Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/139

Соотнесение требований по ИБ ФСТЭК для КСИИ и АСУ ТП

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco


Какими терминами мы оперируем?

§ Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов Критически важный объект

Стратегически важный объект

Стратегический объект

Объект, имеющий стратегическое значение…

Важный объект

Важный государственный объект

Объект жизнеобеспечения

Особо важный объект

Специальный объект

Режимный объект

Потенциально опасный объект

Особо опасный и технически сложный объект


Отсутствие единства терминологии = отсутствие единства понимания

СовБез

•  Критически важный объект инфраструктуры Российской Федерации - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок

ФСТЭК

•  Критически важный объект – объект, оказывающий существенное влияние на национальную безопасность РФ, прекращение или нарушения деятельности которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени


Что такое критическая информационная инфраструктура?

Август 2013

•  Совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка

Декабрь 2013

•  Совокупность информационных систем, информационно-телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг

Законопроект «О безопасности КИИ»


Совершенно разные понятия КИИ в разных нормативных актах

Законопроект

•  Совокупность информационных систем, информационно-телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг

Основы госполитики

•  Совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий


Совершенно разные понятия АСУ ТП Проект приказа ФСТЭК

• Комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО

Основы госполитики

• Комплекс аппаратных и программных средств, информационных систем и информационно- телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта, нарушение (или прекращение) функционирования которых может нанести вред внешнеполитическим интересам Российской Федерации, стать причиной аварий и катастроф, массовых беспорядков, длительных остановок транспорта, производственных или технологических процессов, дезорганизации работы учреждений, предприятий или организаций, нанесения материального ущерба в крупном размере, смерти или нанесения тяжкого вреда здоровью хотя бы одного человека и (или) иных тяжелых последствий


А раньше были не АСУ ТП, а КСИИ

§  Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями Документы ФСТЭК по КСИИ


АСУ ТП – это подмножество КСИИ

§ Автоматизированная система управления производственными и технологическими процессами КВО инфраструктуры РФ – комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО Проект приказа ФСТЭК по защите АСУ ТП


Потенциально опасный объект и жизнеобеспечения

§ Потенциально опасный объект - объект, на котором используют, производят, перерабатывают, хранят или транспортируют радиоактивные, пожароопасные и взрывоопасные, опасные химические и биологические вещества, а также объекты гидротехники, которые создают реальную угрозу возникновения источника чрезвычайной ситуации

§ Объект жизнеобеспечения - предприятие, сооружение, функционирование которого обеспечивает необходимые условия жизни и деятельности населения (водонасосные станции и водопроводы, тепло- и электростанции и линии передач, продовольственные склады, канализация и т.п.)


Критически важный или жизнеобеспечения?

§ Информационно-телекоммуникационные, техногенно опасные, пожаро-, взрывоопасные и объекты, в которых размещены аппараты органов государственной власти и управления субъекта РФ

Омская область

•  Критически важный объект

Республика Ингушетия

• Объект особой важности, жизнеобеспечения и повышенной опасности


Проблематика единства терминологии

§ Отсутствует единый документ, определяющий критерии отнесения объектов государственной и негосударственной собственности к критически важным и процедуры их включения в перечень критически важных объектов

§ Имеющееся многообразие ведомственных и иных определений, требований и критериев мешает, а не помогает защите объектов от террористической и других видов угроз

§ Вопросы защиты критически важных объектов рассматриваются не единообразно


Проблематика единства терминологии

§ Различные ведомства, которым государство поручило защиту КВО, не имея в качестве основы единой нормативной базы, определяют необходимые им организационные и технические меры безопасности самостоятельно, в меру специализации и квалификации своих сотрудников Не всегда квалифицированных в области своего регулирования

Зачастую защитные меры определяются и осуществляются «как придется» и без учета взаимосвязи мер между собой


Отсутствие единства у регуляторов


Знаете ли вы что такое СМИС?

§ Структурированная система мониторинга и управления инженерными системами зданий и сооружений (СМИС)

§ Оснастить критически важные и потенциально опасные объекты структурированными системами мониторинга и управления инженерными системами зданий и сооружений и обеспечить автоматическую передачу необходимой информации о состоянии контролируемых объектов и параметрах чрезвычайной ситуации по установленной форме в дежурную службу объекта, единую дежурно-диспетчерскую службу муниципального образования и Ростехнадзор Требование МЧС


Чем регулируется СМИС?

