Требования ФСТЭК по защите
информации в АСУ ТП

Лукацкий Алексей, консультант по безопасности
Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362
«Безопасность
ИТ» (ISO SC27 в
России)

«Защита
информации в
кре...
КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ
Последние изменения по направлению КВО
•  Постановление Правительства №861 от 02.10.2013
•  Законопроект по безопасности к...
ВВЕДЕНИЕ В
КАТЕГОРИРОВАНИЕ КИИ
Категорирование объектов КИИ
•  Субъекты КИИ на основании установленных критериев и в
соответствии с утвержденными показат...
Категории объектов КИИ
•  3 категории объектов КИИ
–  объекты критической информационной инфраструктуры
Российской Федерац...
Что делать с категориями?

1 категория •  Направить в ФСБ
2 категория •  Направить в ФСТЭК
3 категория •  Направить в ФСТЭ...
ВВЕДЕНИЕ В ТРЕБОВАНИЯ
ПО БЕЗОПАСНОСТИ
5 требований по безопасности
1.  Организационные вопросы безопасности
2.  Требования к персоналу, непосредственно обеспечи...
Система безопасности объекта КИИ должна включать
•  Предотвращение неправомерного доступа, уничтожения,
модифицирования, б...
КСИИ ИЛИ АСУ ТП?
АСУ ТП – это подмножество КСИИ
•  Ключевая (критически важная) система информационной
инфраструктуры – информационно-управ...
Отнесение систем к КСИИ
•  КСИИ делятся на группы
–  Системы сбора открытой информации, на основании которой
принимаются у...
Требования по защите КСИИ 1-го типа

Группы требований

Уровень важности КСИИ
3

2

1

Управление доступом

1Г

1В

1Б

Ре...
Требования по защите КСИИ 2-го типа

Группы требований

Уровень важности КСИИ
3

2

1

Планирование обеспечения безопаснос...
ВВЕДЕНИЕ В ПРОЕКТ
ПРИКАЗА ФСТЭК ПО
ЗАЩИТЕ АСУ ТП
Проект нового приказ ФСТЭК
•  «Об утверждении Требований к
обеспечению защиты информации в
автоматизированных системах
упр...
На кого распространяется приказ?
•  Автоматизированные системы управления, обеспечивающие
контроль и управление технологич...
Объект защиты
•  Информация (данные) о производственном и (или)
технологическом процессе, управляемом (контролируемом)
объ...
Можно ли использовать корпоративные стандарты?
•  ФОИВ, корпоративные структуры и организации в соответствии с
настоящими ...
Смена парадигмы
•  Принимаемые организационные и технические меры защиты
информации должны обеспечивать доступность обраба...
Безопасное функционирование АСУ ТП на первом месте
•  Система защиты автоматизированной системы управления не
должна препя...
Вас могут защищать не все
•  Для выполнения работ по обеспечению безопасности могут
привлекаться организации, имеющие лице...
ЖИЗНЕННЫЙ ЦИКЛ
СИСТЕМЫ ЗАЩИТЫ
Жизненный цикл системы защиты АСУ ТП
• 
• 
• 
• 
• 

Формирование требований к защите информации в АСУ ТП
Разработка систе...
Формирование требований
•  Принятие решения о необходимости защиты информации в АСУ
ТП
•  Классификация АСУ ТП по требован...
Классификация АСУ ТП
•  Класс защищенности АСУ ТП зависит от уровня значимости
информации
•  Уровень значимости информации...
Степень наносимого ущерба
Степень ущерба Описание ущерба
Высокая

Возникновение чрезвычайной ситуации федерального
или меж...
Какой класс защищенности будет оптимальным?
•  Для объектов ТЭК, обязанных произвести категорирование
опасности своих объе...
Моделирование угроз
•  Модель угроз безопасности информации должна содержать
описание АСУ ТП и угроз безопасности информац...
ВВЕДЕНИЕ В ЗАЩИТНЫЕ
МЕРЫ
Меры по защите информации
•  Организационные и технические меры защиты информации,
реализуемые в АСУ ТП
–  идентификация и...
Меры по защите информации
•  продолжение:
–  защита технических средств и оборудования
–  защита АСУ ТП и ее компонентов
–...
Как определяются защитные меры

