Embed Size (px)
DESCRIPTION
Соответствие решений Cisco новому приказу ФСТЭК №31 по защите АСУ ТП
Citation preview
Приказ ФСТЭК №31 по защите АСУ ТП
Лукацкий Алексей, консультант по безопасности
Резюме
• Безопасность АСУ ТП становится одним из драйверов рынка ИБ в России – АСУ ТП есть в ТЭК, на транспорте, в ЖКХ, в промышленности и т.п.
• ФСТЭК и другие регуляторы формируют нормативную базу по данному вопросу – Основополагающим является приказ ФСТЭК №31
• АСУ ТП может считаться подмножеством КСИИ – Пока соотнесение АСУ ТП и КСИИ вызывает вопросы
• Выбор защитных мер для АСУ ТП является очень гибким • Сертификация средств защиты в текущей версии приказа не требуется
• Возможно применение любых решений Cisco – Особенно Sourcefire IPS, Cisco ASA, Cisco CTD, Cisco ISE
НЕСОВЕРШЕНСТВО ТЕРМИНОЛОГИИ
Какими терминами мы оперируем?
• Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов
Критически важный объект
Стратегически важный объект
Стратегический объект
Объект, имеющий стратегическое значение…
Важный объект
Важный государственный объект
Объект жизнеобеспечения
Особо важный объект
Специальный объект
Режимный объект
Потенциально опасный объект
Особо опасный и технически сложный объект
Совершенно разные понятия АСУ ТП
Приказ ФСТЭК
• Комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО
Основы госполитики
• Комплекс аппаратных и программных средств, информационных систем и информационно- телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта, нарушение (или прекращение) функционирования которых может нанести вред внешнеполитическим интересам Российской Федерации, стать причиной аварий и катастроф, массовых беспорядков, длительных остановок транспорта, производственных или технологических процессов, дезорганизации работы учреждений, предприятий или организаций, нанесения материального ущерба в крупном размере, смерти или нанесения тяжкого вреда здоровью хотя бы одного человека и (или) иных тяжелых последствий
А раньше были не АСУ ТП, а КСИИ
• Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями – Документы ФСТЭК по КСИИ
• АСУ ТП фактически является подмножеством КСИИ – Планируется разъяснение ФСТЭК о соотнесении требований к КСИИ и АСУ ТП
ВВЕДЕНИЕ В ПРИКАЗ ФСТЭК ПО ЗАЩИТЕ АСУ ТП №31
Новый приказ ФСТЭК №31
• «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации
• Парадигма • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
И вновь о терминологии или на кого распространяется 31-й приказ
• Критически важные объекты, потенциально опасные объекты, а также объекты, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
• «В требованиях по защите АСУ ТП в соответствии с поручением Президента приведены наиболее широкие термины, которые должны охватить максимальное количество опасных, критических объектов. Формально требования распространяются только на те объекты, которые приведены в Требованиях по защите АСУ ТП» – Мнение ФСТЭК
На что распространяется приказ?
• Автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами – В том числе системы диспетчерского управления, системы сбора
(передачи) данных, программируемые логические контроллеры, распределенные системы управления, системы управления станками с числовым программным управлением
– На АСУ ТП с гостайной не распространяются • Требования предназначены для лиц
– обеспечивающих задание требований к защите информации в АСУ ТП (заказчик),
– обеспечивающих эксплуатацию АСУ ТП (оператор), – привлекаемых в соответствии с законодательством РФ к проведению работ по созданию (проектированию) АСУ ТП и (или) их систем защиты (разработчик)
На кого распространяются требования по КСИИ и АСУ ТП
КСИИ
• Заказчик • Оператор
АСУ ТП
• Заказчик • Оператор • Разработчик
• Включение разработчиков является требованием, установленным «Основами госполитики…»
Объект защиты
• Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом) объекте (в том числе данные о параметрах (состоянии) управляемого (контролируемого) объекта или процесса, входная (выходная) информация, команды управления, контрольно-измерительная информация)
• Программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства), общесистемное, прикладное (специальное, микропрограммное) программное обеспечение, а также средства защиты информации
Объект защиты
КСИИ
• Информация, не содержащая сведения ограниченного доступа
АСУ ТП
• Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом)
• Программно-технический комплекс, включающий технические средства, общесистемное, прикладное программное обеспечение, а также средства защиты информации
Подробное описание объекта защиты
КСИИ
• Приведено подробное описание в «Рекомендациях…»
АСУ ТП
• Отсутствует
3 уровня архитектуры АСУ ТП
Физический
• Сенсоры, исполнительные устройства и другое оборудование, которое взаимодействует с объектом управления (как правило, с помощью электрических сигналов)
«Кибер»
• Все ИТ-устройства и ПО, которое получает данные с физического уровня и отправляет команды на него
Принятия решений
• Обычно операторы АСУ ТП, которые на основе данных с кибер-уровня принимают решения для эффективного управления инфраструктурой
• Контролю и защите подлежат все уровни архитектуры • Учитывайте разные способы воздействия на эти уровни (в т.ч. и электромагнитное)
Смена парадигмы
• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)
• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
Безопасное функционирование АСУ ТП на первом месте
• Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию
КСИИ
• Конфиденциальность • Целостность • Доступность
АСУ ТП
• Доступность • Целостность • Конфиденциальность
Кто может защищать КСИИ и АСУ ТП
КСИИ
• Лицензиаты ФСТЭК
АСУ ТП
• Защита – лицензиаты ФСТЭК
• Оценка защищенности – аккредитованные компании с лицензией на гостайну (по законопроекту о безопасности КИИ)
ЖИЗНЕННЫЙ ЦИКЛ СИСТЕМЫ ЗАЩИТЫ
Жизненный цикл системы защиты АСУ ТП
• Формирование требований к защите информации в АСУ ТП • Разработка системы защиты АСУ ТП • Внедрение системы защиты АСУ ТП и ввод ее в действие; • Обеспечение защиты информации в ходе эксплуатации АСУ ТП • Обеспечение защиты информации при выводе из эксплуатации АСУ ТП
Формирование требований
• Принятие решения о необходимости защиты информации в АСУ ТП
• Классификация АСУ ТП по требованиям защиты информации – 3 класса защищенности – При разбиении АСУ ТП на сегменты (подсистемы) класс устанавливается для каждого сегмента отдельно
– Класс пересматривается только при модернизации, в результате которой поменялась значимость информации
• Определение угроз безопасности информации, реализация которых может привести к нарушению доступности, целостности или конфиденциальности информации и безопасного функционирования АСУ ТП, и разработку на их основе модели угроз безопасности информации
• Определение требований к системе защиты АСУ ТП
Классификация АСУ ТП
• Класс защищенности АСУ ТП зависит от уровня значимости информации
• Уровень значимости информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности, доступности или конфиденциальности, в результате которого возможно нарушение штатного режима функционирования АСУ ТП
• Степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом – Например, в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»
Степень наносимого ущерба
Степень ущерба Описание ущерба Высокая Возникновение чрезвычайной ситуации федерального
или межрегионального характера* или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности
Средняя возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности
Низкая Возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности
Какой класс защищенности будет оптимальным?
• Для объектов ТЭК, обязанных произвести категорирование опасности своих объектов в рамках обеспечения антитеррористической защищенности, оптимальным будет установить уровень защищенности равный уровню категории опасности – Ниже можно (по результатам оценки защищенности) – Выше будет нелогично
Класс защищенности Категория опасности 1 Высокая 2 Средняя 3 Низкая
Классификация КСИИ и АСУ ТП
КСИИ
• 2 типа КСИИ • 3 уровня важности для каждого типа
• Признаки классификации закрытые
АСУ ТП
• 3 класса защищенности АСУ ТП
• Класс зависит от уровня наносимого ущерба
Моделирование угроз
• Модель угроз безопасности информации должна содержать описание АСУ ТП и угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей АСУ ТП, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации и безопасного функционирования автоматизированной системы управления
• Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК
Моделирование угроз в КСИИ и АСУ ТП
КСИИ
• Подробное описание процесса
• Базовая модель • Методика определения актуальных угроз
АСУ ТП
• Документ готовится • Общий по КСИИ, ИСПДн, АСУ ТП
ВВЕДЕНИЕ В ЗАЩИТНЫЕ МЕРЫ
Меры по защите информации
• Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
Меры по защите информации
• продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком
– управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации
– выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
Как определяются защитные меры
• Выбор мер защиты информации в АСУ ТП включает выбор базового набора мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам АСУ ТП, реализуемым ИТ, особенностям функционирования АСУ ТП (включает исключение защитных мер) уточнение адаптированного набора дополнение адаптированного базового набора мер по обеспечению защиты информации в АСУ ТП дополнительными мерами, установленными иными нормативными актами
Базовые меры
Адаптация базового набора
Уточнение адаптированного набора
Дополнение уточненного адаптированного набора
Компенсационные меры
Что включается в базовый набор?
