1 ТОИБ Тема 5 БЕЗОПАСНОСТЬ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

2 ТОИБ 5.1. ОБЩИЕ ПОЛОЖЕНИЯ При решении задач обеспечения информационной безопасности личности, общества и государства, имеющих общенациональный характер и масштабы, выделяются объекты защиты, безопасное функционирование которых гарантирует: устойчивое развитие экономики и социальной сферы, обороноспособность страны, стабильность и эффективность внутренней и внешней политики, реализацию конституционных прав граждан. При этом необходимый уровень безопасности этих объектов обеспечивается исходя из имеющихся финансовых и материальных ресурсов при условии их эффективного использования и концентрации на приоритетных направлениях. Данные объекты могут сами являться объектами информационной инфраструктуры, либо, являясь инфраструктурными объектами или сегментами других важных для государства систем, иметь информационные составляющие, являющиеся ключевыми для их устойчивого и безопасного функционирования.

3 ТОИБ К примеру, по оценкам военных специалистов, результаты целенаправленного воздействия на информационные ресурсы автоматизированных систем предупреждения о ракетном нападении, систем противоракетной обороны могут иметь катастрофические последствия, сопоставимые по нанесенному ущербу экономике и военному потенциалу страны с последствиями применения оружия массового поражения. Для краткости будем называть эти объекты критически важными объектами информационной инфраструктуры. Порядок разработки Перечня таких объектов устанавливается Правительством Российской Федерации, и его определение в различных сферах жизнедеятельности общества и государства вытекает из Доктрины информационной безопасности Российской Федерации, в которой указываются основные критерии и подходы к выделению критически важных объектов, в т.ч. и основных объектов защиты в общегосударственных информационных и телекоммуникационных системах, важность обеспечения информационной безопасности которых, связанна с предупреждением чрезвычайных ситуаций и ликвидацией их последствий, действиями в условиях аварий, катастроф и стихийных бедствий.

4 ТОИБ С точки зрения обеспечения информационной безопасности в сфере экономики отмечается важность защиты: системы государственной статистики, кредитно-финансовой системы, систем страхования, автоматизированных систем и компьютерных сетей органов власти, банков и других организаций. В сфере внутренней политики: открытые информационные ресурсы органов власти и средств массовой информации, рынок информационных услуг. В сфере внешней политики: соответствующие информационные системы и ресурсы органов власти и организаций, связанных с реализацией внешней политики. В области науки и техники: важнейшие результаты научно-технической деятельности, системы управления сложными исследовательскими комплексами, разработка и производство современных информационных и телекоммуникационных технологий и средств их реализации.

5 ТОИБ В сфере обороны: информационная инфраструктура и информационные ресурсы органов управления вооруженными силами, научно-исследовательские учреждения, информационные ресурсы предприятий и организаций оборонного комплекса, программно-технические средства и телекоммуникационные системы специального назначения. Основные направления дальнейшей разработки и обоснования понятийного и научно-методического аппарата, концептуальных подходов к вопросам защиты критически важных объектов и организации защиты: определение основных понятий и критериев, необходимых для описания и классификации процессов, объектов, стратегических рисков и угроз безопасности информации, связанных с защитой информационной инфраструктуры; выявление факторов, содержащих угрозы безопасности объектов информационной инфраструктуры, оценка рисков причинения вреда объектам, мониторинг стратегических рисков и угроз.

6 ТОИБ В настоящее время наиболее проработаны и используются в нормативных правовых документах понятия, связанные с критическими технологиями и ключевыми системами информационной инфраструктуры. Так, в соответствии с Основами политики Российской Федерации в области развития науки и технологий до 2010 года и дальнейшую перспективу, утвержденными Президентом Российской Федерации 30 марта 2002 г., Президентом также утверждены приоритетные направления развития науки, технологий и техники Российской Федерации и соответствующий перечень критических технологий, включающий, в том числе, и технологии, связанные с информационно-телекоммуникационными системами и электроникой. В Положении о Федеральной службе по техническому и экспортному контролю, утвержденном Указом Президента Российской Федерации от 16 августа 2004 г. 1085, введено понятие «ключевых систем информационной инфраструктуры», как систем информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере. В соответствии с Положением должны утверждаться перечни ключевых систем информационной инфраструктуры.

7 ТОИБ Перечень угроз безопасности критически важных объектов информационной инфраструктуры определяется факторами, содержащими эти угрозы. Перечень факторов, содержащих угрозы безопасности объектов информационной инфраструктуры разрабатывается специалистами РАН и МЧС РФ и позволяет использовать механизм оценки рисков причинения вреда объектам в различных сферах жизнедеятельности. Особенностями категории стратегических рисков, являются: вероятностный характер угроз, комбинация которых всякий раз представляет собой случайную величину, причины появления угроз объясняются не только существующими и потенциальными источниками и факторами опасности, но и уязвимостью информационных ресурсов критически важных объектов информационной инфраструктуры, измеримость и количественная интерпретация угроз, которые оцениваются и сравниваются между собой. возможность выделения из всего многообразия рисков, представляющих угрозу национальной безопасности и устойчивому развитию на перспективу.

8 ТОИБ Механизмы достижения цели снижения рисков: политические, административные, правовые, экономические и технические решения мониторинг стратегических угроз: использующий экспертно- аналитические методы и дающий количественную оценку значимости угроз для информационной безопасности того или иного объекта. Экспертные оценки Центра стратегических исследований МЧС России и ряда институтов РАН предлагают следующие приоритеты стратегических угроз и оценки рисков, которые можно рассматривать для иллюстрации качественных взаимозависимостей отдельных компонент угроз, т.к. количественные показатели в ней приведены для определенного временного интервала и могут постоянно обновляться и уточняться с учетом конкретных условий. В каждом конкретном случае должен устанавливаться приемлемый уровень безопасности, т.е. защита от тех угроз, дестабилизирующий или разрушительный эффект (ущерб) от которых в наибольшей степени опасен для устойчивого функционирования объекта или его составных частей, особенно средне- и долгосрочного характера.

