Николай  ДомуховскийГлавный  инженер  ДСИ

ООО  «УЦСБ»

Построение  системы  анализа  и  мониторинга  состояния  информационной  безопасности  автоматизированных  систем  управления

Обеспечение  ИБ  АСУ  ТП  на  различных  этапах  жизненного  цикла

• Проектирование  СЗИ  с  учетом  действующих  требований  по  обеспечению  ИБ

• Проектирование  системы  (в  составе  проекта  по  созданиюили  реконструкции  технологического  объекта

АСУ  ТП

СЗИ  АСУ  ТП

• СМР/ПНР  системы• Приемка  основного  функционала

• СМР/ПНР  СЗИ• Приемка  функционала СЗИ

??

2 из  14

Факторы,  влияющие  на  обеспечение  ИБ  АСУ  ТП  в  процессе  эксплуатации

Внесение  изменений  в  АСУ  ТП  в  ходе  эксплуатации:• Плановое  обновление  в  ходе  ТО• Замена  вышедших  из  строя  компонентов

• Несанкционированные  или  случайные  отключения  СрЗИ

Появление  новых  уязвимостей:Общесистемного  ПО• Специализированного  ПО  АСУ  ТП• В  результате  вносимых  изменений  в  АСУ  ТП

3 из  14

• Планирование  корректирующих  мероприятий

• Увеличение  затрат  на  контроль  соответствия  требованиям  ИБ

Отраслевые  нормативные  документы

Федеральные  нормативные  документы

Расширение  требований  и  совершенствование  подходов  к  обеспечению  ИБ  АСУ  ПТК

Основные  направления  

гос.  политики  в  области  

обеспечения  безопасности  АСУ  

КВО

Приказ  ФСТЭК  России  №31

Требования  к  обеспечению  

защиты  информации  в  АСУ  КВО

Требования  по  проектированию  

систем  автоматизации

Требования  по  эксплуатации  

систем  автоматизации

Политика  безопасности  

АСУ  ТП

Проект  ФЗ  

О  безопасности  критической  

информационной  инфраструктуры  РФ

4 из  14

Мероприятия  по  обеспечению  ИБФакторы

Связь  факторов,  влияющих  на  обеспечение  ИБ  АСУ  ПТК,  с  мероприятиями  по  обеспечению  ИБ

• Контроль  конфигураций• Инвентаризация  объектов  защиты• Управление  событиями  ИБ

• Контроль  защищенности  компонентов  АСУ  ПТК

• Выявление  компьютерных  атак

• Автоматизация  контроля  соответствия  требованиям  по  ИБ

Изменения  в  процессе  эксплуатации  АСУ  ПТК

Появление  новых  уязвимостей  компонентов  

АСУ  ПТК

Изменение  требований  и  совершенствование  

подходов  к  обеспечению  ИБ  АСУ  ПТК

5 из  14

Цели  создания  и  назначение  САМСИБЦели  создания

• Повышение  уровня  защищенности  АСУ  ПТК  на  стадии  эксплуатации• Предотвращение  реализации  угроз  ИБ  путем  выявления  предпосылок  их  реализации

Назначение  системы• Выявление  несанкционированных  изменений• Выявление  незащищенных  компонентов  АСУ  ПТК• Регистрация  и  учет  событий  ИБ• Выявление  уязвимостей  компонентов  АСУ  ПТК• Обнаружение  попыток  эксплуатации  уязвимостей• Автоматизированный  контроль  выполнения  требований  по  ИБ

6 из  14

Подсистема  сбора  и  обработки  событий  ИБ

Основные  функции  САМСИБ  АСУ  ПТК

• Сбор  событий  ИБ• Корреляция  событий  ИБ• Выявление  инцидентов  ИБ

Подсистема  контроля

Контроль  конфигураций  • Сбор  конфигураций• Выявление  изменений  конфигураций

Инвентаризация  ОЗ• Определение  текущего  состава  ОЗ• Выявление  изменений  в  составе  ОЗ• Передача  информации  об  ОЗ  в  КСУИБ

Контроль  соответствия  требованиям  ИБ  и  контроль  защищенности• Проверка  ОЗ  на  наличие  уязвимостей

• Оценка  выполнения  требований  безопасной  конфигурации

• Формирование  отчетов• Передача  отчетов  в  КСУИБ

Подсистема  обнаружения  сетевых  атак  и  аномалий

• Обнаружение  атак• Выявление  сетевых  аномалий

7 из  14

Особенности  АСУ  ТП  как  объекта  защиты«Офисные» системы АСУ  ПТК

1.  Принципы  построения  систем  

Преимущественно  централизованные  системы  со  схожей  архитектурой  построения

Иерархия разнородных  систем.  Каждая  отдельно  взятая  система  уникальна

2.  Ориентация  на  работу  с  пользователями

Ориентирована на  взаимодействие  с  пользователем  на  всех  уровнях

Степень взаимодействия  с  пользователем  зависит  от  уровня  иерархии  АСУ  ТП

8 из  14

ИУС  ВИУС  Б

ИУС  А

Уровень  АУП MES

Уровеньфилиала

Диспетчерский  пункт

Уровень  ТК ИАСУ  ТП

Уровень  ТОУ АСУ  ЭСАУАСУ  ТП

Особенности  функционирования  систем  АСУ  ТП  с  точки  зрения  ИБ

10.06.15 9 из  14

Оперативный  режим• Функционирование  системы  АСУ  ТП  в  полном  объеме  с  выполнением  всех  доступных  функций

