28 мая 2015 годаВолгоград

Компания УЦСБАлексей Комаров

Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления

Содержание

• Компания УЦСБ

• Состояние обеспечения ИБ АСУ ТП типовойпромышленной компании

• Проблематика обеспечения ИБ АСУ ТП в процессеэксплуатации

• Предложения по реализации мероприятий пообеспечению ИБ АСУ ТП в процессе эксплуатации

• Целевое состояние обеспечения ИБ АСУ ТП

Компания УЦСБ Основана в 2007 Оборот в 2014 > 2 млрд руб. Сотрудники ~300только 10% административные и пр.

Екатеринбург +2 часаВы просыпаетесь – мы уже работаемУходите с работы – мы ещё работаем

Направления деятельностиИБ, ИТ, ТСО, инженерные системы, ЦОДы, НИР, НИОКР, R&D

3

УЦСБ и ИБ АСУ ТП Исследования по теме ИБ АСУ ТП

Анализ мирового и отечественного опыта Собственные исследования и оценка защищённости

Аудиты действующих АСУ ТП, моделирование угроз и разработка требований и методов обеспечения ИБ АСУ ТП

Создание систем обеспечения ИБ АСУ ТП Включая разработку нормативной документации (корпоративные и отраслевые стандарты)

Разработка собственных решений4

Обеспечение ИБ АСУ ТП

Система обеспечения ИБ АСУ ТП типовой компании

Организационная основаЭксплуатация средств защиты информации: службы автоматизации и связи.Контроль за состоянием ИБ: службы ИБ.

Документальная основаСтандарты и организационно-­распорядительные документы по обеспечению ИБ.Требования по созданию и эксплуатации АСУ ТП

Техническая основаСоздание систем защиты информации для новых объектов

Документальная основа обеспечения ИБ АСУ ТП

СтандартыКонцепция

информационной безопасностиКомпании

Политика

информационной безопасности Компании

Стандарты Стандарты

Требования Требования … … …

Организационная основа обеспечения ИБ АСУ ТП

• Задание требований• Экспертиза проектной документации• Контроль состояния ИБ

Подразделения безопасности

• Эксплуатация систем и средств защиты (встроенные механизмы, наложенные средства)

Управления автоматизации

• Эксплуатация систем и средств защиты (межсетевые экраны, системы обнаружения вторжений)

Управления связи

Техническая основа обеспечения ИБ АСУ ТП

При создании и реконструкции АСУ ТП

В обязательном порядке предусматриваются системы защиты информации АСУ ТП

Для действующихАСУ ТП

Системы защиты информации АСУ ТП отдельно не реализуются

Корпоративные ИУС и АСУ ТП как объекты защитыКорпоративные ИУС АСУ ТП

1. Принципы построения систем

Преимущественно централизованные системы со схожей архитектурой построения

Иерархия разнородных систем. Каждая отдельно взятая система уникальна

2. Ориентация на работу с пользователями

Ориентирована на взаимодействие с пользователем на всех уровнях

Степень взаимодействия с пользователем зависит от уровня иерархии АСУ ТП

ИУС ВИУС Б

ИУС А

Уровеньдочернего общества

СДКУ СППДР

Уровеньфилиала

СДКУ СППДР

Уровеньтехн. комплекса

СДКУ СППДР

Уровеньтехн. объекта АСУ ЭСАУАСУ ТП

АСУ ТПКорпоративные ИУС

Техническая основа ИБ типовой компании

СДКУ СППДР

СДКУ СППДР

ПКУ ТКСКУ ТК СППР

АСУ Э ТК

АСУ ТП объекта

СОДУ филиала

СОДУ дочернего общества

ИАСУ ТП ТК

СЗИ

СЗИ

СЗИКомплексная система защиты информации

Подсистема регистрации и

учета

Подсистема централизованного управления СрЗИ

Подсистема управления доступом

Подсистема обеспечения

целостности

Подсистема обеспечения

непрерывности функционирования КСЗИ

Подсистема контроля

защищенности

Подсистема криптографическо

й защиты

Подсистема обеспечения

сетевой безопасности

Подсистема защиты от

вредоносного кода и спама

Подсистема управления учетными записямиПодсистема

контроля использования

информационных ресурсов

Защищенный узел

доступа

Система управления доступом к сетевому оборудованию

Система безопасного доступа

к Интернету

Факторы, влияющие на обеспечение ИБ АСУ ТП в процессе эксплуатации

11 из 23

Внесение изменений в АСУ ТП в ходе эксплуатации:• Плановое обновление в ходе ТО.• Замена вышедших из строя компонентов.

• Несанкционированные или случайные отключения СрЗИ.

Появление новых уязвимостей:• Общесистемного ПО.• Специализированного ПО АСУ ТП.• В результате вносимых изменений в АСУ ТП.

• Планирование корректирующих мероприятий

• Увеличение затрат на контроль соответствия требованиям ИБ

Отраслевые нормативные документы

Федеральные нормативные документы

Расширение требований и совершенствование подходов к обеспечению ИБ АСУ ТП

Основные направления

гос. политики в области

обеспечения безопасности АСУ

КВО

Приказ ФСТЭК России 31

Требования к обеспечению

защиты информации в АСУ КВО

Типовые технические требования и решения

Типовые технические требования и решения

Типовые технические требования и решения

Проект ФЗ

О безопасности критической

информационной инфраструктуры РФ

Положения нормативных документов по обеспечения ИБ в процессе эксплуатации АСУ ТП

256-­ФЗ от 21.07.2011

О безопасности объектов ТЭК

Приказ ФСТЭК России 31

Требования к обеспечению защиты

информации в АСУ КВО

Статья 11. Обеспечение безопасности информационных систем объектов ТЭК

1. В целях обеспечения безопасности … субъекты ТЭК создают системы

защиты информации и обеспечивают функционирование таких систем.

Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления16. Обеспечение защиты информации … включает следующие процедуры:• управление (администрирование) системой защиты;;• выявление инцидентов в ходе эксплуатации;;• управление конфигурацией АСУ и ее системы защиты;;• контроль (мониторинг) за обеспечением уровня защищенности АСУ.

Мероприятия по обеспечению ИБФакторы

Связь факторов, влияющих на обеспечение ИБ АСУ ТП, с мероприятиями по обеспечению ИБ

• Контроль конфигураций• Инвентаризация объектов защиты• Управление событиями ИБ

• Контроль защищенности компонентов АСУ ТП

• Выявление компьютерных атак

• Автоматизация контроля соответствия требованиям по ИБ

Изменения в процессе эксплуатации АСУ ТП

Появление новых уязвимостей компонентов

АСУ ТП

Изменение требований и совершенствование

подходов к обеспечению ИБ АСУ ТП

Контроль конфигураций компонентов АСУ ТПСбор конфигураций и выявление несанкционированных изменений конфигураций. Оценка выполнения требований по безопасной конфигурации

Инвентаризация объектов защитыОпределение текущего состава компонентов АСУ ТП(инвентаризация).Выявление несанкционированных изменений

Управление событиями безопасностиСбор, нормализация и корреляция событий от средств защитыи компонентов АСУ ТП.Выявление инцидентов ИБ

Обеспечение сетевой безопасности (выявление компьютерных атак)Обнаружение компьютерных атак в технологической сети АСУ ТП.Обнаружение сетевых аномалий

Автоматизация контроля соответствия требованиям ИБ и контроля защищенностиВыявление существующих уязвимостей компонентов АСУ ТП (сканирование защищенности).Оценка выполнения установленных требований ИБ и выявление несоответствий

Функции анализа и мониторинга состояния ИБ АСУ ТП

Уровень объекта

Уровень филиала

Уровень предприятия

АСУ ТПСистема анализа и мониторинга состояния ИБ АСУ ТП

Функциональная структура системы анализа и мониторинга состояния ИБ АСУ ТП

Обнаружен. атак

Инвентари-­зация, сбор конфигурац.

Обнаружен. атак

Инвентари-­зация, сбор конфигурац.

Обнаружен. атак

Сбор и нормализ. событий ИБ

Инвентари-­зация, сбор конфигурац.

Контроль конфиг.

Оценка требов.

Выявление инцидентов

ИБ

СДКУ, СППДР

СДКУ, СППДР, СЛТМ

АСУ ТП, АСУ Э, САУ

Сканир. защищен-­ности

Корреляция событий ИБ

Контроль конфиг.

