Embed Size (px)
Citation preview
12.11.15
Требования в области защиты АСУ ТП
Законодательство. Регуляторы. Международный опыт
СергейКацаповРуководительнаправления
– 2 –
Требования по защите АСУ ТП
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭККСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭКТребования по ЗИ в АСУ ТП
– 3 –
КСИИ vs АСУ ТП
КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Системы, обеспечивающие управление опасными
объектами
• водоснабжением• энергоснабжением• транспортом• потенциально опасными
объектами
Системы, обеспечивающие функционирование информ. объектов, осущ. управление (обеспечение) важных для
РФ процессов• органов власти• банков• предупреждения ЧС• навигации• сетей связиАвтоматизированные системы
управления технологическими и производственными
процессами
– 4 –
Документы ФСТЭК России в области КСИИ
Система признаков КВО
2005г
Базовая модель угроз
2007г
Методика определения
актуальных угроз
2007г
Общие требования по обеспечению безопасности
2007г
Рекомендации по обеспечению безопасности
2007г
Положение о Реестре КСИИ
2009г
– 5 –
Документы ФСТЭК России в области АСУ ТП
Приказ №31
Требования к защите
информации
2014г
Проект
Требования к средствам
антивирусной защиты
2015г
Проект
Меры защиты информации
2016г
Проект
Методика определения
угроз
2016г
Проект
Порядок выявления и
реагирования на уязвимости
2016г
Проект
Порядок реагирования на
инциденты
2016г
– 6 –
Этапы работ по защите АСУ ТП
Формирование требований
• Принятие решения о защите• Классификация• Моделирование угроз• Формирование требований
Разработка системы защиты
• Проектирование• Разработка экспл. док-ции
Внедрение и ввод в действие
• СМР и ПНР• Орг. меры• Анализ уязвимостей• Испытания и приемка
Эксплуатация• Управление инцидентами• Информирование и обучение• Планирование и анализ рисков• Контроль (мониторинг)
Вывод из эксплуатации
• Архивирование• Уничтожение инф.
– 7 –
Основания начала работ по защите АСУ ТП:• Требования законодательства
• Внутренние требования
• Инциденты ИБ в АСУ ТП
• Результаты аудита ИБ АСУ ТП
Принятие решения о защите АСУ ТП
– 8 –
Документы по КСИИ
Классификация АСУ ТП
Отнесение к КСИИ
Определение уровня важности (1, 2, 3)
Определение группы КСИИ
Включение в реестр КСИИ
Приказ №31
Классификация по КСИИ
Определение уровня значимости информации
(УЗ 1, УЗ 2, УЗ 3)
Определение класса защищенности
(К1, К2, К3)
– 9 –
Моделирование угроз безопасности
Документы по КСИИ
1. Процесс прописан в:• Базовой модели угроз• Методике определения
актуальных угроз
2. Угроза признаетсяактуальной на основанииоценки:• Коэффициента опасности• Вероятности реализации
Приказ №31
1. Документы, описывающиепроцесс не разработаны
2. Проект методикиопределения угрозожидается в 2016г
3. В настоящее времяприменяются документы поКСИИ
– 10 –
Формирование требований по защите
Для АСУ ТП применяется Приказ №31Документы по КСИИ – дополнительный методический материал
Выбор базовых
мерс учетом класса защищенности
Адаптация базовых мер
с учетом структуры АСУ ТП
Уточнение набора мердля защиты от
всех угроз
Дополнение набора мер
с учетом доп. требований
Порядок выбора мер защиты информации:
Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП
– 11 –
Проектирование системы защиты АСУ ТП и разработкаэксплуатационной документации
• ГОСТ 34 серии. Автоматизированные системы (АС)
• ГОСТ Р 51624. АС в защищенном исполнении. Общие требования
• ГОСТ Р 51583. Порядок создания АС в защищенном исполнении
Разработка системы защиты
– 12 –
Внедрение и ввод в действиеЭтап ОсобенностиМонтаж оборудования и пусконаладочные работы
Должно быть обеспечено:• функционирование АСУ ТП• совместимость средств защиты с ПО АСУ ТП
Внедрение орг. мер Орг. меры регламентируют работу:• операторского персонала• администраторов• обеспечивающего персонала
Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатациюМожет включать тестирование на проникновение
Испытания и приемка Применяется весь комплекс испытанийАттестация не обязательна
– 13 –
Обеспечение защиты в ходе эксплуатации АСУ ТП
• Планирование мероприятий по защите АСУ ТП• Обеспечение действий в нештатных (непредвиденных) ситуациях• Информирование и обучение персонала АСУ ТП• Периодический анализ угроз и рисков от их реализации• Управление системой защиты АСУ ТП• Выявление инцидентов и реагирование на них• Управление конфигурацией АСУ ТП и ее системы защиты• Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП
– 14 –
Обеспечение защиты при выводе из эксплуатации АСУ ТП
• Архивирование информации, содержащейся в АСУ ТП
• Уничтожение (стирание) данных и остаточной информации смашинных носителей информации и (или) уничтожениемашинных носителей информации
– 15 –
Международный опыт
Международные стандарты:
• Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security
• Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security»
Документы схожи с Приказом №31 ФСТЭК России, но содержат:• описание АСУ ТП и анализ угроз и уязвимостей• рекомендации и особенности по реализации мер защиты в АСУ ТП• примеры реализации защитных мер
Дополнительно нужно учитывать документы разработчиков АСУ ТП
http://www.siemens.com/industrialsecurity
– 16 –
Спасибозавнимание!
Сергей КацаповРуководитель направления
Уральский центр систем безопасности[email protected]