§ Приказ МЧС от 27.10.2009 №612 «О совершенствовании нормативной базы по организации систем наблюдения и контроля (мониторинга) параметров состояния зданий и сооружений и оборудования потенциально опасных объектов»

§  ГОСТ Р 22.1.12-2005 «Безопасность в ЧС. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования»

§ Различные своды правил и стандарты ГОСТ «Безопасность в чрезвычайных ситуациях. Технические средства мониторинга чрезвычайных ситуаций. Структурированная система мониторинга и управления инженерными системами зданий и сооружений»


А причем тут СМИС?

§ Предприятия, попадающие в перечень критически важных объектов, должны предоставить МЧС выделенный канал для подключения к АСУ ТП для осуществления мониторинга технологических процессов и процессов обеспечения функционирования оборудования предприятия!

§ Требований к защите канала нет МЧС не уполномочена их устанавливать и не имеет опыта

§ Ответственного за защиту канала нет Канал «делится» между Ростехнадзором и предприятием (КВО)


Проблемы со СМИС

§ Дублирование существующей системы противоаварийной защиты

§ Непредсказуемое взаимодействие АСУ ТП и СМИС

§ Одновременное использование датчиков, подключенных к АСУ ТП и СМИС

§ Возможность блокирования каналов взаимодействия между удаленным диспетчерским центром и программным ядром СМИС

§ Возможность использования как канала проникновения на защищенный периметр локальной вычислительной сети предприятия


Что такое СМИС?

КСИИ АСУ ТП

§ А если СМИС использует общую инфраструктуру?


АСКУЭ – это КСИИ или АСУ ТП?


Ключевые отличия требований по ИБ КСИИ и АСУ ТП

§ Объект защиты

§  Классификация АСУ ТП / КСИИ

§ Уровень открытости циркулируемой в АСУ ТП / КСИИ информации

§ Парадигма

§ Требования по защите

§ Требования по оценке соответствия

§ Участники процесса защиты информации


КСИИ: краткое напоминание


Нормативные документы ФСТЭК

§ Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

§ Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

§ Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах

§ Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Утверждены 18 мая 2007 года


Отнесение систем к КСИИ

§ В документах ФСТЭК определяются признаки отнесения объектов к критически важным

§  Критически важные объекты делятся на 3 типа в зависимости назначения, функционирующих в их составе ИТКС

§ Перечень критически важных объектов определен в секретном Распоряжении Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации»

§ Реестр КСИИ ведется ФСТЭК Реестр КИИ будет вести ФСТЭК или ФСБ – вопрос будет решен в течение 6 месяцев после принятия законопроекта «О безопасности критической информационной инфраструктуры»


Отнесение систем к КСИИ

§  КСИИ делятся на группы Системы сбора открытой информации, на основании которой принимаются управленческие решения Системы хранения открытой информации Системы управления СМИ Системы управления критически важным объектом

§ Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!)

1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ 2-й тип – системы управления критически важными объектами


Требования по защите КСИИ 1-го типа

Группы требований Уровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого взаимодействия в КСИИ 4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +


Требования по защите КСИИ 2-го типа

Группы требований Уровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +


Введение в проект приказа ФСТЭК


Проект нового приказ ФСТЭК §  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений


На кого распространяется приказ? §  Автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами В том числе системы диспетчерского управления, системы сбора (передачи) данных, программируемые логические контроллеры, распределенные системы управления, системы управления станками с числовым программным управлением На АСУ ТП с гостайной не распространяются

§  Требования предназначены для лиц обеспечивающих задание требований к защите информации в АСУ ТП (заказчик), обеспечивающих эксплуатацию АСУ ТП (оператор), привлекаемых в соответствии с законодательством РФ к проведению работ по созданию (проектированию) АСУ ТП и (или) их систем защиты (разработчик)


На кого распространяются требования по КСИИ и АСУ ТП

КСИИ

• Заказчик • Оператор

АСУ ТП

• Заказчик • Оператор • Разработчик

§ Включение разработчиков является требованием, установленным «Основами госполитики…»


Объект защиты или что такое АСУ ТП


Объект защиты

КСИИ

•  Информация, не содержащая сведения ограниченного доступа

АСУ ТП

•  Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом)

•  Программно-технический комплекс, включающий технические средства, общесистемное, прикладное программное обеспечение, а также средства защиты информации


Описание объекта защиты

КСИИ

• Приведено подробное описание в «Рекомендациях…»

АСУ ТП

• Отсутствует


Разнообразие объектов защиты


4 основных элемента АСУ ТП

Система мониторинга

RTU / PLC

Коммуникации

«Полевые» устройства


Типичная архитектура АСУ ТП

SCADA Server / Master /

Master Terminal Unit (MTU)


3 уровня архитектуры АСУ ТП

Физический

•  Сенсоры, исполнительные устройства и другое оборудование, которое взаимодействует с объектом управления

«Кибер»

•  Все ИТ-устройства и ПО, которое получает данные с физического уровня и отправляет команды на него