9 ТОИБ Стратегические угрозы Значимость риска 1. Политическая сфера Усиление позиций США в современном мире и их стремление к диктату 1,00 Возрастание мощи Китая 0,61 Снижение обороноспособности страны и боеспособности Вооруженных Сил 0,59 Возможность внутренних межнациональных и межконфессиональных конфликтов 0,55 Возрастание военной угрозы со стороны США и НАТО0,44 Возможность возникновения региональных и локальных военных конфликтов 0,40 Формирование нового центра воинствующего фундаментализма к югу от границ России 0,34 Возрастание угроз международного терроризма 0,27 Возможность обострения межпартийной борьбы - политический экстремизм 0,13

10 2. Экономическая сфера Нерациональный выбор приоритетов и пропорций развития экономики, усиление структурной деформации экономики страны 1,00 Криминализация экономики и утечка капитала из страны 0,56 Снижение производственного потенциала и низкая инвестиционная активность 0,42 Возможность энергетического кризиса 0,32 Превышение пределов открытости национальной экономики в условиях международной глобализации 0,29 Неблагоприятная экономическая конъюнктура (снижение мировых цен на энергоносители) 0,17 Внешний долг, создающий опасность обострения финансового кризиса 0,15 Низкая конкурентоспособность продукции 0,12 Снижение объемов сельскохозяйственного производства - потеря продовольственной независимости 0,11

11 3. Социальная сфера Коррупция, криминализация и некомпетентность властных структур - снижение доверия к власти 1,00 Снижение уровня жизни и антагонизация социальной структуры 0,76 Духовный кризис в обществе 0,29 Неравномерность социально-экономического развития регионов страны 0,27 Рост преступности 0,23 Рост алкоголизма, наркомании 0,19 Обострение демографической ситуации в стране 0,18 Возможность биолого-социальных чрезвычайных ситуаций 0,08

12 4. Научно-техническая сфера Нерациональный выбор приоритетов научно-технической политики 1,00 Снижение научно-технического и инновационного потенциалов (утечка мозгов, старение кадров, кризис системы образования) 0,70 Рост информационной уязвимости всех сфер жизнедеятельности общества 0,33 Возрастание угрозы несанкционированного использования современных технологий 0,17 Неопределенность рисков технологий будущего (коммуникаци­онных, информационных, генных, космических и т. п.) 0,10

13 5. Природная и техногенная сферы Риски развития опасных природных явлений (землетрясений, наводнений, ураганов, оползней, подтоплений, карста, лесных пожаров и т. п.) 1,00 Риски аварий и катастроф на потенциально опасных объектах 0,94 Загрязнение окружающей среды 0,43 Риски, связанные с глобальным изменением климата, деградацией окружающей среды, планетарные риски 0,24 Истощение природных и биологических ресурсов 0,15 При оценке уровня безопасности достаточно важное место отводится, в соответствии с принятым в Европе и в России стандартом ISO («Общие критерии»), задачам анализа информационных рисков, как обобщенного (интегрального) показателя состояния защищенности конкретного объекта информатизации.

14 ТОИБ В качестве меры снижения уровня стратегических рисков выбирается достижение состояния, когда парный критерий «вероятность - тяжесть последствий реализации угроз» не превышает заданной допустимой величины (в интервале от 0,1 до 0,9 - для вероятностей и от 1 до 9 - для тяжести последствий), т. е. R = Pj * Uj, где R - уровень ущерба, Pj - вероятность j-го события, Uj - ущерб от j-ro события.

15 ТОИБ Данные, необходимые для оценки допустимого уровня снижения защищенности конкретного объекта под воздействием угроз, должны содержаться в разрабатываемой политике безопасности критически важных объектов информационной инфраструктуры, содержащей, в свою очередь, следующие параметры: описание информационно-управляющей системы (в т.ч. используемые сети и каналы связи); описание и классификация информационных ресурсов и применяемых информационных технологий; модель внешних и внутренних угроз; идентификация уязвимостей объекта защиты; выбор средств и методов защиты информационных ресурсов и информационных технологий; анализ возможностей реализации угроз и эффективности обеспечения необходимого уровня защищенности конкретного объекта информатизации; описание информационных рисков и анализ возможных последствий нарушения заданного уровня защищенности; аудит уровня защищенности критически важного объекта информационной инфраструктуры.

16 ТОИБ 5.2. ОБЩИЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Вопросы обеспечения информационной безопасности в Российской Федерации, связанные с глобализацией экономики и потребностью повышения устойчивости ее развития: 1. Усиление тенденций незаконного получения конфиденциальной информации об участниках рынка. 2. Проявление случаев информационного терроризма.

17 ТОИБ Модель угроз информационной безопасности АСУ ТП Всю информацию, производимую, накапливаемую, потребляемую и передаваемую в АСУ ТП, можно разделить на две категории: информация ограниченного доступа; открытая (общедоступная) информация. Вопрос об уровне конфиденциальности данных, циркулирующих в АСУ ТП, принимается в каждом конкретном случае руководителем организации на основе механизма, определенного в специальном документе (Перечень сведений). Мероприятия по обеспечению ИБ осуществляются при эксплуатации следующих элементов типовой АСУ ТП: средств и систем информатизации; технических средств приема, передачи и обработки информации; программных средств (операционных систем, систем управления базами данных, другого общесистемного, специализированного и прикладного программного обеспечения) при обработке информации ограниченного доступа соответствующих категорий.

