Опыт УЦСБ в области обеспечения информационной безопасности промышленных
систем автоматизации и управления
Алексей Комаров Компания УЦСБ
09 июня - Москва, 16 июня - Екатеринбург
http://USSC.ru [email protected]
Содержание• Что будет сегодня?
• Докладчики • Программа • Стенд • Доклады УЦСБ
• Компания УЦСБ • Опыт УЦСБ в области ИБ АСУ ТП • Что мы предлагаем?
2
http://USSC.ru [email protected]
• Атака «Человек посередине»
• Подмена трафика между компонентами АСУ ТП
• Заражение компонентов АСУ ТП вредоносным ПО
• Отказ в обслуживании компонентов АСУ ТП
• Эксплуатация уязвимостей компонентов АСУ ТП
Стенд Автоматизированный парковочный комплекс
4
http://USSC.ru [email protected]
• Опыт УЦСБ в области обеспечения информационной безопасности промышленных систем автоматизации и управления.
• Практика проведения аудитов информационной безопасности систем автоматизации и управления.
• Реальная защищенность АСУ ТП. Результаты аудитов ИБ. • Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления.
• Программно-аппаратный комплекс оперативного мониторинга и контроля защищенности АСУ ТП. ПАК DATAPK.
Доклады УЦСБ
5
http://USSC.ru [email protected]
Компания УЦСБ• Основана в 2007 • Оборот в 2014 ~2 млрд ₽
• CNews100: Крупнейшие ИТ-компании России • CNews: Крупнейшие компании России в сфере защиты информации, Самые быстрорастущие ИТ-компании
• Лидер рынка системной и сетевой интеграции Екатеринбурга(Деловой Квартал)
• Эксперт-Урал: ТОП 3 в сфере ИТ на территории Урало-Западносибирского региона по итогам 2014 года
6
http://USSC.ru [email protected]
Компания УЦСБ• Сотрудники ~300
• только 10% административные и пр. • Направления деятельности
• ИБ, ИТ, ТСО, инженерные системы, ЦОДы, НИР, НИОКР, R&D
• Лицензии и сертификаты • ФСБ, ФСТЭК, МЧС, Газпромсерт
• Сертификат соответствия системы менеджмента требованиям стандарта ИСО 9001:2008
7
http://USSC.ru [email protected]
Почему ИБ АСУ ТП?• Повышение уровня информатизации • Реальные инциденты (в основном зарубежные)
• Регулярно выявляемые уязвимости • Существенные последствия даже
с учётом низкой вероятности • Законодательные инициативы ->
нормативные требования
8
http://USSC.ru [email protected]
УЦСБ и ИБ АСУ ТП• Выделенное направление - более трёх лет функционирования: 1. Исследования по теме ИБ АСУ ТП 2. Создание систем обеспечения ИБ АСУ ТП 3. Разработка собственных
решений - DATAPK
9
http://USSC.ru [email protected]
Исследования по теме ИБ АСУ ТП• Анализ мирового и отечественного опыта
• Собственные исследования и оценка защищённости
• Аудиты реальных действующих АСУ ТП
10
http://USSC.ru [email protected]
Анализ мирового и отечественного опыта
• Национальные и отраслевые зарубежные стандарты • Международные стандарты (ISA99) • Работы зарубежных аналитических агентств • Что в результате:
• Подходы к определению критичности объектов защиты • Состав мер по обеспечению ИБ • Безопасная архитектура АСУ ТП • Средства и методы создания
систем ИБ
11
💡Внутренние семинары
http://USSC.ru [email protected]
Собственные исследования и оценка защищённости
• Эксперты и аналитики • Выявление уязвимостей • Пример: Advisory (ICSA-15-132-02)
Rockwell Automation RSView32 Weak Encryption Algorithm on Passwords, May 26, 2015
12
💡Оценка защищённости
http://USSC.ru [email protected]
Аудиты действующих АСУ ТП• Что проверяем?
• Поиск известных (ИТ) уязвимостей • Соответствие требованиям (внешним, внутренним) • Оценка ущерба от реализации угроз ИБ
• Как проверяем? • «Неразрушающий контроль» - сбор данных только встроенными средствами СВТ и ПО в продуктивном сегменте АСУ ТП
• Полноценный контроль защищенности на стендах Заказчика или разработчика (при наличии)
• Тест на проникновение из смежных сетей (офисная, управления и пр.)
13
💡Бесплатное* обследование
http://USSC.ru [email protected]
Моделирование угроз ИБ и разработка требований
• Исследование АСУ ТП • Построение модели нарушителя
• Учет внутриобъектового режима (не только внутренний/внешний)
• Учет потенциала нарушителя (знания, навыки, мотивация) • Формирование перечня актуальных угроз
• Построение реального сценария реализации угрозы соответствующим нарушителем
• Учёт защитных мер
14
💡Нормативная документация
http://USSC.ru [email protected]
• Все этапы: • Предпроектное обследование • Проектирование • Ввод системы в действие • Сервисная поддержка
• Отдельные технологические объекты и комплексные системы защиты информации
• При создании/реконструкции и для действующих АСУ ТП
Создание систем обеспечения ИБ АСУ ТП
15
💡Референс-проекты
http://USSC.ru [email protected]
Состав работ по проектированию• Формирование требований • Анализ и выбор решений • Учёт особенностей эксплуатации АСУ ТП
• Апробация решений
16
💡Комплексные системы защиты
http://USSC.ru [email protected]
Разработка собственных решений• Контроль конфигураций компонентов АСУ ТП • Инвентаризация объектов защиты • Управление событиями безопасности • Обеспечение сетевой безопасности (выявление компьютерных атак)
• Автоматизация контроля соответствия требованиям ИБ и контроля защищенности
17
http://USSC.ru [email protected]
Что мы предлагаем?
18
💡Внутренние семинары
💡Оценка защищённости
💡Бесплатное* обследование
💡Нормативная документация
💡Референс-проекты
💡Аудит ИБ АСУ ТП
💡Комплексные
системы защиты