Upload
mathmodels-net
View
838
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
http://www.certifsecurity.ruhttp://www.pppudp.ru
Начальник Управления телекоммуникационных системФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации»
д.т.н. Масановец Валентин Викторович
Обеспечение информационной безопасности автоматизированных систем управления производственными и технологическими процессами объектов топливно-энергетического комплекса
в аспекте проблем энергетической безопасности России
Основным содержанием энергетической безопасности является:
-устойчивое обеспечение спроса достаточным количеством энергоносителей стандартного качества, -эффективное использование энергоресурсов путем повышения конкурентоспособности отечественных производителей, -предотвращение возможного дефицита топливно-энергетических ресурсов,- создание стратегических запасов топлива, резервных мощностей и комплектующего оборудования, -обеспечение стабильности функционирования систем энерго- и теплоснабжения
(«Стратегия национальной безопасности Российской Федерации до 2020 года »)
Энергетическая безопасность -
это состояние защищенности страны, ее граждан, общества, государства и экономики от угроз надежному топливо- и энергообеспечению.
(«Энергетическая стратегия России на период до 2030 года»)
История безопасности промышленных систем разделяется на два этапа: до появления Stuxnet и после.
С 2010 года было обнаружено в 20 раз больше уязвимостей, чем за предыдущие пять лет.
АСУ ТП в цифрах: С 2010 года в 20 раз выросло число обнаруженных уязвимостей. Каждая пятая уязвимость устраняется дольше месяца. 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35% уязвимостей есть эксплойты. Более 40% интернет-доступных систем могут взломать хакеры-любители. Треть доступных из интернета систем находятся в США. Четверть уязвимостей связана с отсутствием необходимых обновлений безопасности. Уязвимы 54% интернет-доступных систем в Европе и 39% в Северной Америке. Уязвимы 50% опубликованных в глобальной сети систем из России.
(источник – аналитический отчет компании «Positive Technologies»)
Критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок
(«Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации»)
Статья 11. (ФЗ от 21июля 2011 г. № 256-ФЗ)
1. В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса. 2. Информация о системах, указанных в части 1 настоящей статьи, является информацией, доступ к которой ограничен федеральными законами. Указанная информация вносится в паспорта безопасности объектов топливно-энергетического комплекса.
ГОСТ Р ИСО/МЭК 15408-2008 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий"
• ГОСТ Р ИСО/МЭК 15408-1-2008 Часть 1. Введение и общая модель
• ГОСТ Р ИСО/МЭК 15408-2-2008 Часть 2. Функциональные требования безопасности
• ГОСТ Р ИСО/МЭК 15408-3-2008 Часть 2. Требования доверия к безопасности
Общие Критерии
РД. «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»
РД. «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»
РД. «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»
РД. «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»
ГОСТ РО 0043-001-2010 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения»
Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями
Такие системы развёрнуты и функционируют в критически важных сегментах информационной инфраструктуры, включая в том числе:
• системы предупреждения и ликвидации чрезвычайных ситуаций;• системы специального назначения;• системы управления добычей и транспортировкой нефти,
нефтепродуктов и газа;• системы управления энергоснабжением;• системы управления потенциально опасными объектами;• системы, которые не относятся к вышеуказанным, но нарушение
штатного режима функционирования которых может привести к нарушению функций управления чувствительными для Российской Федерации (РФ) процессами со значительными негативными последствиями для страны
Отнесение КСИИ к одному из 4-х уровней важности осуществляется в соответствии с порядком и критериями,
приведенными в «Системе признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», (утверждена 8 ноября 2005 года Секретарем Совета Безопасности Российской Федерации).
• оценку обстановки, в том числе определение принадлежности КСИИ к одному из установленных уровней важности, определение перечня критически важной информации в КСИИ и оценку последствий нарушений ее безопасности, анализ и выявление актуальных угроз безопасности информации, оценку принятых мер ОБИ, подготовку и принятие решения о необходимости дополнительных мер ОБИ;
• обоснование требований по ОБИ в КСИИ;• разработку Концепции (Замысла) ОБИ в КСИИ;• выбор целесообразного состава мер и средств ОБИ в КСИИ в соответствии с
задачами и Замыслом ОБИ (или Концепцией ОБИ) в КСИИ;• решение основных вопросов управления обеспечением безопасности
информации в КСИИ в динамике изменения обстановки и контроля эффективности ОБИ;
Организация работ по ОБИ в КСИИ в общем виде должна предусматривать:
• решение основных вопросов обеспечения реализации принятого Замысла ОБИ;• планирование мероприятий по ОБИ в КСИИ;• организацию проведения и проведение научно-исследовательских и опытно-
конструкторских работ (НИОКР) по разработке системы ОБИ в КСИИ;• привлечение подразделений организации, эксплуатирующей КСИИ,
специализированных сторонних организаций к разработке и развертыванию системы ОБИ или ее элементов, решение основных задач взаимодействия подразделений организации по ОБИ, определение задач и функций подразделений организации на различных стадиях создания и эксплуатации КСИИ (системы ОБИ в составе КСИИ);
• разработку документации по вопросам ОБИ в КСИИ и эксплуатации системы ОБИ;
• развертывание и ввод в опытную эксплуатацию разработанной системы ОБИ;• доработку системы ОБИ по результатам опытной эксплуатации.• аттестацию КСИИ по требованиям безопасности информации.