• Базовый набор защитных мер – это не минимально возможный перечень мер защиты
• Это рекомендуемый набор мер защиты «по умолчанию», составленный как набор «лучших практик» – Для тех, кто не готов пересматривать защитные меры исходя из особенностей своей информационной системы
А если какую-то меру невозможно реализовать?
• При отсутствии возможности реализации отдельных мер защиты информации в АСУ ТП или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования АСУ ТП, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности АСУ ТП
• В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению меры промышленной и (или) физической безопасности АСУ ТП, поддерживающие необходимый уровень защищенности АСУ ТП
Компенсирующие меры
• В ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных
• Примеры – Среда виртуализации на базе KVM, Xen или Hyper-V и отсутствие сертифицированных МСЭ
– Антивирус на Apple iOS и MDM / NAC / перенаправление на шлюз – Замена антивируса замкнутой программной средой – Замена МСЭ маршрутизатором или коммутатором – Замена системы обнаружения вторжений системой анализа сетевого трафика
Можно ли исключать защитные меры?
• Исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в АСУ ТП, или структурно-функциональными характеристиками, не свойственными АСУ ТП
• В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в АСУ ТП меры по обеспечению промышленной безопасности и (или) физической безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации, отдельные меры защиты информации могут не применяться
Алгоритм выбора мер защиты в КСИИ и АСУ ТП
КСИИ
• Зависит только от типа КСИИ и уровня значимости
• Исключение защитных мер невозможно
• Компенсирующие меры невозможны
АСУ ТП
• Зависит от структурно-функциональных характеристик АСУ ТП, реализуемых ИТ, особенностей функционирования АСУ ТП
• Исключение защитных мер возможно
• Компенсирующие меры возможны
Меры по защите информации в АСУ ТП и КСИИ
Защитная мера АСУ ТП
КСИИ I типа
КСИИ II типа
Идентификация и аутентификация субъектов доступа и объектов доступа + + Управление доступом субъектов доступа к объектам доступа + + Ограничение программной среды + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + Регистрация событий безопасности + Антивирусная защита + + Обнаружение (предотвращение) вторжений + + Контроль (анализ) защищенности персональных данных + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + Защита среды виртуализации + Защита технических средств + + Защита информационной системы, ее средств, систем связи и передачи данных + +
Меры по защите информации в АСУ ТП и КСИИ
Защитная мера АСУ ТП
КСИИ I типа
КСИИ II типа
Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + + Обеспечение действий в нештатных (непредвиденных) ситуациях + + Информирование и обучение пользователей + + Анализ угроз безопасности информации и рисков от их реализации + + Требования к персоналу + Защита коммуникаций + + Аудит безопасности +
Можно ли использовать корпоративные стандарты?