•  Выбор мер защиты информации в АСУ ТП
включает
выбор базового набора мер
адаптацию выбра...
А если какую-то меру невозможно реализовать?
•  При отсутствии возможности реализации отдельных мер защиты
информации в АС...
Можно ли исключать защитные меры?
•  Исключение из базового набора мер защиты информации мер,
непосредственно связанных с ...
ОБ УПРАВЛЕНИИ
ИНЦИДЕНТАМИ
Управление инцидентами – обязанность субъекта КИИ
•  Субъекты КИИ обязаны незамедлительно информировать в
порядке, установ...
Уведомление об инцидентах: как правильно?
•  По законопроекту уведомлять об инцидентах ИБ необходимо
ФСБ и незамедлительно...
ОЦЕНКА СООТВЕТСТВИЯ
Как осуществляется приемка системы защиты АСУ ТП?
•  По решению заказчика подтверждение соответствия системы
защиты АСУ ТП...
Сертификация средств защиты необязательна
•  Для обеспечения
защиты информации в
АСУ ТП применяются
средства защиты
информ...
Соответствие уровней защищенности классам
сертифицированных СЗИ (в случае их применения)
Тип СЗИ / ПО

3 уровень

2 уровен...
Какие решения Cisco имеют сертификаты ФСТЭК?
•  Многофункциональные защитные устройства
–  Cisco ASA 5505, 5510, 5520, 554...
Какие решения Cisco имеют сертификаты ФСТЭК?
•  Коммутаторы
–  Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, ...
Какие решения Cisco планируется сертифицировать?
•  Системы предотвращения вторжений
–  Cisco IPS 4345, 4360, 4510, 4520
–...
РЕШЕНИЯ CISCO
Решения Cisco для индустриальных сетей
•  Индустриальные коммутаторы IE 3000, IE
2000, IE 3010 и CGS 2500
•  Индустриальны...
Cisco SAFE for PCN
Enterprise Network

Уровень 5
Уровень 4

Email, Intranet, etc.

Site Business Planning and Logistics Ne...
Cisco IPS для АСУ ТП
Все типы оборудования
•  SCADA
•  DCS
•  PLC
•  SIS
•  EMS
•  Все основные производители
•  Schneider...
Защита индустриальных систем с помощью Sourcefire
•  2 препроцессора для Modbus и DNP3
•  Возможность написания собственны...
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение

Modbus TCP -Unauthorized Write Request to a
PLC

Сиг...
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение

Unauthorized communications with HMI

Сигнатура

ale...
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение

Unauthorized to RTU Telnet/FTP

Сигнатура

alert tcp...
Smart Grid коммутатор, маршрутизатор, IE3000 (как МСЭ) и
IPS for SCADA
security-request@cisco.com

Благодарю вас
за внимание

BRKSEC-1065

© Cisco и (или) дочерние компании, 2011 г. Все права з...
Upcoming SlideShare
Loading in...5
×

