24
http:// www.certifsecurity.r u http://www.pppudp.ru Начальник Управления телекоммуникационных систем ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» д.т.н. Масановец Валентин Викторович Обеспечение информационной безопасности автоматизированных систем управления производственными и технологическими процессами объектов топливно- энергетического комплекса в аспекте проблем энергетической безопасности России

презентация доклада масановца

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: презентация доклада масановца

http://www.certifsecurity.ruhttp://www.pppudp.ru

Начальник Управления телекоммуникационных системФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации»

д.т.н. Масановец Валентин Викторович

Обеспечение информационной безопасности автоматизированных систем управления производственными и технологическими процессами объектов топливно-энергетического комплекса

в аспекте проблем энергетической безопасности России

Page 2: презентация доклада масановца

Основным содержанием энергетической безопасности является:

-устойчивое обеспечение спроса достаточным количеством энергоносителей стандартного качества, -эффективное использование энергоресурсов путем повышения конкурентоспособности отечественных производителей, -предотвращение возможного дефицита топливно-энергетических ресурсов,- создание стратегических запасов топлива, резервных мощностей и комплектующего оборудования, -обеспечение стабильности функционирования систем энерго- и теплоснабжения

(«Стратегия национальной безопасности Российской Федерации до 2020 года »)

Page 3: презентация доклада масановца

Энергетическая безопасность -

это состояние защищенности страны, ее граждан, общества, государства и экономики от угроз надежному топливо- и энергообеспечению.

(«Энергетическая стратегия России на период до 2030 года»)

Page 4: презентация доклада масановца

История безопасности промышленных систем разделяется на два этапа: до появления Stuxnet и после.

С 2010 года было обнаружено в 20 раз больше уязвимостей, чем за предыдущие пять лет.

АСУ ТП в цифрах: С 2010 года в 20 раз выросло число обнаруженных уязвимостей. Каждая пятая уязвимость устраняется дольше месяца. 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35% уязвимостей есть эксплойты. Более 40% интернет-доступных систем могут взломать хакеры-любители. Треть доступных из интернета систем находятся в США. Четверть уязвимостей связана с отсутствием необходимых обновлений безопасности. Уязвимы 54% интернет-доступных систем в Европе и 39% в Северной Америке. Уязвимы 50% опубликованных в глобальной сети систем из России.

(источник – аналитический отчет компании «Positive Technologies»)

Page 5: презентация доклада масановца

Критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок

(«Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации»)

Page 6: презентация доклада масановца

Статья 11. (ФЗ от 21июля 2011 г. № 256-ФЗ)

    1. В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.     2. Информация о системах, указанных в части 1 настоящей статьи, является информацией, доступ к которой ограничен федеральными законами. Указанная информация вносится в паспорта безопасности объектов топливно-энергетического комплекса.

Page 7: презентация доклада масановца

ГОСТ Р ИСО/МЭК 15408-2008 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий"

• ГОСТ Р ИСО/МЭК 15408-1-2008 Часть 1. Введение и общая модель

• ГОСТ Р ИСО/МЭК 15408-2-2008 Часть 2. Функциональные требования безопасности

• ГОСТ Р ИСО/МЭК 15408-3-2008 Часть 2. Требования доверия к безопасности

Общие Критерии

Page 8: презентация доклада масановца

РД. «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры»

РД. «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»

РД. «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»

РД. «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры»

ГОСТ РО 0043-001-2010 «Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения»

Page 9: презентация доклада масановца

Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями

Page 10: презентация доклада масановца

Такие системы развёрнуты и функционируют в критически важных сегментах информационной инфраструктуры, включая в том числе:

• системы предупреждения и ликвидации чрезвычайных ситуаций;• системы специального назначения;• системы управления добычей и транспортировкой нефти,

нефтепродуктов и газа;• системы управления энергоснабжением;• системы управления потенциально опасными объектами;• системы, которые не относятся к вышеуказанным, но нарушение

штатного режима функционирования которых может привести к нарушению функций управления чувствительными для Российской Федерации (РФ) процессами со значительными негативными последствиями для страны

Page 11: презентация доклада масановца

Отнесение КСИИ к одному из 4-х уровней важности осуществляется в соответствии с порядком и критериями,

приведенными в «Системе признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», (утверждена 8 ноября 2005 года Секретарем Совета Безопасности Российской Федерации).

Page 12: презентация доклада масановца

• оценку обстановки, в том числе определение принадлежности КСИИ к одному из установленных уровней важности, определение перечня критически важной информации в КСИИ и оценку последствий нарушений ее безопасности, анализ и выявление актуальных угроз безопасности информации, оценку принятых мер ОБИ, подготовку и принятие решения о необходимости дополнительных мер ОБИ;

• обоснование требований по ОБИ в КСИИ;• разработку Концепции (Замысла) ОБИ в КСИИ;• выбор целесообразного состава мер и средств ОБИ в КСИИ в соответствии с

задачами и Замыслом ОБИ (или Концепцией ОБИ) в КСИИ;• решение основных вопросов управления обеспечением безопасности

информации в КСИИ в динамике изменения обстановки и контроля эффективности ОБИ;

Организация работ по ОБИ в КСИИ в общем виде должна предусматривать:

Page 13: презентация доклада масановца

• решение основных вопросов обеспечения реализации принятого Замысла ОБИ;• планирование мероприятий по ОБИ в КСИИ;• организацию проведения и проведение научно-исследовательских и опытно-

конструкторских работ (НИОКР) по разработке системы ОБИ в КСИИ;• привлечение подразделений организации, эксплуатирующей КСИИ,

специализированных сторонних организаций к разработке и развертыванию системы ОБИ или ее элементов, решение основных задач взаимодействия подразделений организации по ОБИ, определение задач и функций подразделений организации на различных стадиях создания и эксплуатации КСИИ (системы ОБИ в составе КСИИ);

• разработку документации по вопросам ОБИ в КСИИ и эксплуатации системы ОБИ;

• развертывание и ввод в опытную эксплуатацию разработанной системы ОБИ;• доработку системы ОБИ по результатам опытной эксплуатации.• аттестацию КСИИ по требованиям безопасности информации.

