Upload
cisco-russia
View
92
Download
11
Embed Size (px)
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco и 31-й приказ ФСТЭК по защите АСУ ТП Обзор Алексей Лукацкий Бизнес-консультант по безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Приказ ФСТЭК №31 по защите АСУ ТП
• №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов В тех случаях, если КСИИ управляют технологическими процессами Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы ФСТЭК Унификация перечня защитных мер для всех трех приказов Выход на 2-хлетний цикл обновления приказов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
IPS и NGIPS • Cisco FirePOWER • Cisco ASA with FirePOWER • Cisco FirePOWER for ISR
• Cisco wIPS • Cisco vNGIPS
Интернет-безопасность
• Cisco WSA / vWSA • Cisco Cloud Web Security
МСЭ и NGFW • Cisco ASA / ASA-SM • Cisco IOS Firewall • Cisco ASAv • Cisco FirePOWER • Meraki MX
Advanced Malware Protection
• AMP для Endpoint • AMP для Network • AMP для Content
NAC + Identity Services
• Cisco ISE / vISE • Cisco ACS
Безопасность электронной почты
• Cisco ESA / vESA • Cisco Cloud Email Security
UTM • Meraki MX • ASA with FirePOWER
VPN • Cisco AnyConnect • Cisco ASA • Cisco ISR / RVPN
Policy-based сеть • Cisco TrustSec • Cisco ISE • Cisco ONE
Мониторинг инфраструктуры
• Cisco Cyber Threat Defense
Контроль приложений • Cisco ASA NGFW / AVC • Cisco IOS AVC / NBAR • FirePOWER NGFW
Secure DC • Cisco ASA / 1000v /
ASAv / VSG • Cisco TrustSec
Какие решения по ИБ есть у Cisco?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
На всех участках АСУ ТП и связанных сетей
Филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводная сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAv ASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический центр Talos
Удаленные устройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ Беспроводная
сеть
Коммутатор
Маршрутизатор
Сегментация Мониторинг
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Что из этого выполняет требования 31-го приказа?
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами
• Эти решения могут быть применены как в самом индустриальном сегменте, так и на стыке с корпоративной сетью или Интернет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500
• Индустриальные маршрутизаторы ISR 819H, CGR 2000
• Индустриальные беспроводные решения Cisco 1550 Outdoor AP
• Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI
• Индустриальные системы предотвращения вторжений IPS for SCADA
• Индустриальные межсетевые экраны и система отражения вредоносного кода
Cat. 6500 Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms 1260 and 3560 APs
ASA
IE 3010
IE 3000 1552 AP
CGR 2010
IE 2000
ISR 819
7925G-EX IP Phone
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Архитектура Cisco для защиты индустриальной сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Архитектура ИБ промышленного предприятия
WWW Приложения
DNS FTP
Интернет
Гигабитный канал для определения аварийного переключения
Межсетевой экран
(активный)
Межсетевой экран
(режим ожидания)
Серверы производствен
ных приложений
Коммутатор уровня доступа
Сетевые сервисы
Коммутаторы уровня ядра
Коммутатор уровня
агрегации
Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер
Ячейка/зона 1 (Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный ввод-вывод
Контроллер
Диск Диск
HMI
Распределенный ввод-вывод
HMI
Ячейка/зона 2 (Топология типа
«Кольцо»)
Ячейка/зона 3 (Линейная топология)
Коммутатор уровня доступа 2
Контроллер
Ячейка/зона Уровни 0-2
Производственная зона Уровень 3
Демилитаризованная зона Уровень 3.5
Корпоративная сеть Уровни 4-5
Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей сети
Контроль доступа (на уровне приложений)
Межсетевой экран с сохранением состояния
Защита и определение вторжений (IPS/IDS)
Системы управления физическим доступом
Сервисы
идентификации
ISE
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Архитектура ИБ нефтегазового предприятия
Управление и безопасность Уровень 1
Устройство Уровень 0
Центр управления Уровень 3
Устаревшая RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы Ethernet-мультисервисы
WAN Беспроводн. соед.
Транспорт RFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель
Системы безопасности
Принтер
Оборудование
SIEMСистема SCADA Головная станция
Рабочие станции оператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционные бизнес-системы
SIEM
SIEM
SIEM
Надежность и безопасность
Система управления производством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллер доменов
Корп. сеть Уровни 4-5
Ист. данные SIEM
Анти- вирус
WSUS
SIEM
SIEMСервер удаленной разработки
SIEM
Сервер терминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль Уровень 2
Системы видеонаблюдения
Контроль доступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Архитектура ИБ транспортного предприятия
PTC
IPICS VSMS / VSOM
IP/MPLS Домен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран Усил. система обнаружения вторжений (IDS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей среды Контроль доступа на уровне приложений
Межсетевой экран с сохранением состояния
Система обнаружения вторжений (IDS)
Системы управления физическим доступом
Сервисы
идентификации
Сети безопасности и управления процессами
Offload
VSMS
PTC 3000
TMC
Оборудование Мультисервисные сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Сеть агрегации FAN ЗОНА 2
Мультисервисная шина ЗОНА 3
Сеть NERC CIP ЗОНА 1
Сеть подстанций
Станционная шина IEC 61850
Шина процессов IEC 61850
Архитектура ИБ предприятия в сфере энергетики
Физическая безопасность
Взаимодействие с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT Прерыватель CT CT PT
Периметр физической безопасности (PSP)
Прерыватель IED MU
Распределенный контроллер HMI
Устаревшая RTU
PT CT
Аппаратный I/O
Сенсор
Устаревшее реле РТЗ
Прерыватель
Частный WiMax или LTE для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр управления доступом
ДМЗ
Центр обработки данных
HMI SCADA FEP EMS
CPAM VSOM
Аналитика ист. данных SIEM PACS
ACS CA LDAP
HMI
Контроллер соединения RTU Защитное
реле Процессор
коммуникаций PMU PDC
Реле РТЗ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Резюме
• Приказ ФСТЭК №31 по защите автоматизированных систем управления технологическими и производственными процессами (АСУ ТП) устанавливает совершенно новый подход к защите АСУ ТП, базирующийся на лучших практиках и позволяющий операторам, владельцам и заказчикам АСУ ТП самостоятельно выбирать оптимальный и адекватный набор защитных мер
• Данный приказ позволяет в полной мере использовать все решения Cisco по информационной безопасности, а также другие наши технологии (унифицированные коммуникации, Wi-Fi, унифицированные доступ, виртуализацию, технологии центров обработки данных и т.д.)
• Решения Cisco обладают всем необходимым набором сертификатов ФСТЭК и, при необходимости, ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/