Проект приказа ФСТЭК по защите информации в АСУ ТП
1. Требования ФСТЭК по защите
информации в АСУ ТП
Лукацкий Алексей, консультант по безопасности
2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
РГ ЦБ
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов
Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
4. Последние изменения по направлению КВО
• Постановление Правительства №861 от 02.10.2013
• Законопроект по безопасности критических информационных
инфраструктур
– Будет вноситься в ГД в апреле 2014
• Реализация Основных направления государственной политики в
области обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
• Указ Президента №31с «О создании государственной системы
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ»
• Разработка нормативных документов во исполнении
законопроекта по безопасности КИИ и основных направлений
госполитики
6. Категорирование объектов КИИ
• Субъекты КИИ на основании установленных критериев и в
соответствии с утвержденными показателями этих критериев,
осуществляют отнесение принадлежащих им на праве
собственности или ином законном основании объектов КИИ к
установленным категориям
• Критерии
–
–
–
–
–
–
критерий экономической значимости
критерий экологической значимости
критерий значимости для обеспечения обороноспособности
критерий значимости для национальной безопасности
критерий социальной значимости
критерий важности объекта КИИ в части реализации
управленческой функции;
– критерий важности объекта КИИ в части предоставления
значительного объема информационных услуг
7. Категории объектов КИИ
• 3 категории объектов КИИ
– объекты критической информационной инфраструктуры
Российской Федерации высокой категории опасности
– объекты критической информационной инфраструктуры
Российской Федерации средней категории опасности
– объекты критической информационной инфраструктуры
Российской Федерации низкой категории опасности
8. Что делать с категориями?
1 категория • Направить в ФСБ
2 категория • Направить в ФСТЭК
3 категория • Направить в ФСТЭК
• ФСБ или ФСТЭК могут не согласиться с установленной категорией
– На проверку дается 3 месяца
•
При несогласии возврат документов о категорировании на
доработку с указанием мотивированного отказа
• При согласии – включение в реестр объектов КИИ, которые
ведутся ФСТЭК и ФСБ в рамках своих полномочий
10. 5 требований по безопасности
1. Организационные вопросы безопасности
2. Требования к персоналу, непосредственно обеспечивающему
функционирование и безопасность объектов КИИ
3. Требования к защите от вредоносного программного обеспечения
и от компьютерных атак
4. Требования безопасности при взаимодействии с сетями связи
общего пользования
5. Требования к обеспечению безопасности информационных
технологий в ходе эксплуатации информационнотелекоммуникационных систем
• ФОИВы могут устанавливать дополнительные требования по
обеспечению безопасности объектов КИИ по согласовании с ФСБ
и ФСТЭК соответственно
• Субъекты КИИ могут дополнять непротиворечащие закону
требования по безопасности
11. Система безопасности объекта КИИ должна включать
• Предотвращение неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления,
распространения информации, а также совершения иных
противоправных действий по отношению к информации,
обеспечивающей управление и контроль за технологическими
процессами КВО
• Недопущение воздействия на технические средства обработки
информации, в результате которого может быть нарушено или
прекращено КИИ
• Реагирование на компьютерные инциденты
• Возможность незамедлительного восстановления информации и
функционирования объекта КИИ
• Создание и хранение резервных копий информации, обеспечивающей
управление и контроль за технологическими процессами КВО
• Непрерывное взаимодействие с государственной системой
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ
13. АСУ ТП – это подмножество КСИИ
• Ключевая (критически важная) система информационной
инфраструктуры – информационно-управляющая или
информационно-телекоммуникационная система, которая
осуществляет управление КВО (процессом), или
информационное обеспечение таким объектом (процессом), или
официальное информирование граждан и в результате
деструктивных действий на которую может сложиться
чрезвычайная ситуация или будут нарушены выполняемые
системой функции управления со значительными негативными
последствиями
• Автоматизированная система управления производственными и
технологическими процессами КВО инфраструктуры РФ –
комплекс аппаратных и программных средств, информационных
систем и информационно-телекоммуникационных сетей,
предназначенных для решения задач оперативного управления и
контроля за различными процессами и техническими объектами в
рамках организации производства или технологического
процесса КВО
14. Отнесение систем к КСИИ
• КСИИ делятся на группы
– Системы сбора открытой информации, на основании которой
принимаются управленческие решения
– Системы хранения открытой информации
– Системы управления СМИ
– Системы управления критически важным объектом
• Требования по обеспечению безопасности информации в КСИИ
отличаются в зависимости от их типа и между собой не
пересекаются (!!!)