Page 14: презентация доклада масановца

В ходе оценки обстановки :

• уточняется принадлежность КСИИ к одному из установленных для КСИИ уровней важности;

• проводится выявление критически важной (защищаемой) информации КСИИ;

• проводится выявление актуальных угроз безопасности информации в КСИИ;

• формируется частная модель угроз для конкретной КСИИ.

Page 15: презентация доклада масановца

Обоснование требований по ОБИ в КСИИ:

• по управлению доступом;• по регистрации и учету;• по обеспечению целостности критически важной информации в КСИИ;• по обеспечению безопасного межсетевого взаимодействия внутри КСИИ и

КСИИ с внешними системами;• по уровню контроля отсутствия недекларированных возможностей в

программном обеспечении средств защиты информации (СЗИ);• по антивирусной защите КСИИ;• к характеристикам устанавливаемых в КСИИ систем анализа

защищенности и систем обнаружения вторжений.

Формируются в соответствии с «Общими требованиями по обеспечению безопасности информации в ключевых системах информационной

инфраструктуры»

Page 16: презентация доклада масановца

• цель защиты;• основные требования по ОБИ в КСИИ, которые необходимо выполнить;• направления, на которых должны быть сосредоточены усилия по ОБИ

(компоненты КСИИ, блоки защищаемой информации, угрозы, которые должны быть устранены, нейтрализованы или парированы в первую очередь);

• основные способы ОБИ в КСИИ и контроля эффективности мероприятий по ОБИ;

• предложения по распределению задач ОБИ между подразделениями организации, эксплуатирующей КСИИ, должностными лицами организации, эксплуатирующей КСИИ;

• перечень программных и программно-аппаратных средств ОБИ и контроля состояния безопасности информации, подлежащих разработке;

• основные вопросы управления, взаимодействия и обеспечения решения задач ОБИ в КСИИ.

Замысел обеспечения безопасности информации в КСИИ должен включать :

Page 17: презентация доклада масановца

ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»

ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»

Page 18: презентация доклада масановца

Проведение аттестации КСИИ предусмотрено руководящим документом ФСТЭК России

«Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утверждены ФСТЭК России 19 ноября 2007 г.

Порядок проведения аттестации определён ГОСТ РО 0043-003-2012 «Защита информации. Аттестация

объектов информатизации. Общие положения»

Page 19: презентация доклада масановца

Аттестация объекта информатизации (КСИИ) проводится до ввода объекта информатизации в эксплуатацию и вызвана необходимостью

официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.

Аттестация объектов информатизации может носить добровольный или обязательный характер (в зависимости от собственности КСИИ государственная/частная, и др.)

Page 20: презентация доклада масановца

Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие мероприятия:

- подачу и рассмотрение заявки на аттестацию объекта информатизации;

- предварительное ознакомление с аттестуемым объектом информатизации;

- разработку программы и методик аттестационных испытаний;- проведение аттестационных испытаний объекта информатизации;- оформление, регистрацию и выдачу аттестата соответствия.

Page 21: презентация доклада масановца

- экспертно-документальный метод;- инструментальный метод с использованием контрольно-измерительной

аппаратуры;- проверку соответствия примененных параметров настройки элементов

системы защиты информации требованиям безопасности информации;- проверку подсистем защиты информации от несанкционированного

доступа;- проверку программной совместимости и корректности функционирования

всего комплекса используемых средств вычислительной техники с продукцией, используемой в целях защиты информации;

- испытания системы защиты информации от несанкционированного доступа путем осуществления попыток несанкционированного доступа к тестовой защищаемой информации в обход используемой системы защиты информации.

При проведении аттестационных испытаний применяют следующие методы, проверки и испытания:

Page 22: презентация доклада масановца

«Основные направления государственной политики в области обеспечения безопасности автоматизированных систем

управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской

Федерации»

(утверждены Президентом Российской Федерации 3 февраля 2012 г. № 803)

Page 23: презентация доклада масановца

В документе сформулированы основные принципы и задачи государственной политики в области обеспечения безопасности

автоматизированных систем управления Критически важных объектов, в следующих направлениях :

а) совершенствование нормативной правовой базы;

б) государственное регулирование;

в) промышленная и научно-техническая политика;

г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры;

д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.

Page 24: презентация доклада масановца

Управление телекоммуникационных системФГУП «Предприятие по поставкам продукции

Управления делами ПрезидентаРоссийской Федерации»:

Сайт: http://www.certifsecurity.ru,e-mail: [email protected]

Тел.: (499) 259-16-05Факс. (495) 940-06-12

БЛАГОДАРЮ ЗА ВНИМАНИЕ