Upload
-
View
159
Download
1
Embed Size (px)
Citation preview
Николай ДомуховскийГлавный инженер ДСИ
ООО «УЦСБ»
Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления
Обеспечение ИБ АСУ ТП на различных этапах жизненного цикла
• Проектирование СЗИ с учетом действующих требований по обеспечению ИБ
• Проектирование системы (в составе проекта по созданиюили реконструкции технологического объекта
АСУ ТП
СЗИ АСУ ТП
• СМР/ПНР системы• Приемка основного функционала
• СМР/ПНР СЗИ• Приемка функционала СЗИ
??
2 из 14
Факторы, влияющие на обеспечение ИБ АСУ ТП в процессе эксплуатации
Внесение изменений в АСУ ТП в ходе эксплуатации:• Плановое обновление в ходе ТО• Замена вышедших из строя компонентов
• Несанкционированные или случайные отключения СрЗИ
Появление новых уязвимостей:Общесистемного ПО• Специализированного ПО АСУ ТП• В результате вносимых изменений в АСУ ТП
3 из 14
• Планирование корректирующих мероприятий
• Увеличение затрат на контроль соответствия требованиям ИБ
Отраслевые нормативные документы
Федеральные нормативные документы
Расширение требований и совершенствование подходов к обеспечению ИБ АСУ ПТК
Основные направления
гос. политики в области
обеспечения безопасности АСУ
КВО
Приказ ФСТЭК России №31
Требования к обеспечению
защиты информации в АСУ КВО
Требования по проектированию
систем автоматизации
Требования по эксплуатации
систем автоматизации
Политика безопасности
АСУ ТП
Проект ФЗ
О безопасности критической
информационной инфраструктуры РФ
4 из 14
Мероприятия по обеспечению ИБФакторы
Связь факторов, влияющих на обеспечение ИБ АСУ ПТК, с мероприятиями по обеспечению ИБ
• Контроль конфигураций• Инвентаризация объектов защиты• Управление событиями ИБ
• Контроль защищенности компонентов АСУ ПТК
• Выявление компьютерных атак
• Автоматизация контроля соответствия требованиям по ИБ
Изменения в процессе эксплуатации АСУ ПТК
Появление новых уязвимостей компонентов
АСУ ПТК
Изменение требований и совершенствование
подходов к обеспечению ИБ АСУ ПТК
5 из 14
Цели создания и назначение САМСИБЦели создания
• Повышение уровня защищенности АСУ ПТК на стадии эксплуатации• Предотвращение реализации угроз ИБ путем выявления предпосылок их реализации
Назначение системы• Выявление несанкционированных изменений• Выявление незащищенных компонентов АСУ ПТК• Регистрация и учет событий ИБ• Выявление уязвимостей компонентов АСУ ПТК• Обнаружение попыток эксплуатации уязвимостей• Автоматизированный контроль выполнения требований по ИБ
6 из 14
Подсистема сбора и обработки событий ИБ
Основные функции САМСИБ АСУ ПТК
• Сбор событий ИБ• Корреляция событий ИБ• Выявление инцидентов ИБ
Подсистема контроля
Контроль конфигураций • Сбор конфигураций• Выявление изменений конфигураций
Инвентаризация ОЗ• Определение текущего состава ОЗ• Выявление изменений в составе ОЗ• Передача информации об ОЗ в КСУИБ
Контроль соответствия требованиям ИБ и контроль защищенности• Проверка ОЗ на наличие уязвимостей
• Оценка выполнения требований безопасной конфигурации
• Формирование отчетов• Передача отчетов в КСУИБ
Подсистема обнаружения сетевых атак и аномалий
• Обнаружение атак• Выявление сетевых аномалий
7 из 14
Особенности АСУ ТП как объекта защиты«Офисные» системы АСУ ПТК
1. Принципы построения систем
Преимущественно централизованные системы со схожей архитектурой построения
Иерархия разнородных систем. Каждая отдельно взятая система уникальна
2. Ориентация на работу с пользователями
Ориентирована на взаимодействие с пользователем на всех уровнях
Степень взаимодействия с пользователем зависит от уровня иерархии АСУ ТП
8 из 14
ИУС ВИУС Б
ИУС А
Уровень АУП MES
Уровеньфилиала
Диспетчерский пункт
Уровень ТК ИАСУ ТП
Уровень ТОУ АСУ ЭСАУАСУ ТП
Особенности функционирования систем АСУ ТП с точки зрения ИБ
10.06.15 9 из 14
Оперативный режим• Функционирование системы АСУ ТП в полном объеме с выполнением всех доступных функций
• Не вносятся никакие изменения в оборудование и ПО (за исключением текущего ремонта)
• Взаимодействие с пользователем (оператором) в режиме «киоска»
• Крайне критична корректность и время выполнения функций
• Нарушение работы системы АСУ ТП напрямую влияет на технологический процесс
Режим ТО/инженерного сопровождения
• Основные функции системы АСУ ТП не реализуются
• Проводятся работы с отдельными компонентами системы АСУ ТП: СВТ, АСО, ПЛК и пр.
