Нанесение ущерба
Проактивная
защита Активная защита Реактивная защита
-10-
• Наиболее
критичное
влияние на
объект защиты
• Меры и методы
максимально
зависят от
технологий
объекта защиты
• Степень влияния на объект
защиты минимальна
• Есть возможность
использования схожих
средств в разных системах
(SIEM, IDS и пр.)
• Достаточно убедиться, что
все уже сделано при
построении самой системы
автоматизации

11. Построение комплексного решения
Разработка типовой архитектуры
системы защиты для класса АСУ (САУ,
АСДУ, АСУ Э и пр.)
Разработка стандарта безопасности
отдельных компонентов АСУ (ОС,
SCADA, АСО, ПЛК)
Разработка мероприятий по
реализации стандарта безопасности:
безопасная конфигурация, порядок
использования, внешние СрЗИ
Унификация подходов
Автоматизация
методов контроля

12. Безопасность – процесс, а не продукт
Управление ИБ
Подготовка,
планирование
Проектирование
Ввод в действие,
модернизация
Постоянная
эксплуатация
Аудит
Консалтинг
Моделирование,
подбор решений Разработка
архитектуры
Разработка проектной
документации
Обучение
Разработка
пакета ОРД
Инсталляция
Оценка
соответствия
Сопровождение
Техническое
обслуживание
• 1/3 всех мер Приказа 31 реализуется на стадии
эксплуатации АСУ ТП/СОИБ АСУ ТП
• ~ 40% мер Приказа 31 реализуются организационно
(т.е. путем разработки соответствующих документов
и назначения ответственных за реализацию
мероприятий)

13. Благодарю за внимание!
Николай Домуховский
ООО «УЦСБ»
620100, Екатеринбург, ул. Ткачей, д.6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 382-05-63
info@ussc.ru
www.USSC.ru