18 ТОИБ Угрозы информационной безопасности АСУ ТП. Угроза информационной безопасности АСУ ТП - потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты АСУ ТП может прямо или косвенно привести к нарушению конфиденциальности, целостности или доступности информации. Множество потенциальных угроз информационной безопасности АСУ ТП, по мотивации действий, разделяется на два вида: непреднамеренные (случайные); преднамеренные (целевые). Случайные угрозы - это угрозы, вызванные воздействиями на АСУ ТП объективных физических процессов или стихийных природных явлений, не зависящих от человека, а также угрозы, связанные с нарушениями (отклонениями) от требований безопасности при штатной эксплуатации АСУ ТП, с возможными ошибками в проектировании АСУ ТП и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п. Целевые угрозы - это угрозы компонентам АСУ ТП, вызванные деятельностью человека и имеющие целенаправленный и деструктивный характер нарушения безопасности АСУ ТП, а также связанные с корыстными устремлениями людей (злоумышленников).

19 ТОИБ Множество угроз ИБ АСУ ТП по отношению к информационным ресурсам АСУ ТП разделяется на внешние и внутренние угрозы. Внешние - обусловлены природными явлениями, а также исходят от субъектов, не входящих в состав пользователей, обслуживающего персонала и разработчиков АСУ ТП. Внутренние - исходят от обслуживающего персонала и разработчиков АСУ ТП, а также от других лиц, имеющих непосредственный доступ к информационным ресурсам АСУ ТП. Источники внешних угроз: недружественная политика иностранных государств в области распространения ИТ; деятельность иностранных разведывательных и специальных служб; деятельность иностранных политических и экономических структур, направленная против экономических интересов предприятий и организаций; террористическая деятельность; преступные действия различных групп (организаций) и отдельных лиц, направленные против экономических интересов предприятий и организаций; конкурентная борьба за достижение политического и экономического превосходства; стихийные бедствия и катастрофы.

20 ТОИБ Источники внутренних угроз: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информационных ресурсов АСУ ТП; нарушение установленного регламента сбора, обработки, хранения и передачи информации в АСУ ТП; отказы технических средств и сбои программного обеспечения АСУ ТП вследствие ненадежной работы оборудования и дефектов в программном обеспечении; некомпетентные, неквалифицированные и/или злонамеренные действия персонала АСУ ТП.

21 ТОИБ Типы возможных нарушителей. Нарушители могут быть внутренними или внешними. Внутренние нарушители (персонал АСУ ТП): зарегистрированные конечные пользователи АСУ ТП; персонал, обслуживающий технические средства АСУ ТП; технический персонал, обслуживающий здания и помещения, где расположены компоненты АСУ ТП; сотрудники организации, отвечающие за ОБИ; руководители различных уровней. Внешние (посторонние) нарушители: уволенные сотрудники АСУ ТП; представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности основного и вспомогательного технологического оборудования; посетители, заинтересованные в получении конфиденциальных сведений, позволяющих заключить выгодные контракты или соглашения; представители различных фирм-поставщиков оборудования; члены преступных организаций, сотрудники иностранных спецслужб или лица, действующие по их заданию; лица, случайно или умышленно проникшие в АСУ ТП из внешних (по отношению к АСУ ТП) сетей телекоммуникаций.

22 ТОИБ Способы реализации угроз информационной безопасности АСУ ТП. Способы реализации угроз ИБ АСУ ТП: информационные; программно-технические; физические; радиоэлектронные; организационно-правовые. Информационные способы: несанкционированный доступ к информации в АСУ ТП; сбор и противозаконное использование информации в интересах промышленного и других видов шпионажа; манипулирование информацией; незаконное копирование данных и программ; незаконное уничтожение информации; искажение информации; хищение информации; нарушение адресации при информационном обмене; нарушение оперативности информационного обмена; нарушения установленных технологий сбора, обработки, хранения и обмена информацией.

23 ТОИБ Программно-технические способы: специальное программно-технического воздействие на информационные ресурсы АСУ ТП с учетом специфики технологических циклов управления, уязвимых мест и недостатков механизмов защиты информации; внедрение в программно-технические средства программных закладок и использование незадекларированных возможностей программного обеспечения; разработка и распространение компьютерных вирусов и вредоносного программного обеспечения, нарушающих штатные режимы функционирования АСУ ТП и СЗИ; навязывание неверных и невыгодных решений путем внедрения дезинформации в структуры данных; нарушение межсетевого взаимодействия АСУ ТП в режиме удаленного доступа и обмена информацией; нарушение функционирования средств кодирования информации в каналах связи.

24 ТОИБ Физические способы : уничтожение, хищение и разрушение средств обработки и защиты информации и средств связи; уничтожение, хищение и разрушение носителей информации; воздействие на обслуживающий персонал и пользователей системы с целью создания условий для реализации угроз безопасности; диверсионные действия по отношению к объектам АСУ ТП. Радиоэлектронные способы: утечка информации по техническим каналам связи за счет побочных электромагнитных излучений и наводок; внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации, а также в служебные помещения АСУ ТП; перехват информации в сетях передачи данных и линиях связи средствами радиотехнической разведки; радиоэлектронное воздействие на электронные элементы АСУ ТП средствами РЭБ и радиоэлектронного подавления.

25 ТОИБ Организационно-правовые: закупка несовершенных (недостаточно отработанных на практике), устаревших и неперспективных или чрезмерно усложненных избыточными функциями средств информатизации, защиты информации и информационных технологий; невыполнение требований, задержка сроков разработки и принятия необходимых нормативных, правовых и технических документов в области безопасности информации; использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, вычислительной техники и коммуникационного оборудования, а также обработка информации на неаттестованных объектах информатизации.