– 1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
– 2-й тип – системы управления критически важными объектами
15. Требования по защите КСИИ 1-го типа
Группы требований
Уровень важности КСИИ
3
2
1
Управление доступом
1Г
1В
1Б
Регистрация и учет
1Г
1В
1Б
Обеспечение целостности
1Г
1В
1Б
Обеспечение безопасного межсетевого
взаимодействия в КСИИ
4
3
2
Уровень контроля отсутствия НДВ
4
3
2
Антивирусная защита
+
+
+
Анализ защищенности
+
+
+
Обнаружение вторжений
+
+
+
Требования доверия к безопасности
+
+
+
16. Требования по защите КСИИ 2-го типа
Группы требований
Уровень важности КСИИ
3
2
1
Планирование обеспечения безопасности
+
+
+
Действия в непредвиденных ситуациях
+
+
+
Реагирование на инциденты
+
+
+
Оценка рисков
+
+
+
Защита носителей информации
+
+
+
Обеспечение целостности
+
+
+
Физическая защита и защиты среды
+
+
+
Безопасность и персонал
+
+
+
Информирование и обучение по вопросам ИБ
+
+
+
Защита коммуникаций
+
+
+
Аудит безопасности
+
+
+
18. Проект нового приказ ФСТЭК
• «Об утверждении Требований к
обеспечению защиты информации в
автоматизированных системах
управления производственными и
технологическими процессами на
критически важных объектах,
потенциально опасных объектах, а
также объектах, представляющих
повышенную опасность для жизни и
здоровья людей и для окружающей
природной среды»
– Ориентация на объекты ТЭК,
транспортной безопасности,
использования атомной энергии,
опасных производственных объектов,
гидротехнических сооружений
19. На кого распространяется приказ?
• Автоматизированные системы управления, обеспечивающие
контроль и управление технологическим и (или)
производственным оборудованием (исполнительными
устройствами) и реализованными на нем технологическими и (или)
производственными процессами
– В том числе системы диспетчерского управления, системы сбора
(передачи) данных, программируемые логические контроллеры,
распределенные системы управления, системы управления
станками с числовым программным управлением
– На АСУ ТП с гостайной не распространяются
• Требования предназначены для лиц
– обеспечивающих задание требований к защите информации в АСУ
ТП (заказчик),
– обеспечивающих эксплуатацию АСУ ТП (оператор),
– привлекаемых в соответствии с законодательством РФ к
проведению работ по созданию (проектированию) АСУ ТП и (или)
их систем защиты (разработчик)
20. Объект защиты
• Информация (данные) о производственном и (или)
технологическом процессе, управляемом (контролируемом)
объекте (в том числе данные о параметрах (состоянии)
управляемого (контролируемого) объекта или процесса, входная
(выходная) информация, команды управления, контрольноизмерительная информация)
• Программно-технический комплекс, включающий технические
средства (в том числе автоматизированные рабочие места,
серверы управления, телекоммуникационное оборудование,
каналы связи, программируемые логические контроллеры,
системы локальной автоматики, исполнительные устройства),
общесистемное, прикладное (специальное, микропрограммное)
программное обеспечение, а также средства защиты информации
21. Можно ли использовать корпоративные стандарты?