КСИИ
• Не предусмотрено
АСУ ТП
• Предусмотрено через механизм добавления защитных мер в алгоритме их выбора
О РЕАЛИЯХ ИСПОЛНЕНИЯ ПРИКАЗА ФСТЭК
Специфика рынка ИБ АСУ ТП
• ИБ АСУ ТП – это не один продукт! Это комбинация архитектуры, опыта (не всегда передового), поведения и «технологических» компонентов (не всегда современных) – «железа», профессиональных услуг и программного обеспечения – Обычно именно в такой последовательности
52%
8%
40% Железо ПО Услуги
Специфика рынка защиты АСУ ТП
• Решения по ИБ АСУ ТП включают традиционные «офисные» средства защиты и специально разработанные для АСУ ТП системы
• Среди средств защиты доминируют аппаратные МСЭ, ориентированные на работу в агрессивных средах (повышенной надежности) – Контроль доступа к индустриальным устройствам и защита от сетевых атак
• В части программной ИБ фокус делается на антивирусах и замкнутой программной среде (application whitelisting) – Защита индустриальных устройств от заражения
Специфичных средств ИБ АСУ ТП по-прежнему не хватает
• CNetSec – МСЭ и сетевая безопасность
• ICSNetSec – индустриальная сетевая безопасность
• AV/WL – антивирусы и whitelisting
• ICSSysMgmt – программные агенты и управление
Специфика рынка ИБ АСУ ТП
• Традиционные поставщики средств защиты (McAfee, Symantec и др.) редко учитывают отраслевую специфику – Индустриальные протоколы – Временные задержки на обработку сигналов и управляющих команд
– Работа в агрессивных средах – Управление патчами – Огромное количество сенсоров/датчиков – Размеры пакетов
• Небольшой объем рынка ИБ АСУ ТП делает сложной для традиционных поставщиков разработку отраслевых решений
РЕШЕНИЯ CISCO
Cell/Area Zone Уровни 0-2
Индустриальная зона
Уровень 3
Буферная зона
(DMZ)
Контроль в реальном времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация Мультсервисные сети Безопасность приложений и управления
Контроль доступа
Защита от угроз
Сеть предприятия Уровни 4-5
Gbps Link for Failover Detection
Firewall & IPS
Firewall & IPS
Application Servers
Cisco Catalyst Switch
Network Services
Cisco Catalyst 6500/4500
Cisco Cat. 3750 StackWise Switch Stack
Patch Management Terminal Services Application Mirror
AV Server
Cell/Area #1 (Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
Drive Drive
HMI
Distributed I/O
HMI
Cell/Area #2 (Ring Topology)
Cell/Area #3 (Bus/Star Topology)
Controller
Интеграция в сеть предприятия UC Wireless Application Optimization Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)
Решения Cisco
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Big
SIEM IPS;
Prime Infrastructure Компоненты:
• Коммутаторы 3 и 2 уровня, маршрутизаторы
• Системы управления сетью • Системы контроля доступа • Системы контроля безопасности на оконечных узлах
• Системы управления производством
• Системы обнаружения вторжений в системы SCADA, DCS, PLC, SIS, RTU сигнатуры индустриального уровня;
• Системы экспертного анализа событий (SIEM)
Identity Services Engine
Cisco Security Manager
Наполнение зоны Manufacturing
Big
В данном примере данные АСУ ТП собираются и передаются в бизнес систему в Enterprise зоне Данные не хранятся и не используются в зоне Manufacturing, таким образом отказ зоны DMZ не влияет на процесс производства Данные АСУ ТП должны буфферизоваться на тот случай если не будет связи с DMZ
Потоки трафика в ДМЗ
Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500
• Индустриальные маршрутизаторы ISR 819H, CGR 2000
• Индустриальные беспроводные решения Cisco 1550 Outdoor AP
• Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI
• Индустриальные системы предотвращения вторжений IPS for SCADA
• В ближайшее время планируется появление еще ряда решений
Cat. 6500 Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms 1260 and 3560 APs
ASA
IE 3010
IE 3000 1552 AP
CGR 2010
IE 2000
ISR 819
7925G-EX IP Phone
Cisco IPS для АСУ ТП
Все типы оборудования • SCADA • DCS • PLC • SIS • EMS
• Все основные производители • Schneider • Siemens • Rockwell • GE, ABB • Yokogawa • Motorola • Emerson • Invensys • Honeywell • SEL
• И это не конец…
Защита индустриальных систем с помощью Sourcefire
• 2 препроцессора для Modbus и DNP3 • Возможность написания собственных сигнатур • Свыше сотни встроенных сигнатур
CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent
RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa
GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS
ОЦЕНКА СООТВЕТСТВИЯ
Как осуществляется приемка системы защиты АСУ ТП?