26 ТОИБ Последствия реализации угроз информационной безопасности АСУ ТП. Ущерб - любое негативное изменение информационного ресурса АСУ ТП, приводящее к невыполнению задач организации, принятию неблагоприятных решений, нарушению процесса функционирования или блокированию управления АСУ ТП и ведущее к увеличению затрат на достижение цели или большим материальным потерям. Последствия реализации угроз: разглашение коммерческой и служебной тайны; нарушение управляемости технологических объектов и ТП; потерю актуальной информации; навязывание неверных или невыгодных для предприятий и организаций решений; невыполнение директивных графиков работ и срыв сроков по договорным обязательствам; дестабилизацию обстановки на предприятиях; нарушение процесса обработки информации в АСУ ТП; создание ситуации, благоприятной для реализации других угроз информационной безопасности АСУ ТП; остановку информационно-вычислительных процессов в АСУ ТП и блокирование информационного взаимодействия.

27 ТОИБ КОНЦЕПТУАЛЬНЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ ТИПОВЫХ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АСУ ТП. Стратегический уровень обеспечения ИБ - обеспечение гарантированной ИБ организаций от внешних и внутренних угроз; Оперативный уровень - единый замысел обеспечения ИБ и системы контроля; Тактический уровень - многоуровневая функциональная и техническая структура, способная адаптироваться к изменению обстановки. Юридическое обеспечение системы ИБ предусматривает, при реализации организационных и программно-технических мер обеспечения ИБ, построение АСУ ТП в соответствии с законодательной и нормативно-методической базой в области ЗИ с использованием сертифицированных и лицензионных технических и программных средств, с последующей аттестацией системы ИБ компетентными органами на соответствие заданному классу защищенности.

28 ТОИБ На организационном направлении в соответствии с политикой ИБ разрабатываются и утверждаются необходимые организационно- распорядительные и методические документы, регламентирующие вопросы взаимодействия и отношений пользователей в рамках системы обеспечения ИБ. Разрабатывается комплекс мер по обеспечению ИБ, охватывающий все компоненты АСУ ТП, включая организации, входящие в состав корпоративных систем, которые могут быть абонентами (пользователями) АСУ ТП. На специализированное подразделение по ЗИ, имеющим подготовленный персонал и обладающее правом на проведение соответствующих работ на основе лицензии, выданной уполномоченным федеральным органом исполнительной власти возлагается: координация работ в сфере ИБ, сопровождение проектных и исследовательских работ, формирование политики безопасности (ПБ), контроль применения в составе АСУ ТП программно-технических средств защиты информации (ПТСЗИ), прошедших аттестацию на соответствие заданному классу защищенности, а также подбор соисполнителей работ по ЗИ.

29 ТОИБ На программно-техническом направлении реализуются четыре уровня программно-технической защиты: внешняя защита подсетей (систем передачи данных); внутренняя защита подсетей (локальных сетей); защита систем, входящих в состав подсетей; защита приложений (сервисов), функционирующих в составе системы. Принципы построения системы обеспечения ИБ АСУ ТП: разумной достаточности; комплексности используемых решений; подконтрольности системы защиты подразделениям, отвечающим за защиту информации; непрерывности защиты, невозможности обхода защитных средств; невозможности перехода в незащищенное состояние; эшелонирования защиты; прозрачности системы защиты для пользователя; разнообразия защитных средств; простоты и управляемости системы защиты; возможности тиражирования технических, программных и организационных решений.

30 ТОИБ Реализация принципов построения системы обеспечения ИБ АСУ ТП включает: 1. Формирование в соответствии с политикой ИБ корпоративных систем единых требований к системам ЗИ как при реализации пилотных проектов, так и всей системы в целом. 2. Разработку концепции ИБ, охватывающей все компоненты АСУ ТП и отражающей организационные и программно-технические решения, заложенные в комплексную систему защиты информации информационных технологий во всех звеньях. 3. Разработку и совершенствование отраслевой нормативной базы по защите коммерческой и служебной информации. Создание проектной и эксплуатационной документации, а также документации по сопровождению и развитию системы ИБ, включающей полное описание используемой информационной и программной архитектуры, а также методологию и рекомендации по их дальнейшей эксплуатации и развитию.

31 ТОИБ 4. Разработку технических заданий (ТЗ) на создание систем обеспечения ИБ, ее составных частей с регламентацией правил и порядка разработки на основе требований стандартов и рекомендаций государственных органов в области ЗИ, с привлечением к разработке ТЗ и проектных решений соисполнителей на конкурсной основе с обязательной оценкой уровня способности решения корпоративных разработок, на основе строгого разграничения полномочий между соисполнителями при постоянном контроле со стороны подрядчика и заказчика. 5. Разработку и унификацию проектных решений для систем обеспечения ИБ АСУ ТП. 6. Разработку адаптированных к существующим условиям программно- аппаратных средств защиты (ПАСЗИ), исключающих зависимость от внутренних и иностранных поставщиков. 7. Разработку технических условий (ТУ), программ и методик проведения сертификационных испытаний отдельных элементов систем обеспечения ИБ, реализованных в локальных сетях, на соответствие заданному классу защищенности. 8. Подготовку специалистов по ЗИ, отвечающих за эксплуатацию системы обеспечения ИБ.

32 ТОИБ ОСОБЕННОСТИ ПОСТРОЕНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТИПОВОЙ АСУ ТП. Основные направления обеспечения ИБ: исключение несанкционированного доступа (НСД) к подлежащим защите информационным ресурсам АСУ ТП, в том числе к передаваемой, обрабатываемой или хранящейся информации (достигается применением специальных ПАСЗИ, а также организационными мероприятиями, предоставлением с применением механизмов идентификации и аутентификации, разграничения доступа в соответствии с полномочиями субъекта доступа к информационным ресурсам АСУ ТП санкционированным субъектам); исключение доступа к ключевой информации, касающейся функционирования АСУ ТП и ее системы обеспечения информационной безопасности; предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе программно-технических средств АСУ ТП.