• ФОИВ, корпоративные структуры и организации в соответствии с
настоящими Требованиями в пределах своих полномочий могут
устанавливать отраслевые (ведомственные, корпоративные)
требования к обеспечению защиты информации в АСУ ТП,
находящихся в их ведении, с учетом особенностей
соответствующих отраслей экономики (промышленности) и
специфики управляемых (контролируемых) объектов
22. Смена парадигмы
• Принимаемые организационные и технические меры защиты
информации должны обеспечивать доступность обрабатываемой
в АСУ ТП (исключение неправомерного блокирования
информации), ее целостность (исключение неправомерного
уничтожения, модифицирования информации), а также, при
необходимости, конфиденциальность (исключение
неправомерного доступа, копирования, предоставления или
распространения информации)
• Организационные и технические меры защиты информации
должны быть согласованы с мерами по промышленной,
физической, пожарной, экологической, радиационной
безопасности, иными мерами по обеспечению безопасности АСУ
ТП и управляемого (контролируемого) объекта и (или) процесса и
не должны оказывать отрицательного (мешающего) влияния на
штатный режим функционирования АСУ ТП
23. Безопасное функционирование АСУ ТП на первом месте
• Система защиты автоматизированной системы управления не
должна препятствовать достижению целей создания
автоматизированной системы управления и ее безопасному
функционированию
24. Вас могут защищать не все
• Для выполнения работ по обеспечению безопасности могут
привлекаться организации, имеющие лицензию на деятельность
по технической защите конфиденциальной информации
• При проведении оценки защищенности объектов КИИ могут
привлекаться аккредитованные для этих целей в установленном
порядке организации
• Аккредитация
– Проводится на добровольной основе и на срок 5 лет
– Требует наличия лицензии на гостайну
– Требует наличия средств, предназначенных для оценки
защищенности объектов КИИ и получивших подтверждение
соответствия требованиям ФСТЭК (по согласованию с ФСБ)
– Требует не менее 3-х специалистов с ВПО в области ИБ
– По критериям, установленным ФСБ и ФСТЭК соответственно
26. Жизненный цикл системы защиты АСУ ТП
•
•
•
•
•
Формирование требований к защите информации в АСУ ТП
Разработка системы защиты АСУ ТП
Внедрение системы защиты АСУ ТП и ввод ее в действие;
Обеспечение защиты информации в ходе эксплуатации АСУ ТП
Обеспечение защиты информации при выводе из эксплуатации
АСУ ТП
27. Формирование требований
• Принятие решения о необходимости защиты информации в АСУ
ТП
• Классификация АСУ ТП по требованиям защиты информации
– 3 класса защищенности
– При разбиении АСУ ТП на сегменты (подсистемы) класс
устанавливается для каждого сегмента отдельно
– Класс пересматривается только при модернизации, в результате
которой поменялась значимость информации
• Определение угроз безопасности информации, реализация
которых может привести к нарушению доступности, целостности
или конфиденциальности информации и безопасного
функционирования АСУ ТП, и разработку на их основе модели
угроз безопасности информации
• Определение требований к системе защиты АСУ ТП
28. Классификация АСУ ТП
• Класс защищенности АСУ ТП зависит от уровня значимости
информации
• Уровень значимости информации (УЗ) определяется степенью
возможного ущерба от нарушения ее целостности, доступности
или конфиденциальности, в результате которого возможно
нарушение штатного режима функционирования АСУ ТП
• Степень возможного ущерба определяется заказчиком или
оператором экспертным или иным методом
– Например, в соответствии с постановлением Правительства
Российской Федерации от 21 мая 2007 г. № 304 «О
классификации чрезвычайных ситуаций природного и
техногенного характера»
29. Степень наносимого ущерба
Степень ущерба Описание ущерба
Высокая
Возникновение чрезвычайной ситуации федерального
или межрегионального характера* или иные
существенные негативные последствия в социальной,
политической, экономической, военной или иных
областях деятельности
Средняя
возникновение чрезвычайной ситуации регионального
или межмуниципального характера* или иные
умеренные негативные последствия в социальной,
политической, экономической, военной или иных
областях деятельности
Низкая
Возникновение чрезвычайной ситуации
муниципального (локального) характера или возможны
иные незначительные негативные последствия в
социальной, политической, экономической, военной или
иных областях деятельности
30. Какой класс защищенности будет оптимальным?
• Для объектов ТЭК, обязанных произвести категорирование
опасности своих объектов в рамках обеспечения
антитеррористической защищенности, оптимальным будет
установить уровень защищенности равный уровню категории
опасности
– Ниже можно (по результатам оценки защищенности)
– Выше будет нелогично
Класс защищенности
Категория опасности
1
Высокая
2
Средняя
3
Низкая
31. Моделирование угроз
• Модель угроз безопасности информации должна содержать
описание АСУ ТП и угроз безопасности информации,
включающее описание возможностей нарушителей (модель
нарушителя), возможных уязвимостей АСУ ТП, способов
реализации угроз безопасности информации и последствий от
нарушения свойств безопасности информации и безопасного
функционирования автоматизированной системы управления
• Для определения угроз безопасности информации и разработки
модели угроз безопасности информации применяются
методические документы, разработанные и утвержденные
ФСТЭК
33. Меры по защите информации
• Организационные и технические меры защиты информации,
реализуемые в АСУ ТП
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности
– целостность АСУ ТП
– доступность технических средств и информации
– защита среды виртуализации
34. Меры по защите информации
• продолжение:
– защита технических средств и оборудования
– защита АСУ ТП и ее компонентов
– безопасная разработка прикладного и специального
программного обеспечения разработчиком
– управление обновлениями программного обеспечения
– планирование мероприятий по обеспечению защиты информации
– обеспечение действий в нештатных (непредвиденных) ситуациях
– информирование и обучение пользователей
– анализ угроз безопасности информации и рисков от их
реализации
– выявление инцидентов и реагирование на них
– управление конфигурацией информационной системы и ее
системы защиты
35. Как определяются защитные меры
• Выбор мер защиты информации в АСУ ТП
включает
выбор базового набора мер
адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам АСУ ТП, реализуемым ИТ,
особенностям функционирования АСУ ТП
(включает исключение защитных мер)
уточнение адаптированного набора
дополнение адаптированного базового набора мер
по обеспечению защиты информации в АСУ ТП
дополнительными мерами, установленными иными
нормативными актами
Базовые меры
Адаптация базового
набора
Уточнение
адаптированного набора
Дополнение уточненного
адаптированного набора
Компенсационные меры
36. А если какую-то меру невозможно реализовать?