• По решению заказчика подтверждение соответствия системы защиты АСУ ТП техническому заданию на создание АСУ ТП и (или) техническому заданию (частному техническому заданию) на создание системы защиты АСУ ТП, а также требованиям ФСТЭК может проводиться в форме аттестации АСУ ТП на соответствие требованиям по защите информации – В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК
• Приемочные испытания системы защиты АСУ ТП проводятся, как правило, в рамках приемочных испытаний АСУ ТП в целом
Сертификация средств защиты необязательна
• Для обеспечения защиты информации в АСУ ТП применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
Оценка соответствия средств защиты информации в КСИИ и АСУ ТП
КСИИ
• Только сертифицированные
АСУ ТП
• Любые, прошедшие оценку соответствия в соответствие с законодательством о техническом регулировании
Соответствие уровней защищенности классам сертифицированных СЗИ (в случае их применения)
Тип СЗИ / ПО 3 уровень 2 уровень 1 уровень
СВТ Не ниже 5 Не ниже 5 Не ниже 5
IDS Не ниже 5 Не ниже 4 Не ниже 3
Антивирус Не ниже 5 Не ниже 4 Не ниже 3
Средства доверенной загрузки Не ниже 5 Не ниже 4 Не ниже 3
Средства контроля съемных носителей Не ниже 5 Не ниже 4 Не ниже 3
МСЭ Не ниже 4 3Интернет 4
3Интернет 4
НДВ в СЗИ - Не ниже 4 Не ниже 4
Какие решения Cisco имеют сертификаты ФСТЭК?
• Многофункциональные защитные устройства – Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 – Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X – Cisco ASA SM
• Системы предотвращения вторжений – Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2
• Межсетевые экраны – Cisco Pix 501, 506, 515, 520, 525, 535 – Cisco FWSM – Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751,
1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 3845, 3925, 7201, 7206, 7301, 7604
– ASR 1002, GSR 12404, CGR2000, CGR2500
Какие решения Cisco имеют сертификаты ФСТЭК?
• Коммутаторы – Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 6504, 6506, 6509, 6513
– Cisco Nexus • Системы управления
– CiscoWorks Monitoring Center – Cisco Security Manager 3.2, 3.3 – Cisco Secure ACS 4.x – Cisco Secure ACS 1121 – CS MARS 20, 25, 50, 100, 110
• Прочее – Cisco AS5350XM – Sourcefire NGFW
Какие решения Cisco планируется сертифицировать?
• Системы предотвращения вторжений – Cisco IPS 4345, 4360, 4510, 4520 – Cisco IPS for АСУ ТП
• Межсетевые экраны – Cisco ASA 1000v – Cisco Virtual Security Gateway – Cisco ASAv
• Cisco UCS • Решения Sourcefire NGIPS
Smart Grid коммутатор, маршрутизатор, IE3000 (как МСЭ) и IPS for SCADA
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
ФСТЭК унифицирует требования по защите информации
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Требования по защите привязаны к
4 уровням защищенности ПДн
4 классам защищенности ГИС/МИС
3 классам защищенности АСУ ТП
Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер
Да Да Да
Проверка на отсутствие «закладок»
Требуется для угроз 1-2 типа (актуальность определяется заказчиком)
Требуется для 1-2 класса защищенности ГИС/МИС
Требуется только при выборе сертифицированных средств защиты
Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Оценка соответствия
В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор
Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
Резюме
• Безопасность АСУ ТП становится одним из драйверов рынка ИБ в России – АСУ ТП есть в ТЭК, на транспорте, в ЖКХ, в промышленности и т.п.
• ФСТЭК и другие регуляторы формируют нормативную базу по данному вопросу – Основополагающим является приказ ФСТЭК №31
• АСУ ТП может считаться подмножеством КСИИ – Пока соотнесение АСУ ТП и КСИИ вызывает вопросы
• Выбор защитных мер для АСУ ТП является очень гибким • Сертификация средств защиты в текущей версии приказа не требуется
• Возможно применение любых решений Cisco – Особенно Sourcefire IPS, Cisco ASA, Cisco CTD, Cisco ISE
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 69
Благодарю вас за внимание