Принятия решений

• Обычно операторы АСУ ТП, которые на основе данных с кибер-уровня принимают решения для эффективного управления инфраструктурой

§  Контролю и защите подлежат все уровни архитектуры

§ Учитывайте разные способы воздействия на эти уровни (в т.ч. и электромагнитное)


2 типа сетей в АСУ ТП

Сеть полевая Сеть

процессов

Сенсоры, RTU, PLC SCADA сервера, исторические БД


Промышленные сети

§ Сеть передачи данных, связывающая датчики, исполнительные механизмы, контроллеры и другие Основные среды передачи - кабель, телефон, радио


Среды передач в деталях

§  Кабель Витая пара

Коаксиальный кабель

Оптический кабель

Сети электропередач

§ Спутник § Телефонная линия

Выделенная

Dial-In

§ Радио в диапазоне VHF

в диапазоне UHF

микроволное радио (GSM, CDMA, UMTS)

§ Wi-Fi 802.11

802.15.4 (ZigBee)


Протоколы

§ ANSI X3.28

§ BBC 7200

§ CDC Types 1 и 2

§ Conitel 2020/2000/3000

§ DCP 1

§ DNP 3.0

§ Gedac7020

§  ICCP

§  Landis & Gyr8979

§ Modbus

§ OPC

§ ControlNet

§ DeviceNet

§ DH+

§ ProfiBus

§ Tejas3 и 5

§ TRW 9550

§ UCA

§ …

§  70-е годы – последовательные коммуникации (serial) Многие протоколы разработаны для них

§  90-е года – начало перехода на TCP/IP-коммуникации


Приказ ФСТЭК (продолжение)


Можно ли использовать корпоративные стандарты?

КСИИ

•  Не предусмотрено

АСУ ТП

• ФОИВ, корпоративные структуры и организации в соответствии с настоящими Требованиями в пределах своих полномочий могут устанавливать отраслевые (ведомственные, корпоративные) требования к обеспечению защиты информации в АСУ ТП, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых (контролируемых) объектов


Парадигма защиты в КСИИ и АСУ ТП

КСИИ

•  Конфиденциальность •  Целостность •  Доступность

АСУ ТП

•  Доступность •  Целостность •  Конфиденциальность


Безопасное функционирование АСУ ТП на первом месте

§ Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП

§ Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию


Кто может защищать КСИИ и АСУ ТП

КСИИ

•  Лицензиаты ФСТЭК

АСУ ТП

•  Защита – лицензиаты ФСТЭК

•  Оценка защищенности – аккредитованные компании


Жизненный цикл системы защиты


Жизненный цикл системы защиты АСУ ТП

§ Формирование требований к защите информации в АСУ ТП

§ Разработка системы защиты АСУ ТП

§ Внедрение системы защиты АСУ ТП и ввод ее в действие;

§ Обеспечение защиты информации в ходе эксплуатации АСУ ТП

§ Обеспечение защиты информации при выводе из эксплуатации АСУ ТП


Классификация КСИИ и АСУ ТП

КСИИ

•  2 типа КСИИ •  3 уровня важности для каждого типа

•  Признаки классификации закрытые

АСУ ТП

•  3 класса защищенности АСУ ТП

•  Класс зависит от уровня наносимого ущерба


Моделирование угроз в КСИИ и АСУ ТП

КСИИ

• Подробное описание процесса

• Базовая модель • Методика определения актуальных угроз

АСУ ТП

• Документ готовится • Общий по КСИИ, ИСПДн, АСУ ТП


Введение в защитные меры


Меры по защите информации Защитная мера АСУ

ТП КСИИ I типа

КСИИ II типа

Идентификация и аутентификация субъектов доступа и объектов доступа + + Управление доступом субъектов доступа к объектам доступа + + Ограничение программной среды + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + Регистрация событий безопасности + Антивирусная защита + + Обнаружение (предотвращение) вторжений + + Контроль (анализ) защищенности персональных данных + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + Защита среды виртуализации + Защита технических средств + + Защита информационной системы, ее средств, систем связи и передачи данных + +


Меры по защите информации Защитная мера АСУ

ТП КСИИ I типа

КСИИ II типа

Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + + Обеспечение действий в нештатных (непредвиденных) ситуациях + + Информирование и обучение пользователей + + Анализ угроз безопасности информации и рисков от их реализации + + Требования к персоналу + Защита коммуникаций + + Аудит безопасности +


Алгоритм выбора мер защиты в КСИИ и АСУ ТП

КСИИ

•  Зависит только от типа КСИИ и уровня значимости

•  Исключение защитных мер невозможно

•  Компенсирующие меры невозможны

АСУ ТП

•  Зависит от структурно-функциональных характеристик АСУ ТП, реализуемых ИТ, особенностей функционирования АСУ ТП