• При отсутствии возможности реализации отдельных мер защиты
информации в АСУ ТП или отдельных ее сегментах (устройствах)
и (или) невозможности их применения к отдельным объектам и
субъектам доступа, в том числе в следствии их негативного
влияния на штатный режим функционирования АСУ ТП, на
этапах адаптации базового набора мер защиты информации или
уточнения адаптированного базового набора мер защиты
информации разрабатываются иные (компенсирующие) меры
защиты информации, обеспечивающие адекватное блокирование
(нейтрализацию) угроз безопасности информации и необходимый
уровень защищенности АСУ ТП
• В качестве компенсирующих мер, в первую очередь,
рассматриваются меры по обеспечению меры промышленной и
(или) физической безопасности АСУ ТП, поддерживающие
необходимый уровень защищенности АСУ ТП
37. Можно ли исключать защитные меры?
• Исключение из базового набора мер защиты информации мер,
непосредственно связанных с информационными технологиями,
не используемыми в АСУ ТП, или структурно-функциональными
характеристиками, не свойственными АСУ ТП
• В целях исключения избыточности в реализации мер защиты
информации и в случае, если принятые в АСУ ТП меры по
обеспечению промышленной безопасности и (или) физической
безопасности обеспечивают блокирование (нейтрализацию) угроз
безопасности информации, отдельные меры защиты
информации могут не применяться
39. Управление инцидентами – обязанность субъекта КИИ
• Субъекты КИИ обязаны незамедлительно информировать в
порядке, установленном ФСБ, о компьютерных инцидентах,
произошедших на объектах КИИ
• Субъектами КИИ в незамедлительном порядке принимаются
меры по ликвидации последствий компьютерных инцидентов.
Порядок реагирования на компьютерные инциденты и
ликвидации их последствий на объектах КИИ определяется ФСБ
• Субъекты КИИ обязаны оказывать содействие должностным
лицам ФСБ, в выявлении, предупреждении и пресечении
компьютерных инцидентов, а также в ликвидации их последствий,
установлении причин и условий их совершения
40. Уведомление об инцидентах: как правильно?
• По законопроекту уведомлять об инцидентах ИБ необходимо
ФСБ и незамедлительно
– А если группа холдинговая?
– А кому в ФСБ? ЦИБ? 8-й Центр? УФСБ? УКООП СЭБ?
– Каков порядок?
• По ПП-861 от 02.10.2013 уведомлять об инцидентах ИБ на
объектах ТЭК надо МВД, ФСБ, МЧС и МинЭнерго
– Каков порядок?
– Кому конкретно в указанных ФОИВах?
42. Как осуществляется приемка системы защиты АСУ ТП?