33 ТОИБ Защита АСУ ТП от НСД реализуется на всех технологических этапах передачи, обработки и хранения информации и при всех режимах работы АСУ, в т.ч. при проведении ремонтных и регламентных работ. Реализованные в АСУ ТП средства защиты от НСД не должны ухудшать основные функциональные характеристики системы. Защита информационных ресурсов АСУ ТП от НСД с помощью программных, программно-аппаратных и технических методов должна обеспечивать: защиту базовых программных и технических средств АСУ ТП; защиту информационных ресурсов АСУ ТП; защиту систем управления технологическим оборудованием АСУ ТП. Защита от НСД строится на основе системы разграничения доступа (СРД) пользователей к информационным ресурсам АСУ ТП. Основные функции СРД: реализация правил разграничения доступа (ПРД) пользователей к информационным ресурсам; реализация ПРД пользователей к устройствам; реализация правил обмена данными между пользователями информационных ресурсов АСУ ТП, построенных по сетевым принципам.

34 ТОИБ Практическая реализация СРД включает следующие способы и их сочетания: распределенная СРД и СРД, локализованная в аппаратно- программном комплексе АСУ ТП; СРД в рамках операционной системы, системы управления базами данных или прикладных программ; СРД в средствах реализации сетевых протоколов взаимодействия или на уровне приложений; программная и (или) техническая реализация СРД. Защита ключевой информации, касающейся функционирования элементов и компонент системы защиты информации АСУ ТП осуществляется путем установки и использования специальных средств ЗИ. Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе технических средств АСУ ТП и/или отдельных ее элементов, достигается применением специальных ПАСЗИ (антивирусное программное обеспечение и др.), организацией системы контроля безопасности программного обеспечения (ПО).

35 ТОИБ Направления защиты информации ограниченного распространения, циркулирующей в АСУ ТП: принятие правовых мер по ЗИ; контроль доступа в помещения, в которых циркулирует информация ограниченного распространения (ИОР); принятие мер по защите информационных ресурсов АСУ ТП; принятие мер по защите информации ограниченного распространения АСУ ТП от утечки по техническим каналам (за счет побочных электромагнитных излучений, наводок в цепях питания и заземления, а также за счет электроакустических преобразований). Правовые меры защиты информации, составляющую служебную и коммерческую тайны: разработка, введение в действие и корректировка Перечня сведений, составляющих служебную и коммерческую тайны предприятия; заключение с сотрудниками договора-обязательства о неразглашении служебной и коммерческой тайны, ставшей им известной по роду деятельности; разработка и введение на объектах АСУ ТП инструкции по работе с документами, содержащими сведения ограниченного распространения, а также других организационно-распорядительных документов.

36 ТОИБ Эффективность решения задач системой обеспечения информационной безопасности АСУ ТП достигается: строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ); регламентацией процессов обработки подлежащей защите информации с применением средств автоматизации и действий сотрудников АСУ ТП, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств вычислительных сетей АСУ ТП, на основе утвержденных организационно-распорядительных документов по вопросам ОБИ; полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов предприятия (АСУ ТП) по вопросам обеспечения безопасности информации; назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки в АСУ ТП;

37 ТОИБ наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам вычислительных сетей АСУ ТП; четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства вычислительных сетей АСУ ТП, требований организационно- распорядительных документов по вопросам обеспечения безопасности информации; персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам вычислительных сетей АСУ ТП; реализацией технологических процессов обработки информации в АСУ ТП с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;

38 ТОИБ аттестацией объектов АСУ ТП на соответствие требованиям соответствующих классов защищенности; принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АСУ ТП; применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной поддержкой их использования; разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения в незащищенном виде по открытым каналам связи; эффективным контролем соблюдения сотрудниками подразделений АСУ ТП требований по обеспечению безопасности информации; проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации АСУ ТП.

39 ТОИБ 5.3. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ СОЗДАНИИ И ЭКСПЛУАТАЦИИ АСУ ТП В ГАЗОВОЙ ОТРАСЛИ Актуальность и основные принципы обеспечения информационно-технологической безопасности. Специфика топливно-энергетического сектора экономики: разветвленная пространственно разнесенная инфраструктура; обеспечение функционирования многочисленных и разнородных по характеру технологических процессов в штатных режимах; обеспечение безаварийной работы основных звеньев топливно- энергетического комплекса; непредсказуемые последствиями нарушения штатных режимов работы вследствие несанкционированного вмешательства. первостепенная важность вопросов обеспечения эффективного функционирования АСУ ТП и вопросов обеспечения ИБ АСУ. Запуск первой отраслевой автоматизированной системы управления магистральным газопроводом Саратов - Москва состоялся 11 июля 1946 года.

40 ТОИБ Комплекс автоматизированных систем различных структурных подразделений и самостоятельных предприятий газовой отрасли представляет вертикально интегрированную структуру, объединяющую весь цикл - от разведки, добычи, транспортировки газа до его продажи и переработки. Требования к устойчивому функционированию АСУ ТП: проведение политики финансовой и информационной открытости; принятие жестких мер по обеспечению информационной безопасности всего производственного процесса. Цель ЗИ - нейтрализация потенциальных угроз ИБ и предотвращение нанесения ущерба предприятиям во всех сферах, связанного с возможной утечкой информации, несанкционированным или непреднамеренным воздействием на элементы АСУ ТП. Основное направление деятельности по ЗИ: внедрение передовых технологий защиты информационных ресурсов, программно-технических средств и элементов инфраструктуры (магистральных сетей связи, систем передачи данных, локальных вычислительных сетей) от внутренних и внешних угроз.

41 ТОИБ Производственная специфика и автоматизация процессов добычи и транспортировки газа предъявляют повышенные требования и защите от информационного терроризма систем оперативно-диспетчерского управления. Меры по ЗИ реализуются в рамках отраслевой системы обеспечения ИБ, которая предусматривает: оценку состояния информационной безопасности; разработку и реализацию стратегии обеспечения защиты информационных ресурсов и технологий; проведение единой технической политики в области обеспечения ИБ; проведение НИР и ОКР по тематике ЗИ; планирование работ по подготовке кадров в сфере ЗИ и информационных технологий.

42 ТОИБ Характеристика АСУ ТП газовой отрасли как объекта защиты. АСУ ТП процесса добычи и транспортировки газа - сложная информационно-управляющую систему, построенную на основе современных технологий, с использованием сложного комплекса программно-технических средств, в составе которой функционируют несколько функциональных подсистем, решающих задачи: дистанционного управления основным и вспомогательным оборудованием; оптимизации и контроля режима работы оборудования; контроля и управления объектами линейной части магистрального газопровода; контроля и локализации аварийных и нештатных ситуаций; подготовки и передачи данных для взаимодействия с вышестоящими уровнями управления; контроля энергоснабжения и управления энергооборудованием; обеспечения безопасности протекания технологических процессов и деятельности персонала; проведения регламентных и планово-предупредительных работ. Типовая АСУ ТП имеет распределённую структуру программно- аппаратных средств, в которой предусматривается возможность передачи полномочий дистанционного управления различным уровням предприятия и распределения между ними основных функций.

43 ТОИБ АСУ ТП предназначена для частичной или полной автоматизации перечисленных функций с целью повышения эффективности управления технологическими объектами подготовки и транспортировки газа. Все подсистемы АСУ ТП объединены в общую локальную вычислительную сеть (ЛВС) для организации управления и контроля технологических процессов всех объектов. В составе типовой АСУ ТП обычно выделяются 3 уровня: уровень 1- диспетчерское управление; уровень 2 - системы локальной автоматики; уровень 3 - устройства сопряжения с объектами (УСО) в т.ч. с датчиковым оборудованием. Уровень диспетчерского управления реализуется в составе ЛВС, в которую входят: автоматизированные рабочие места (АРМ); серверное оборудование (сервер SCADA (Supervisory Control And Data Acquisition - совокупность аппаратно-программных средств, обеспечивающих возможность мониторинга, анализа и управления параметрами технологического процесса оператором), архивный сервер, коммуникационный сервер для связи с вышестоящим уровнем управления и смежными технологическими объектами); коммуникационное и другое оборудование.

44 ТОИБ ЛВС строится преимущественно с использованием волоконно- оптических линий связи и имеет топологию типа «кольцо». Использование волоконно-оптических линий связи (ВОЛС) позволяет обеспечить высокую пропускную способность передачи информации и характеризуется высокой помехоустойчивостью и надежностью прохождения информации. Уровень систем локальной автоматики реализуется системами автоматического управления (САУ) и регулирования, системой линейной телемеханики (СЛТМ). Эти системы базируются на промышленных программируемых контроллерах (ППК) и микропроцессорных средствах. Уровень УСО реализуется на базе ППК, имеющих аналоговые и дискретные входы и выходы. Данные ППК предназначены для подключения по физическим интерфейсам устройств полевого уровня: датчиков, исполнительных механизмов дискретного действия, технологических установок. Комиссией по вопросам обеспечения ЗИ для АСУ ТП газовой отрасли, как составной части отраслевой системы оперативно- диспетчерского управления, установлен класс защищенности 1Г (документ ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»).

45 ТОИБ Актуальные проблемы обеспечения информационной безопасности АСУ ТП газовой отрасли и направления их решения. 1. Отсутствие полноценной нормативной базы, определяющей объем и порядок задания требований по обеспечению ИБ при разработке и эксплуатации АСУ ТП. С появлением такого вида угроз, как «терроризм» в т.ч. «информационный терроризм», направленных на разрушение технической инфраструктуры в целях нанесения максимального ущерба как производству, так и населению, корректировка требований по безопасности в отношении АСУ ТП должна быть проведена на федеральном уровне с изданием и вводом в действие соответствующего технического регламента. 2. Необходимость обеспечения ИБ технологических объектов в условиях структурных преобразований предприятий газовой отрасли. В случае реструктуризации предприятий газовой отрасли по видам деятельности (добыча, переработка, транспорт и др.) встанет вопрос адаптации принципов организации технологического процесса к новым условиям управления производственной сферой.

46 ТОИБ 3. Необходимость обеспечения минимально необходимого уровня ИБ технологических объектов, построенных в 70-х - 80-х годах прошлого века. Оперативное принятие мер по повышению уровня информационной безопасности в отношении названных технологических объектов представляет определенные сложности, обусловленные тем, что средства информатизации компрессорных станций, цехов и иных объектов технологической инфраструктуры прошлого века относятся к предыдущим поколениям средств вычислительной техники и трудно адаптируемы к современным аппаратно- программным средствам защиты информации. 4. Необходимость всестороннего учета потенциальных угроз ИБ со стороны взаимодействующих с АСУ ТП информационных систем независимых производителей газа, а также государственных органов и крупнейших российских предприятий. 5. Разработка конкурентоспособных отечественных элементов АСУ ТП и обеспечение независимости предприятий газовой отрасли от иностранных производителей.

47 ТОИБ 5.4. ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРИТИЧЕСКИ ВАЖНЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ВООРУЖЕННЫХ СИЛ РОССИЙСКОЙ ФЕДЕРАЦИИ Обеспечение ИБ в Вооруженных Силах основывается на следующих концептуальных положениях: - информация и информационные ресурсы Вооруженных Сил должны отвечать общепринятым требованиям конфиденциальности, целостности и доступности; - обеспечение персональной ответственности за доступность, целостность (сохранность), засекречивание и рассекречивание информации; - ограничение доступа (его регламентирование и санкционирование) к информации есть исключение из общего принципа открытости информации; - доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются только на основе требований руководящих документов Министерства обороны; - права, обязанности и ответственность всех субъектов, действующих в информационной сфере, регламентируются на основе соответствующей нормативно-правовой базы; - осуществление контроля за созданием и использованием СЗИ посредством их обязательной сертификации по требованиям безопасности информации и лицензирования деятельности организаций в области ЗИ.

48 ТОИБ Основными задачами обеспечения ИБ в Вооруженных Силах являются: - совершенствование системы информационной безопасности, являющейся составной частью общей системы национальной безопасности страны; - разработка современных методов и технических средств, обеспечивающих комплексное решение задач обеспечения ИБ; - разработка и совершенствование критериев и методов оценки эффективности и качества (проведения сертификации) систем и средств обеспечения ИБ, учитывающих назначение, состав, характеристики АС ВН, характеристики обрабатываемой в них информации. Основные направления деятельности Вооруженных Сил в области ИБ: - развитие научно-методических и практических основ ИБ; - развитие нормативно-правовой базы обеспечения ИБ; - совершенствование форм и методов предотвращения угроз ИБ, минимизации и нейтрализации последствий их реализации; - создание современных методов и средств обеспечения ИБ.

49 ТОИБ Главные направления совершенствования системы обеспечения ИБ в сфере обороны: - систематическое выявление угроз и их источников, структуризация целей обеспечения ИБ в сфере обороны и определение соответствующих практических задач; - проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых АС ВН и системах связи, имеющих в своем составе средства вычислительной техники, по требованиям безопасности информации; - постоянное совершенствование СЗИ от НСД, развитие защищенных систем связи и управления войсками и оружием, повышение надежности специального программного обеспечения; - совершенствование структуры органов системы обеспечения ИБ в сфере обороны и координация их взаимодействия; - совершенствование приемов и способов стратегической и оперативной маскировки, разведки и РЭБ, методов и средств активного противодействия информационно-пропагандистским и психологическим операциям вероятного противника; - подготовка специалистов в области обеспечения ИБ в сфере обороны.

50 ТОИБ Критически важная АС ВН - это такая система, выход из строя которой или нарушение функционирования ее отдельных элементов может повлечь за собой срыв выполнения задач, поставленных перед войсками (силами), эксплуатирующими эту систему. Основные критерии, по которым АВ ВН может быть отнесена к критически важным. Первый критерий - это важность обрабатываемой в системе информации, (информационного ресурса) (боевая информация (приказы, решения, донесения, справки и т.п.) и служебная информация (технологической), влияющей на устойчивость и надежность функционирования самой системы). Второй критерий - это уязвимость системы (или отдельных ее компонентов) для различных воздействий (блокирование доступа, разрушение, уничтожение, замена, модификация, хищение) со стороны противника. Отказы системы предупреждения о ракетно-ядерном нападении или отказы системы блокирования несанкционированного применения ядерного оружия могут поставить под угрозу существование человеческой цивилизации. Отказ системы заблаговременного планирования применения ядерного оружия, обрабатывающей информацию такой же важности, повлечет сложности и неудобства в работе должностных лиц соответствующих органов управления, но без катастрофических последствий.

51 ТОИБ Процедура отнесения информационных ресурсов, автоматизированных систем и их элементов к критически важным основывается на: - нормативных документах Министерства обороны, устанавливающих требования по противодействию техническим средствам разведки (ПДТСР) иностранных государств, а также обеспечению ИБ в системах управления, в зависимости от значимости решаемых задач; - указаниях вышестоящих органов военного управления; - важности военного объекта, которому соответствует сегмент информационной инфраструктуры; - оценке степени защищенности системы управления и/или ее элементов от различных видов воздействий противника, а также доступности её объектов; - действующих и разрабатываемых перспективных планах применения войск и сил в мирное время, в угрожаемый период и в военное время; - учёте изменений конкретной обстановки при подготовке к применению и в ходе применения войск (сил).

52 ТОИБ К критически важным АС ВН в Вооруженных Силах относятся: - информационные ресурсы центрального аппарата МО РФ, видов Вооруженных Сил и родов войск, главных и центральных управлений МО, научно-исследовательских организаций, содержащие сведения и данные об оперативных и стратегических планах подготовки и ведения боевых действий, о составе и дислокации войск, о мобилизационной готовности, ТТХ вооружения и военной техники; - информационные ресурсы предприятий оборонного комплекса, содержащие сведения об их научно-техническом и производственном потенциале, об объемах поставок и запасах стратегических видов сырья и материалов, об основных направлениях развития ВВТ, их боевых возможностях и проводимых в интересах обороны фундаментальных и прикладных научно-исследовательских работах; - технологические процессы проектирования, разработки, испытания и внедрения систем обработки информации в образцы ВВТ; - программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, информатизированное ВВТ; - системы связи и передачи данных, телекоммуникационные системы оборонного значения; - личный состав органов управления и персонал эксплуатации АС ВН, а также работников предприятий, разрабатывающих АС ВН.

53 ТОИБ Внешними угрозами информационной безопасности Российской Федерации в сфере обороны, являются: - все виды разведывательной деятельности зарубежных государств; - информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников; - диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно- психологического воздействия; - деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.