• Не  вносятся  никакие  изменения  в  оборудование  и  ПО  (за  исключением  текущего  ремонта)

• Взаимодействие  с  пользователем  (оператором)  в  режиме  «киоска»

• Крайне  критична  корректность  и  время  выполнения  функций

• Нарушение  работы  системы  АСУ  ТП  напрямую  влияет  на  технологический  процесс

Режим  ТО/инженерного  сопровождения

• Основные  функции  системы  АСУ  ТП  не  реализуются

• Проводятся  работы  с  отдельными  компонентами  системы  АСУ  ТП:  СВТ,  АСО,  ПЛК  и  пр.  

• Активно  вносятся  изменения• Подключаются  дополнительные  устройства  (сервисные  компьютеры,  съемные  носители  и  пр.)

Функциональные  блоки  САМСИББлок Функции блока Размещение  в  иерархии  

АСУ  ТППользователь  

блокаБлок  мониторинга

• Сбор  событий  ИБ• Обнаружение  атак• Выявление  сетевых  аномалий• Сбор  конфигураций• Определение  текущего  состава  ОЗ• Выявление  изменений  в  составе  

ОЗ• Проверка  ОЗ  на  наличие  

уязвимостей

Нет

Блок  корреляции

• Корреляция  событий  ИБ• Выявление изменений  

конфигураций Инженер

Блок  анализа • Выявление  инцидентов  ИБ• Оценка  выполнения  требований  

безопасной  конфигурации• Формирование  отчетов• Интеграция  с  КСУИБ

Администратор  ИБ

Уровень  АУП

Уровень  филиала

Уровень  ТК

Уровень  АУП

Уровень  филиала

Уровень  ТК

Уровень  АУП

Уровень  филиала

Уровень  ТК10 из  14

АСУ  ТП

Уровень  филиала

Уровень  ТК

Уровень  АУП

Функциональная  структура  САМСИБ

MES

ДП  филиала

ИАСУ  ТП

11 из  14

Блок  оценки

Блок  корреляции

Блок  мониторинга

Сканирование

События  ИБ

Трафик

Конфигурация

События  ИБ

конфигурация

уязвимости

Блок  мониторинга

Блок  мониторинга

Сканирование

События  ИБ

Трафик

Конфигурация

Сканирование

События  ИБ

Трафик

Конфигурация

События  ИБ

Конфигурации

уязвимости

Блок  корреляции

События  ИБ

Конфигурации

уязвимости

Сводные  данные

Сводные  данные

Учет  изменений  АСУ  ТП,  подтверждение  событий

Инженер

АИБ

Анализ  данных,  управление,  обновление

Режимы  функционирования  блока  мониторинга

Функции  блока  мониторинга Пассивный  мониторинг

Активный  мониторинг

Сканирование  защищенности

Сбор  событий  ИБ

Обнаружение  атак

Выявление  сетевых  аномалий

Сбор  конфигураций

Определение  текущего  состава  ОЗ

Выявление  изменений  в  составе  ОЗ

Проверка  ОЗ  на  наличие  уязвимостей

Пассивный  мониторинг:однонаправленное  получение  информации,  мониторинг  на  основе  анализа  сетевого  трафика,  без  воздействия  на  компоненты  АСУ  ТП

Сканирование  защищенности:выявление  уязвимостей  компонентов  АСУ  ТП

Активный  мониторинг:взаимодействие  с  компонентами  АСУ  ТП  (запрос-­ответ),  сбор  конфигураций  и  событий

Решения  по  режимам  функционирования    принимаются  на  стадии  ПИР,  в  зависимости  от  критичности  АСУ  ТП  и  согласуются  с  эксплуатирующей  организацией

12 из  14

ЗаключениеСоздание системы анализа и мониторинга состоянияИБ АСУ ТП позволит:

� Получать оперативную информацию о состоянии ИБ объектовАСУ ТП

� Обеспечить контроль соответствия требованиям ИБ ипланирование мероприятий по приведению в соответствие.

� Выявить предпосылки реализации угроз ИБ для своевременногопринятия мер по предотвращению инцидентов в АСУ ТП

13 из  14

Благодарю  за  внимание!

Николай  ДомуховскийООО  «УЦСБ»620100,  Екатеринбург,  ул.  Ткачей,  д.6Тел.:  +7  (343)  379-­98-­34Факс:  +7  (343)  382-­05-­63info@ussc.ruwww.USSC.ru