• По решению заказчика подтверждение соответствия системы
защиты АСУ ТП техническому заданию на создание АСУ ТП и
(или) техническому заданию (частному техническому заданию) на
создание системы защиты АСУ ТП, а также требованиям ФСТЭК
может проводиться в форме аттестации АСУ ТП на соответствие
требованиям по защите информации
– В этом случае для проведения аттестации применяются
национальные стандарты, а также методические документы,
разработанные и утвержденные ФСТЭК
• Приемочные испытания системы защиты АСУ ТП проводятся, как
правило, в рамках приемочных испытаний АСУ ТП в целом
43. Сертификация средств защиты необязательна
• Для обеспечения
защиты информации в
АСУ ТП применяются
средства защиты
информации,
прошедшие оценку
соответствия в
Оценка
соответствии с
соответствия
законодательством
Российской Федерации
о техническом
регулировании
Госконтроль и
надзор
Аккредитация
Испытания
Регистрация
Добровольная
сертификация
Подтверждение
соответствия
Обязательная
сертификация
Приемка и ввод
в эксплуатацию
Декларирование
соответствия
В иной форме
44. Соответствие уровней защищенности классам
сертифицированных СЗИ (в случае их применения)
Тип СЗИ / ПО
3 уровень
2 уровень
1 уровень
СВТ
Не ниже 5
Не ниже 5
Не ниже 5
IDS
Не ниже 5
Не ниже 4
Не ниже 3
Антивирус
Не ниже 5
Не ниже 4
Не ниже 3
Средства доверенной
загрузки
Не ниже 5
Не ниже 4
Не ниже 3
Средства контроля съемных
носителей
Не ниже 5
Не ниже 4
Не ниже 3
Не ниже 4
3Интернет
4
3Интернет
4
-
Не ниже 4
Не ниже 4
МСЭ
НДВ в СЗИ
49. Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE
2000, IE 3010 и CGS 2500
• Индустриальные маршрутизаторы ISR
819H, CGR 2000
• Индустриальные беспроводные решения
Cisco 1550 Outdoor AP
• Индустриальные встраиваемые
маршрутизаторы в форм-факторах PC104 и
cPCI
• Индустриальные системы предотвращения
вторжений IPS for SCADA
• В ближайшее время планируется
появление еще ряда решений
Available COTS Platforms
Cat. 4500
Cat. 6500
Cat. 3750
ASA
Available Industrial Platforms
ISR
819
1260 and
3560 APs
IE 3010
IE 3000
1552 AP
7925G-EX
IP Phone
CGR 2010
IE 2000
50. Cisco SAFE for PCN
Enterprise Network
Уровень 5
Уровень 4
Email, Intranet, etc.
Site Business Planning and Logistics Network
Terminal
Services
Patch
Mgmt
Зона
корпоративной ЛВС
AV
Server
DMZ
Historian
(Mirror)
Уровень 3
Уровень 2
Уровень 1
Уровень 0
Production
Control
Optimizing
Control
Supervisory
Control
Batch
Control
Web Services
Operations
Historian
HMI
Discrete
Control
МСЭ и IDS
Application
Server
Engineering
Station
Site Operations
and Control
Supervisory HMI
Control
Continuous Hybrid
Control
Control
Area
Supervisory
Control
Basic
Control
Process
МСЭ и
IPS
ЛВС
АСУТП
51. Cisco IPS для АСУ ТП
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…
52. Защита индустриальных систем с помощью Sourcefire
• 2 препроцессора для Modbus и DNP3
• Возможность написания собственных сигнатур
• Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin
Iconics Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
53. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение
Modbus TCP -Unauthorized Write Request to a
PLC
Сигнатура
alert tcp !$MODBUS_CLIENT any ->
$MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”;
offset:2; depth:2; pcre:”/[Ss]{3}(x05|x06|x0F|
x10|x15|x16)/iAR”; msg:”Modbus TCP –
Unauthorized Write Request to a PLC”;
reference:scada,1111007.htm; classtype:badunknown; sid:1111007; rev:1; priority:1;)
Резюме
Неавторизованный Modbus-клиент попытался
записать информацию на PLC или иное
устройства
Воздействие
Целостность системы
Отказ в обслуживании
Информация
Подверженные системы
PLC и другие устройства с Modbus TCP
сервером
54. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение
Unauthorized communications with HMI
Сигнатура
alert tcp192.168.0.97 any <> !
[192.168.0.3,192.168.10.21] any (msg:"HMItalking
to someone other than PLC or RTU -NOT
ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме
Попытка неавторизованной системы
подключиться к HMI
Воздействие
Компрометация системы
Информация
Подверженные системы
PLC;RTU;HMI;DMZ-Web
55. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение
Unauthorized to RTU Telnet/FTP
Сигнатура
alert tcp!$PCS_HOSTS any -> 192.168.0.3 23
(msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established;
content:”GET”; offset:2; depth:2;
reference:DHSINLroadshowIDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме
Узел в контролируемой ЛВС попытлся
подключиться к RTU Telnet-серверу
Воздействие
Сканирование
Компрометация системы управления
Информация
Подверженные системы
RTU