Корреляция событий ИБ

Сканир. защищен-­ностиСбор и

нормализ. событий ИБ

Сканир. защищен-­ностиСбор и

нормализ. событий ИБ

Режимы работы системы анализа и мониторинга состояния ИБ АСУ ТП

Пассивный мониторинг

Активный мониторинг

Сканирование защищенности

Контроль конфигураций

Инвентаризация объектов защиты

Обеспечение сетевой безопасности(выявление комп. атак)

Управление событиями ИБ

Автоматизация контроля соответствия и защищенности

Пассивный мониторинг:однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты АСУ ТП

Сканирование защищенности:выявление уязвимостей компонентов АСУ ТП

Активный мониторинг:взаимодействие с компонентами АСУ ТП (запрос-­ответ), сбор конфигураций и событий

Варианты реализации системы анализа и мониторинга состояния ИБ АСУ ТП

Расширение комплекса

существующих средств

Комплексспециализированных средств отечественной разработки

Комплексспециализированных средств иностранной разработки

Контроль конфигураций компонентов АСУ ТП Max Patrol Эфрос-­CI Industrial

Defender

Инвентаризация объектов защиты Max Patrol DATAPK IndustrialDefender

Управление событиями безопасности ArcSight DATAPK IndustrialDefender

Обеспечение сетевой безопасности (выявление комп. атак)

Check Point DATAPK Industrial

Defender

Автоматизация контроля соответствия требованиям ИБ и контроля защищенности Max Patrol DATAPK Industrial

Defender

Мероприятия по обеспечению ИБ

Вариант реализации

Сравнение вариантов реализации

Расширение комплекса существующих средств

Комплексспециализированных

средств отечественной разработки

Комплексспециализированных средств иностранной

разработки

Требования к вычислительной инфраструктуре

Требуетсяустановка агентов на СВТ АСУ ТП

Безагентнаясистема

Требуется установка агентов на СВТ АСУ ТП

Возможности по контролю за нагрузкой на каналы связи

• Расписаниеиспользования каналов связи

• Ограничение полосы пропускания

• Расписаниеиспользования каналов связи

• Ограничение полосы пропускания

• Расписаниеиспользования каналов связи

• Ограничение полосы пропускания

Объем передаваемых данных между уровнями иерархии

Значительный Минимальный Значительный

Параметр сравнения

Вариант

Сравнение вариантов реализации (2)

Расширение комплекса существующих средств

Комплексспециализированных

средств отечественной разработки

Комплексспециализированных средств иностранной

разработки

Требования к инженерной инфраструктуре

• Монтажный шкаф• Кондиционирование • Гарантированное

электроснабжение

Соответствуюттребованиям компонентов защищаемой АСУ ТП

• Монтажный шкаф• Кондиционирование • гарантированное электроснабжение

Степень реализации функций системы

Избыточная Достаточная Достаточная

Порядок стоимости

Параметр сравнения

Вариант

Проведена апробация решения

АСУ ТП

СДКУ СППДР

СДКУ СППДР

ПКУ ТКСКУ ТК СППР

АСУ Э ТК

АСУ ТП объекта

СОДУ филиала

СОДУ дочернего общества

ИАСУ ТП ТК

Система анализа и м

ониторинга состояния И

Б

Корпоративные ИУС

Целевое состояние обеспечения ИБв типовой компании

СЗИ

СЗИ

СЗИ

СЗИ

СЗИ

Корпоративная система управления ИБ

Комплексная система защиты информации

ЗаключениеСоздание системы анализа и мониторинга состоянияИБ АСУ ТП позволит:

Получать оперативную информацию о состоянии ИБ объектовАСУ ТП промышленной компании.

Обеспечить контроль соответствия требованиям ИБ ипланирование мероприятий по приведению в соответствие.

Выявить предпосылки реализации угроз ИБ для своевременногопринятия мер по предотвращению инцидентов в АСУ ТП.

Вопросы?

Компания УЦСБ620100, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-­98-­34Факс: +7 (343) 382-­05-­63info@ussc.ruwww.USSC.ru

Алексей Комаров@zlonov

ZLONOV.ru