• Активно вносятся изменения• Подключаются дополнительные устройства (сервисные компьютеры, съемные носители и пр.)
Функциональные блоки САМСИББлок Функции блока Размещение в иерархии
АСУ ТППользователь
блокаБлок мониторинга
• Сбор событий ИБ• Обнаружение атак• Выявление сетевых аномалий• Сбор конфигураций• Определение текущего состава ОЗ• Выявление изменений в составе
ОЗ• Проверка ОЗ на наличие
уязвимостей
Нет
Блок корреляции
• Корреляция событий ИБ• Выявление изменений
конфигураций Инженер
Блок анализа • Выявление инцидентов ИБ• Оценка выполнения требований
безопасной конфигурации• Формирование отчетов• Интеграция с КСУИБ
Администратор ИБ
Уровень АУП
Уровень филиала
Уровень ТК
Уровень АУП
Уровень филиала
Уровень ТК
Уровень АУП
Уровень филиала
Уровень ТК10 из 14
АСУ ТП
Уровень филиала
Уровень ТК
Уровень АУП
Функциональная структура САМСИБ
MES
ДП филиала
ИАСУ ТП
11 из 14
Блок оценки
Блок корреляции
Блок мониторинга
Сканирование
События ИБ
Трафик
Конфигурация
События ИБ
конфигурация
уязвимости
Блок мониторинга
Блок мониторинга
Сканирование
События ИБ
Трафик
Конфигурация
Сканирование
События ИБ
Трафик
Конфигурация
События ИБ
Конфигурации
уязвимости
Блок корреляции
События ИБ
Конфигурации
уязвимости
Сводные данные
Сводные данные
Учет изменений АСУ ТП, подтверждение событий
Инженер
АИБ
Анализ данных, управление, обновление
Режимы функционирования блока мониторинга
Функции блока мониторинга Пассивный мониторинг
Активный мониторинг
Сканирование защищенности
Сбор событий ИБ
Обнаружение атак
Выявление сетевых аномалий
Сбор конфигураций
Определение текущего состава ОЗ
Выявление изменений в составе ОЗ
Проверка ОЗ на наличие уязвимостей
Пассивный мониторинг:однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты АСУ ТП
Сканирование защищенности:выявление уязвимостей компонентов АСУ ТП
Активный мониторинг:взаимодействие с компонентами АСУ ТП (запрос-ответ), сбор конфигураций и событий
Решения по режимам функционирования принимаются на стадии ПИР, в зависимости от критичности АСУ ТП и согласуются с эксплуатирующей организацией
12 из 14
ЗаключениеСоздание системы анализа и мониторинга состоянияИБ АСУ ТП позволит:
� Получать оперативную информацию о состоянии ИБ объектовАСУ ТП
� Обеспечить контроль соответствия требованиям ИБ ипланирование мероприятий по приведению в соответствие.
� Выявить предпосылки реализации угроз ИБ для своевременногопринятия мер по предотвращению инцидентов в АСУ ТП
13 из 14
Благодарю за внимание!
Николай ДомуховскийООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-98-34Факс: +7 (343) 382-05-[email protected]