•  Исключение защитных мер возможно

•  Компенсирующие меры возможны


Реалии приказов ФСТЭК


Специфика рынка ИБ АСУ ТП

§ ИБ АСУ ТП – это не один продукт! Это комбинация архитектуры, опыта (не всегда передового), поведения и «технологических» компонентов (не всегда современных) – «железа», профессиональных услуг и программного обеспечения Обычно именно в такой последовательности

52%

8%

40% Железо ПО Услуги


Специфика рынка защиты АСУ ТП

§ Современные индустриальные решения обычно уже включают в себя различные защитные меры

Контроллеры с интерфейсами, включающими функции МСЭ

Сервера с установленными и протестированными антивирусами, система управления доступом, системами ограничения программной среды (application whitelisting) и системами класса HIDS

Услуги ИБ (например, оценка защищенности) становятся частью процесса дизайна/создания ICS, а управление ИБ часто сопровождает традиционные услуги по поддержке

§ ИБ унаследованных (legacy) систем является предметом торга между бизнесом и безопасностью и схожа с продажей страховки от вероятных рисков


Специфика рынка защиты АСУ ТП

§ Решения по ИБ АСУ ТП включают традиционные «офисные» средства защиты и специально разработанные для АСУ ТП системы

§ Среди средств защиты доминируют аппаратные МСЭ, ориентированные на работу в агрессивных средах (повышенной надежности) Контроль доступа к индустриальным устройствам и защита от сетевых атак

§ В части программной ИБ фокус делается на антивирусах и замкнутой программной среде (application whitelisting) Защита индустриальных устройств от заражения


Специфичных средств ИБ АСУ ТП по-прежнему не хватает

§ CNetSec – МСЭ и сетевая безопасность

§  ICSNetSec – индустриальная сетевая безопасность

§ AV/WL – антивирусы и whitelisting

§  ICSSysMgmt – программные агенты и управление


Специфика рынка ИБ АСУ ТП

§ Традиционные поставщики средств защиты (McAfee, Symantec и др.) редко учитывают отраслевую специфику

Индустриальные протоколы

Временные задержки на обработку сигналов и управляющих команд

Работа в агрессивных средах

Управление патчами

Огромное количество сенсоров/датчиков

Размеры пакетов

§ Небольшой объем рынка ИБ АСУ ТП делает сложной для традиционных поставщиков разработку отраслевых решений


Ключевые игроки рынка ИБ АСУ ТП

§  ABB §  Bayshore Networks §  Cassidian §  Certes Networks, Inc §  Cisco (Sourcefire) §  DTS Solution §  Ensuratec, LIC §  Grey Matter Systems §  Honeywell International Inc §  IBM §  Industrial Defender §  Juniper Networks, Inc

§  Lofty Perch, Inc §  Positive Technologies §  RAD §  Red Tiger Security §  Rockwell Automation, Inc §  Siemens AG §  Sword and Shield Enterprise

Security, Inc §  Tofino Security (Hirschmann) §  Trend Micro §  Waterfall Security Solutions §  Wurldtech Security

Technologies Inc


Другие игроки рынка ИБ АСУ ТП

§  3eTI (Ultra Electronics) §  Agiliance §  Asguard Networks §  CoreTrace §  EnergySec §  Fox-IT §  GE Intelligent Platforms §  Hitachi §  ICS Cybersecurity, Inc §  Innominate Security Technologies §  Invensys (часть Schneider) §  Koyo Electronics Industries §  Mocana

§  N-Dimension Solutions §  OSIsoft §  Owl §  S21sec §  Schneider Electric §  SecurityMatters §  Symantec §  Toshiba §  Trilliant Inc. §  Yokogawa §  Лаборатория Касперского §  РТСофт §  Юнител Инжиниринг


Оценка соответствия


Что с сертификацией?

§ Есть профиль защиты для PLC, RTU, IED Для датчиков сертификация не нужна – они не являются мишенью для атаки и не выполняют защитных функций

HMI также не выполняют защитных функций

§ В России этот профиль не переведен и не используется

§ Есть система сертификации «ГАЗПРОМСЕРТ» В т.ч. и средств защиты

§ Есть прецедент сертификации оборудования для Smart Grid по требованиям безопасности ФСТЭК

Cisco Connected Grid Router (CGR) и Connected Grid Switch (CGS)


Оценка соответствия средств защиты информации в КСИИ и АСУ ТП

КСИИ

•  Только сертифицированные

АСУ ТП

•  Любые, прошедшие оценку соответствия в соответствие с законодательством о техническом регулировании


Technology

Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП