Иван Бадеха, руководитель направления Департамент информационной безопасности Информационная безопасность на службе у промышленной автоматизации 09 октября 2014 г., г. Москва

2 Тенденции развития промышленной автоматизации Потребности интеграции АСУТП в единую корпоративную систему: сбор исторических данных и мониторинг состояния АСУТП, создание центров управления производством уровня завода Обслуживание передаётся на инсорс/аутсорс, в том числе удалённо через Internet Переход на использование стандартных протоколов на базе Ethernet на «низком» уровне Развитие полевого уровня АСУТП: повышение «интеллекта» полевых устройств, использование радиоканала на полевом уровне => Повышается степень интегрированности технологических сетей => Набирают актуальность вопросы, связанные с информационной безопасностью

3 Что собой представляет объект защиты – не вдаваясь в детали

4 Что собой представляет объект защиты – вид изнутри

5 Риски Непрерывность производства Вред населению и окружающей среде при возникновении аварий Финансовые потери при возникновении инцидентов и аварий Репутационные издержки при возникновении инцидентов и аварий Финансовые потери от простоев мощностей Федеральный Закон от г. 116-ФЗ "О промышленной безопасности опасных производственных объектов" авария – разрушение сооружений и (или) технических устройств, применяемых на опасном производственном объекте, неконтролируемые взрыв и (или) выброс опасных веществ; инцидент – отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от установленного режима технологического процесса Надзорный орган: Ростехнадзор

6 I. Порядок нужно наводить, начиная с «головы» ШАГ 1 Проведение подробного обследования, а в ряде случаев и инвентаризации имеющегося оборудования и закрепление ответственности за него должностных лиц на всех ключевых участках ШАГ 2 Корректировка (отработка) управляющей и организационной составляющей на предприятии в целом и на объекте в частности, закрепляющих ответственность и порядок действий в стандартных и нестандартных ситуациях ШАГ 3 Решение вопросов взаимодействия внутри периметра предприятия и за его пределами (ГО и ЧС, органы местного самоуправления, здравоохранение, полиция, МО РФ) Шаг 4 Проведение обучения и регулярных подробных практических инструктажей для всех категорий лиц, допускаемых на объект Шаг 5 Разработка четких и понятных инструкций на рабочих местах, Планов локализации аварийных ситуаций и других обязательных документов Шаг 6 Определение и закрепление доступных мест хранения оборудования «горячего резерва» (контроллеры и пр.) Порядок в управлении: Ответственные лица назначены и обеспечены необходимыми ресурсами Проведена работа с подрядчиками Поддержание готовности персонала к слаженной работе: регулярные тренинги и проверки знаний Планирование: Планы поддержания непрерывности производства Взаимоувязанность ПЛАСов Фактические проверки планов и готовности персонала

7 II, Наведение порядка в инфраструктуре Шаг 7 Отделение технологической сети Применение базовых мер ограничения доступа Оценка рисков ИБ АСУТП Шаг 8 Разработка инструкций на рабочих местах Проведение обучения и регулярных инструктажей Оборудование «горячего резерва» Контроль тех. обслуживания Использование паролей на сетевом оборудовании

8 III. Создание системы ОБИ АСУТП Шаг 9 Применение средств защиты информации АСУТП Однонаправленный шлюз или межсетевой экран Процедуры обновления Шаг 10 Поддержка уровня защищённости АСУТП 1 этап Обследование Моделирование нарушителей и угроз ИБ АСУТП 2 этап Модель защиты: 1) устранение актуальных угроз, 2) выполнение требований стандартов ТЗ и техническое проектирование системы ОБИ АСУТП 3 этап Разработка пакета локальных нормативных актов Системы управления безопасностью информации АСУТП 4 этап Ввод в действие Системы ОБИ АСУТП

9 Механизмы защиты: шкала опасности Наименее критичные объекты Средний уровень критичности объекта Высокий уровень критичности объекта Наивысший уровень критичности объекта Чем выше уровень нарушителя, тем более низкий уровень применяемых механизмов защиты => Остаточный риск

10 Нормативное регулирование Пункт 1. Настоящие требования применяются в случае принятия владельцем АСУТП решения об обеспечении защиты информации, обработка которой осуществляется этой системой … Приказ ФСТЭК России 31 от 14 марта 2014 «Об утверждении требований по защите АСУ ТП…» Документы ФСТЭК по защите КСИИ (гриф «ДСП») 4 шт., из которых 2 надо использовать: Базовая модель угроз безопасности информации в КСИИ; Методика определения актуальных угроз безопасности информации в КСИИ. Управляющая информация Контрольно-измерительная информация Программно-техническая информация Иная информация ограниченного доступа Данные, получаемые от конечных устройств, на основе которых, в том числе, формируется управляющее воздействие Сведения о составе и функционировании АСУ ТП и СОИБ АСУ ТП, программном обеспечении, настройках и параметрах Информация, защищаемая в соответствии с действующими нормативно- правовыми актами и локальными нормативными документами Класс защищенности (отдельно для каждого из уровней (операторского (диспетчерского) управления, автоматизированного управления, ввода (вывода) данных, исполнительных устройств) и сегментов АСУТП Верхнеуровневые документы: Стратегия национальной безопасности Российской Федерации до 2020 года, «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ, г. 803) Указ Президента РФ от с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»; Законопроекты: «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры», 2006 г.; «О безопасности критической информационной инфраструктуры Российской Федерации», 2013 г.; «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», 2013 г. Отраслевое законодательство: ТЭК Использование атомной энергии Управляющее воздействие на технологические процессы Критически важная информация АСУТП:

11 Используемые подходы по защите АСУТП Приказ ФСТЭК 31 Документы ФСТЭК по защите КСИИ (гриф «ДСП») Нормативное регулирование NIST SP , ISA SP99, NERC CIP и другие ISO Международные стандарты Рекомендации Rockwell, Siemens и других вендоров АСУТП Сведения об уязвимостях в SCADA-системах Подходы вендоров АСУТП Касперский ТМС, ЩИТ, Tofino, RuggedCom и др. Подходы Cisco, McAfee, Checkpoint и других вендоров средств защиты Специализированные средства защиты NAC, IDS, SIEM, МЭ, антивирусы и т.д. Общие средства защиты

12 Международные стандарты Во всех стандартах: Механизмы контроля (правила) в ключевых областях ОБИ АСУ ТП Процессы управления Основные процессы управления: Планирование обеспечения безопасности; Инвентаризация активов, оценка и обработка угроз (рисков); Планирование обеспечения непрерывности деятельности; Безопасное сопровождение АСУТП; Управление квалификацией ключевого персонала; Оценка эффективности системы управления безопасностью информации АСУТП; И другие. Приказ ФСТЭК 31

13 Подходы вендоров АСУТП Поиск уязвимостей в HMI и PLC, выпуск патчей ISA 99, NECR CIP, IEC SCALANCE S (МЭ и VPN) Best practice

14 Rockwell Automation Security Best Practice

15 Клиенты по проектам в сфере информационной безопасности

Спасибо за внимание! Тел.: +7 (495) доб Факс: +7 (495) Моб.: +7(915) Иван Бадеха Руководитель направления Департамент Информационной Безопасности ЗАО «Ай-Теко»