Проект приказа ФСТЭК по защите информации в АСУ ТП

7,510

Published on

Published in: Technology

Проект приказа ФСТЭК по защите информации в АСУ ТП

  1. 1. Требования ФСТЭК по защите информации в АСУ ТП Лукацкий Алексей, консультант по безопасности
  2. 2. Почему Cisco говорит о законодательстве? ТК22 ТК122 ТК362 «Безопасность ИТ» (ISO SC27 в России) «Защита информации в кредитных учреждениях» «Защита информации» при ФСТЭК РГ ЦБ Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У ФСБ МКС ФСТЭК РАЭК РКН Экспертиза документов Предложения Экспертиза и разработка документов Экспертиза и разработка документов Консультативный совет
  3. 3. КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
  4. 4. Последние изменения по направлению КВО •  Постановление Правительства №861 от 02.10.2013 •  Законопроект по безопасности критических информационных инфраструктур –  Будет вноситься в ГД в апреле 2014 •  Реализация Основных направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации •  Указ Президента №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» •  Разработка нормативных документов во исполнении законопроекта по безопасности КИИ и основных направлений госполитики
  5. 5. ВВЕДЕНИЕ В КАТЕГОРИРОВАНИЕ КИИ
  6. 6. Категорирование объектов КИИ •  Субъекты КИИ на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям •  Критерии –  –  –  –  –  –  критерий экономической значимости критерий экологической значимости критерий значимости для обеспечения обороноспособности критерий значимости для национальной безопасности критерий социальной значимости критерий важности объекта КИИ в части реализации управленческой функции; –  критерий важности объекта КИИ в части предоставления значительного объема информационных услуг
  7. 7. Категории объектов КИИ •  3 категории объектов КИИ –  объекты критической информационной инфраструктуры Российской Федерации высокой категории опасности –  объекты критической информационной инфраструктуры Российской Федерации средней категории опасности –  объекты критической информационной инфраструктуры Российской Федерации низкой категории опасности
  8. 8. Что делать с категориями? 1 категория •  Направить в ФСБ 2 категория •  Направить в ФСТЭК 3 категория •  Направить в ФСТЭК •  ФСБ или ФСТЭК могут не согласиться с установленной категорией –  На проверку дается 3 месяца •  При несогласии возврат документов о категорировании на доработку с указанием мотивированного отказа •  При согласии – включение в реестр объектов КИИ, которые ведутся ФСТЭК и ФСБ в рамках своих полномочий
  9. 9. ВВЕДЕНИЕ В ТРЕБОВАНИЯ ПО БЕЗОПАСНОСТИ
  10. 10. 5 требований по безопасности 1.  Организационные вопросы безопасности 2.  Требования к персоналу, непосредственно обеспечивающему функционирование и безопасность объектов КИИ 3.  Требования к защите от вредоносного программного обеспечения и от компьютерных атак 4.  Требования безопасности при взаимодействии с сетями связи общего пользования 5.  Требования к обеспечению безопасности информационных технологий в ходе эксплуатации информационнотелекоммуникационных систем •  ФОИВы могут устанавливать дополнительные требования по обеспечению безопасности объектов КИИ по согласовании с ФСБ и ФСТЭК соответственно •  Субъекты КИИ могут дополнять непротиворечащие закону требования по безопасности
  11. 11. Система безопасности объекта КИИ должна включать •  Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, а также совершения иных противоправных действий по отношению к информации, обеспечивающей управление и контроль за технологическими процессами КВО •  Недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено КИИ •  Реагирование на компьютерные инциденты •  Возможность незамедлительного восстановления информации и функционирования объекта КИИ •  Создание и хранение резервных копий информации, обеспечивающей управление и контроль за технологическими процессами КВО •  Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ
  12. 12. КСИИ ИЛИ АСУ ТП?
  13. 13. АСУ ТП – это подмножество КСИИ •  Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление КВО (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями •  Автоматизированная система управления производственными и технологическими процессами КВО инфраструктуры РФ – комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО
  14. 14. Отнесение систем к КСИИ •  КСИИ делятся на группы –  Системы сбора открытой информации, на основании которой принимаются управленческие решения –  Системы хранения открытой информации –  Системы управления СМИ –  Системы управления критически важным объектом •  Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!) –  1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ –  2-й тип – системы управления критически важными объектами