54 ТОИБ Внутренними угрозами являются: - нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях МО РФ, на предприятиях оборонного комплекса; - преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения; - ненадежное функционирование информационных и телекоммуникационных систем специального назначения; - возможная информационно-пропагандистская деятельность, подрывающая престиж ВС РФ и их боеготовность; - нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов; - нерешенность вопросов социальной защиты военнослужащих и членов их семей.

55 ТОИБ Стратегия защиты от угроз должна предусматривать: - меры ограничения (законы и нормативно-правовые акты, регламентирующие правила, организационные мероприятия); - меры наказания (организационные и юридические) за совершение незаконных действий в автоматизированных системах; - меры предотвращения (механизмы типа «контроль», препятствия и другие технические средства), не допускающие несанкционированного доступа злоумышленников или необученных лиц в автоматизированную систему и предупреждающие возможности разрушения информации или аппаратных средств системы; - меры обнаружения, предупреждающие обо всех угрозах и попытках проникновения в систему, как удавшихся, так и неудавшихся; - меры восстановления, обеспечивающие возобновление нормального хода процессов или восстановление данных после вторжения нарушителей в систему.

56 ТОИБ Главные свойства системы ЗИ - многоуровневость, многозвенность и адаптивность при изменении структуры технологических схем или условий функционирования автоматизированной системы. Принципы построения: - обеспечение решения требуемой совокупности задач защиты; - комплексное использование средств защиты, оптимизация архитектуры; - удобство для персонала; - простота эксплуатации; - минимизация затрат, максимальное использование серийных средств. Система ЗИ должна выполнять следующие функции: - предупреждение о появлении угроз безопасности информации; - обнаружение, нейтрализацию и локализацию информационных воздействий; - управление доступом к защищаемой информации; - восстановление системы ЗИ и защищаемой информации после информационных воздействий; - регистрацию событий и попыток НСД к защищаемой информации и несанкционированного воздействия на нее; - обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на выход их из строя.

57 ТОИБ Основные пути сохранения информационных ресурсов: - ограничение физического доступа к объектам обработки информации и реализацию режимных мер; - ограничение возможности перехвата информации вследствие существования физических полей; - ограничение доступа к информационным ресурсам и элементам системы обработки данных путем установления правил разграничения доступа, криптографическим закрытием каналов передачи данных, выявлением и уничтожением программных и технических закладок; - создание резервных копий на случай утраты массивов данных; - проведение мероприятий антивирусной защиты информации.

58 ТОИБ Организационные мероприятия системы обеспечения ИБ: 1. Мероприятия, осуществляемые при создании АС ВН: - разработка общего проекта системы и ее структурных элементов; - строительство или переоборудование помещений; - разработка математического, программного, информационного или лингвистического обеспечения; - монтаж и наладка оборудования; -испытания и приемка системы. 2. Мероприятия, осуществляемые при вводе и в процессе эксплуатации АС ВН: - организация пропускного режима, охраны, допуска должностных лиц в помещения и к обработке информации с использованием комплексов средств автоматизации; - организация автоматизированной обработки информации; - организация ведения протоколов учета и регистрации; - установление должностных лиц, ответственных за защиту информации, и разработка для них функциональных обязанностей; - установление параметров разграничения доступа (паролей, идентификаторов); - контроль выполнения требований инструкций по обеспечению информационной безопасности и др.

59 ТОИБ 3. Мероприятия при выводе АС ВН (информационных ресурсов) из эксплуатации: - подготовка и передача в архив информационных ресурсов; - гарантированное уничтожение информационных ресурсов на носителях информации, передаваемых на утилизацию или для дальнейшего использования в других АС или иным образом; - определение порядка и сроков хранения (в том числе порядка и сроков рассекречивания) информационных ресурсов, средств защиты информации и т.п.

60 ТОИБ 4. Мероприятия общего характера: - организация проверок механизма защиты; - планирование мероприятий по защите информации; - обучение пользователей и персонала, проведение занятий; - участие в семинарах, конференциях и т.п. по проблемам информационной безопасности. Технические меры защиты: - блокирование каналов утечки информации и несанкционированного доступа к ее носителям; - проверку исправности и работоспособности технических средств АС ВН; - установку средств выявления и индикации угроз, проверку их работоспособности; - установку защищенных средств обработки информации, СЗИ и проверку их работоспособности; - применение программных средств защиты в средствах вычислительной техники, автоматизированных системах, осуществление их функционального тестирования и тестирования на соответствие требованиям защищенности; - использование специальных инженерно-технических средств (систем).

61 ТОИБ В Вооруженных Силах для защиты информации (информационных ресурсов), обрабатываемой в критически важных автоматизированных системах, используются следующие группы средств защиты информации: - средства защиты информации от несанкционированного доступа; - средства криптографической защиты информации от несанкционированного доступа; - средства антивирусной защиты; - межсетевые экраны; - средства защиты информации от утечки по техническим каналам и другие.

62 ТОИБ Основными направлениями деятельности службы ЗИ являются: - определение информационных ресурсов, подлежащих защите; - выявление угроз и каналов утечки информации; - проведение оценки уязвимости и рисков; - разработка требований к средствам защиты информации; - выбор мер и средств защиты информации; - внедрение и использование выбранных мер и средств защиты; - контроль выполнения требований и управление системой защиты информации.

63 ТОИБ Основные задачи, возлагаемые на службу защиты информации: - разработка проектов нормативных правовых документов по защите информации; - постоянный анализ состояния работы по защите информации в АС ВН, оценка ее эффективности и выработка предложений по ее совер­шенствованию; - планирование и контроль за осуществлением организационно-технических и режимных мероприятий по информационной безопасности; - участие в проведении расследований по фактам нарушений требований информационной безопасности в автоматизированных системах; - организация применения средств защиты информации; - организация подготовки должностных лиц по вопросам информационной безопасности.