Документ описывает требования к защите автоматизированных систем управления технологическими процессами (АСУ ТП) в России, включая законодательство, методические материалы и международный опыт. Он охватывает этапы работы по защите, классификацию рисков, моделирование угроз и процессы установки мер защиты. Также упоминаются основные документы ФСТЭК, регулирующие безопасность АСУ ТП, и международные стандарты в этой области.

1. 12.11.15
Требования в области
защиты АСУ ТП
Законодательство. Регуляторы. Международный опыт
Сергей Кацапов
Руководитель направления

2. – 2 –
Требования по защите АСУ ТП
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭК
КСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭК
Требования по ЗИ в АСУ ТП

3. – 3 –
КСИИ vs АСУ ТП
КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Системы, обеспечивающие
управление опасными
объектами
• водоснабжением
• энергоснабжением
• транспортом
• потенциально опасными
объектами
Системы, обеспечивающие
функционирование информ.
объектов, осущ. управление
(обеспечение) важных для
РФ процессов
• органов власти
• банков
• предупреждения ЧС
• навигации
• сетей связи
Автоматизированные системы
управления технологическими
и производственными
процессами

4. – 4 –
Документы ФСТЭК России в области КСИИ
Система
признаков КВО
2005г
Базовая модель
угроз
2007г
Методика
определения
актуальных угроз
2007г
Общие
требования по
обеспечению
безопасности
2007г
Рекомендации по
обеспечению
безопасности
2007г
Положение о
Реестре КСИИ
2009г

5. – 5 –
Документы ФСТЭК России в области АСУ ТП
Приказ №31
Требования к
защите
информации
2014г
Проект
Требования к
средствам
антивирусной
защиты
2015г
Проект
Меры защиты
информации
2016г
Проект
Методика
определения
угроз
2016г
Проект
Порядок
выявления и
реагирования на
уязвимости
2016г
Проект
Порядок
реагирования на
инциденты
2016г

6. – 6 –
Этапы работ по защите АСУ ТП
Формирование
требований
• Принятие решения о защите
• Классификация
• Моделирование угроз
• Формирование требований
Разработка
системы защиты
• Проектирование
• Разработка экспл. док-ции
Внедрение и
ввод в действие
• СМР и ПНР
• Орг. меры
• Анализ уязвимостей
• Испытания и приемка
Эксплуатация
• Управление инцидентами
• Информирование и обучение
• Планирование и анализ рисков
• Контроль (мониторинг)
Вывод из
эксплуатации
• Архивирование
• Уничтожение инф.

7. – 7 –
Основания начала работ по защите АСУ ТП:
• Требования законодательства
• Внутренние требования
• Инциденты ИБ в АСУ ТП
• Результаты аудита ИБ АСУ ТП
Принятие решения о защите АСУ ТП

8. – 8 –
Документы по
КСИИ
Классификация АСУ ТП
Отнесение к КСИИ
Определение уровня
важности
(1, 2, 3)
Определение группы
КСИИ
Включение в реестр
КСИИ
Приказ №31
Классификация по КСИИ
Определение уровня
значимости информации
(УЗ 1, УЗ 2, УЗ 3)
Определение класса
защищенности
(К1, К2, К3)

9. – 9 –
Моделирование угроз безопасности
Документы по КСИИ
1. Процесс прописан в:
• Базовой модели угроз
• Методике определения
актуальных угроз
2. Угроза признается
актуальной на основании
оценки:
• Коэффициента опасности
• Вероятности реализации
Приказ №31
1. Документы, описывающие
процесс не разработаны
2. Проект методики
определения угроз
ожидается в 2016г
3. В настоящее время
применяются документы по
КСИИ

10. – 10 –
Формирование требований по защите
Для АСУ ТП применяется Приказ №31
Документы по КСИИ – дополнительный методический материал
Выбор
базовых
мер
с учетом класса
защищенности
Адаптация
базовых мер
с учетом
структуры АСУ ТП
Уточнение
набора мер
для защиты от
всех угроз
Дополнение
набора мер
с учетом доп.
требований
Порядок выбора мер защиты информации:
Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП

11. – 11 –
Проектирование системы защиты АСУ ТП и разработка
эксплуатационной документации
• ГОСТ 34 серии. Автоматизированные системы (АС)
• ГОСТ Р 51624. АС в защищенном исполнении. Общие требования
• ГОСТ Р 51583. Порядок создания АС в защищенном исполнении
Разработка системы защиты

12. – 12 –
Внедрение и ввод в действие
Этап Особенности
Монтаж оборудования и
пусконаладочные работы
Должно быть обеспечено:
• функционирование АСУ ТП
• совместимость средств защиты с ПО АСУ ТП
Внедрение орг. мер Орг. меры регламентируют работу:
• операторского персонала
• администраторов
• обеспечивающего персонала
Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатацию
Может включать тестирование на проникновение
Испытания и приемка Применяется весь комплекс испытаний
Аттестация не обязательна

13. – 13 –
Обеспечение защиты в ходе эксплуатации АСУ ТП
• Планирование мероприятий по защите АСУ ТП
• Обеспечение действий в нештатных (непредвиденных) ситуациях
• Информирование и обучение персонала АСУ ТП
• Периодический анализ угроз и рисков от их реализации
• Управление системой защиты АСУ ТП
• Выявление инцидентов и реагирование на них
• Управление конфигурацией АСУ ТП и ее системы защиты
• Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП

14. – 14 –
Обеспечение защиты при выводе из эксплуатации АСУ ТП
• Архивирование информации, содержащейся в АСУ ТП
• Уничтожение (стирание) данных и остаточной информации с
машинных носителей информации и (или) уничтожение
машинных носителей информации

15. – 15 –
Международный опыт
Международные стандарты:
• Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security
• Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security»
Документы схожи с Приказом №31 ФСТЭК России, но содержат:
• описание АСУ ТП и анализ угроз и уязвимостей
• рекомендации и особенности по реализации мер защиты в АСУ ТП
• примеры реализации защитных мер
Дополнительно нужно учитывать документы разработчиков АСУ ТП
http://www.siemens.com/industrialsecurity

16. – 16 –
Спасибо за внимание!
Сергей Кацапов
Руководитель направления
Уральский центр систем безопасности
skatsapov@ussc.ru