  15. 15. Требования по защите КСИИ 1-го типа Группы требований Уровень важности КСИИ 3 2 1 Управление доступом 1Г 1В 1Б Регистрация и учет 1Г 1В 1Б Обеспечение целостности 1Г 1В 1Б Обеспечение безопасного межсетевого взаимодействия в КСИИ 4 3 2 Уровень контроля отсутствия НДВ 4 3 2 Антивирусная защита + + + Анализ защищенности + + + Обнаружение вторжений + + + Требования доверия к безопасности + + +
  16. 16. Требования по защите КСИИ 2-го типа Группы требований Уровень важности КСИИ 3 2 1 Планирование обеспечения безопасности + + + Действия в непредвиденных ситуациях + + + Реагирование на инциденты + + + Оценка рисков + + + Защита носителей информации + + + Обеспечение целостности + + + Физическая защита и защиты среды + + + Безопасность и персонал + + + Информирование и обучение по вопросам ИБ + + + Защита коммуникаций + + + Аудит безопасности + + +
  17. 17. ВВЕДЕНИЕ В ПРОЕКТ ПРИКАЗА ФСТЭК ПО ЗАЩИТЕ АСУ ТП
  18. 18. Проект нового приказ ФСТЭК •  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» –  Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  19. 19. На кого распространяется приказ? •  Автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами –  В том числе системы диспетчерского управления, системы сбора (передачи) данных, программируемые логические контроллеры, распределенные системы управления, системы управления станками с числовым программным управлением –  На АСУ ТП с гостайной не распространяются •  Требования предназначены для лиц –  обеспечивающих задание требований к защите информации в АСУ ТП (заказчик), –  обеспечивающих эксплуатацию АСУ ТП (оператор), –  привлекаемых в соответствии с законодательством РФ к проведению работ по созданию (проектированию) АСУ ТП и (или) их систем защиты (разработчик)
  20. 20. Объект защиты •  Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом) объекте (в том числе данные о параметрах (состоянии) управляемого (контролируемого) объекта или процесса, входная (выходная) информация, команды управления, контрольноизмерительная информация) •  Программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства), общесистемное, прикладное (специальное, микропрограммное) программное обеспечение, а также средства защиты информации
  21. 21. Можно ли использовать корпоративные стандарты? •  ФОИВ, корпоративные структуры и организации в соответствии с настоящими Требованиями в пределах своих полномочий могут устанавливать отраслевые (ведомственные, корпоративные) требования к обеспечению защиты информации в АСУ ТП, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых (контролируемых) объектов
  22. 22. Смена парадигмы •  Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) •  Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  23. 23. Безопасное функционирование АСУ ТП на первом месте •  Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию
  24. 24. Вас могут защищать не все •  Для выполнения работ по обеспечению безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации •  При проведении оценки защищенности объектов КИИ могут привлекаться аккредитованные для этих целей в установленном порядке организации •  Аккредитация –  Проводится на добровольной основе и на срок 5 лет –  Требует наличия лицензии на гостайну –  Требует наличия средств, предназначенных для оценки защищенности объектов КИИ и получивших подтверждение соответствия требованиям ФСТЭК (по согласованию с ФСБ) –  Требует не менее 3-х специалистов с ВПО в области ИБ –  По критериям, установленным ФСБ и ФСТЭК соответственно
  25. 25. ЖИЗНЕННЫЙ ЦИКЛ СИСТЕМЫ ЗАЩИТЫ
  26. 26. Жизненный цикл системы защиты АСУ ТП •  •  •  •  •  Формирование требований к защите информации в АСУ ТП Разработка системы защиты АСУ ТП Внедрение системы защиты АСУ ТП и ввод ее в действие; Обеспечение защиты информации в ходе эксплуатации АСУ ТП Обеспечение защиты информации при выводе из эксплуатации АСУ ТП
  27. 27. Формирование требований •  Принятие решения о необходимости защиты информации в АСУ ТП •  Классификация АСУ ТП по требованиям защиты информации –  3 класса защищенности –  При разбиении АСУ ТП на сегменты (подсистемы) класс устанавливается для каждого сегмента отдельно –  Класс пересматривается только при модернизации, в результате которой поменялась значимость информации •  Определение угроз безопасности информации, реализация которых может привести к нарушению доступности, целостности или конфиденциальности информации и безопасного функционирования АСУ ТП, и разработку на их основе модели угроз безопасности информации •  Определение требований к системе защиты АСУ ТП