В ходе оценки обстановки :
• уточняется принадлежность КСИИ к одному из установленных для КСИИ уровней важности;
• проводится выявление критически важной (защищаемой) информации КСИИ;
• проводится выявление актуальных угроз безопасности информации в КСИИ;
• формируется частная модель угроз для конкретной КСИИ.
Обоснование требований по ОБИ в КСИИ:
• по управлению доступом;• по регистрации и учету;• по обеспечению целостности критически важной информации в КСИИ;• по обеспечению безопасного межсетевого взаимодействия внутри КСИИ и
КСИИ с внешними системами;• по уровню контроля отсутствия недекларированных возможностей в
программном обеспечении средств защиты информации (СЗИ);• по антивирусной защите КСИИ;• к характеристикам устанавливаемых в КСИИ систем анализа
защищенности и систем обнаружения вторжений.
Формируются в соответствии с «Общими требованиями по обеспечению безопасности информации в ключевых системах информационной
инфраструктуры»
• цель защиты;• основные требования по ОБИ в КСИИ, которые необходимо выполнить;• направления, на которых должны быть сосредоточены усилия по ОБИ
(компоненты КСИИ, блоки защищаемой информации, угрозы, которые должны быть устранены, нейтрализованы или парированы в первую очередь);
• основные способы ОБИ в КСИИ и контроля эффективности мероприятий по ОБИ;
• предложения по распределению задач ОБИ между подразделениями организации, эксплуатирующей КСИИ, должностными лицами организации, эксплуатирующей КСИИ;
• перечень программных и программно-аппаратных средств ОБИ и контроля состояния безопасности информации, подлежащих разработке;
• основные вопросы управления, взаимодействия и обеспечения решения задач ОБИ в КСИИ.
Замысел обеспечения безопасности информации в КСИИ должен включать :
ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»
Проведение аттестации КСИИ предусмотрено руководящим документом ФСТЭК России
«Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утверждены ФСТЭК России 19 ноября 2007 г.
Порядок проведения аттестации определён ГОСТ РО 0043-003-2012 «Защита информации. Аттестация
объектов информатизации. Общие положения»
Аттестация объекта информатизации (КСИИ) проводится до ввода объекта информатизации в эксплуатацию и вызвана необходимостью
официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.
Аттестация объектов информатизации может носить добровольный или обязательный характер (в зависимости от собственности КСИИ государственная/частная, и др.)
Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие мероприятия:
- подачу и рассмотрение заявки на аттестацию объекта информатизации;
- предварительное ознакомление с аттестуемым объектом информатизации;
- разработку программы и методик аттестационных испытаний;- проведение аттестационных испытаний объекта информатизации;- оформление, регистрацию и выдачу аттестата соответствия.
- экспертно-документальный метод;- инструментальный метод с использованием контрольно-измерительной
аппаратуры;- проверку соответствия примененных параметров настройки элементов
системы защиты информации требованиям безопасности информации;- проверку подсистем защиты информации от несанкционированного
доступа;- проверку программной совместимости и корректности функционирования
всего комплекса используемых средств вычислительной техники с продукцией, используемой в целях защиты информации;
- испытания системы защиты информации от несанкционированного доступа путем осуществления попыток несанкционированного доступа к тестовой защищаемой информации в обход используемой системы защиты информации.
При проведении аттестационных испытаний применяют следующие методы, проверки и испытания:
«Основные направления государственной политики в области обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской
Федерации»
(утверждены Президентом Российской Федерации 3 февраля 2012 г. № 803)
В документе сформулированы основные принципы и задачи государственной политики в области обеспечения безопасности
автоматизированных систем управления Критически важных объектов, в следующих направлениях :
а) совершенствование нормативной правовой базы;
б) государственное регулирование;
в) промышленная и научно-техническая политика;
г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры;
д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.
Управление телекоммуникационных системФГУП «Предприятие по поставкам продукции
Управления делами ПрезидентаРоссийской Федерации»:
Сайт: http://www.certifsecurity.ru,e-mail: [email protected]
Тел.: (499) 259-16-05Факс. (495) 940-06-12
БЛАГОДАРЮ ЗА ВНИМАНИЕ