  28. 28. Классификация АСУ ТП •  Класс защищенности АСУ ТП зависит от уровня значимости информации •  Уровень значимости информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности, доступности или конфиденциальности, в результате которого возможно нарушение штатного режима функционирования АСУ ТП •  Степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом –  Например, в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»
  29. 29. Степень наносимого ущерба Степень ущерба Описание ущерба Высокая Возникновение чрезвычайной ситуации федерального или межрегионального характера* или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности Средняя возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности Низкая Возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности
  30. 30. Какой класс защищенности будет оптимальным? •  Для объектов ТЭК, обязанных произвести категорирование опасности своих объектов в рамках обеспечения антитеррористической защищенности, оптимальным будет установить уровень защищенности равный уровню категории опасности –  Ниже можно (по результатам оценки защищенности) –  Выше будет нелогично Класс защищенности Категория опасности 1 Высокая 2 Средняя 3 Низкая
  31. 31. Моделирование угроз •  Модель угроз безопасности информации должна содержать описание АСУ ТП и угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей АСУ ТП, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации и безопасного функционирования автоматизированной системы управления •  Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК
  32. 32. ВВЕДЕНИЕ В ЗАЩИТНЫЕ МЕРЫ
  33. 33. Меры по защите информации •  Организационные и технические меры защиты информации, реализуемые в АСУ ТП –  идентификация и аутентификация субъектов доступа и объектов доступа –  управление доступом субъектов доступа к объектам доступа –  ограничение программной среды –  защита машинных носителей информации –  регистрация событий безопасности –  антивирусная защита –  обнаружение (предотвращение) вторжений –  контроль (анализ) защищенности –  целостность АСУ ТП –  доступность технических средств и информации –  защита среды виртуализации
  34. 34. Меры по защите информации •  продолжение: –  защита технических средств и оборудования –  защита АСУ ТП и ее компонентов –  безопасная разработка прикладного и специального программного обеспечения разработчиком –  управление обновлениями программного обеспечения –  планирование мероприятий по обеспечению защиты информации –  обеспечение действий в нештатных (непредвиденных) ситуациях –  информирование и обучение пользователей –  анализ угроз безопасности информации и рисков от их реализации –  выявление инцидентов и реагирование на них –  управление конфигурацией информационной системы и ее системы защиты
  35. 35. Как определяются защитные меры •  Выбор мер защиты информации в АСУ ТП включает выбор базового набора мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам АСУ ТП, реализуемым ИТ, особенностям функционирования АСУ ТП (включает исключение защитных мер) уточнение адаптированного набора дополнение адаптированного базового набора мер по обеспечению защиты информации в АСУ ТП дополнительными мерами, установленными иными нормативными актами Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  36. 36. А если какую-то меру невозможно реализовать? •  При отсутствии возможности реализации отдельных мер защиты информации в АСУ ТП или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования АСУ ТП, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности АСУ ТП •  В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению меры промышленной и (или) физической безопасности АСУ ТП, поддерживающие необходимый уровень защищенности АСУ ТП
  37. 37. Можно ли исключать защитные меры? •  Исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в АСУ ТП, или структурно-функциональными характеристиками, не свойственными АСУ ТП •  В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в АСУ ТП меры по обеспечению промышленной безопасности и (или) физической безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации, отдельные меры защиты информации могут не применяться
  38. 38. ОБ УПРАВЛЕНИИ ИНЦИДЕНТАМИ
  39. 39. Управление инцидентами – обязанность субъекта КИИ •  Субъекты КИИ обязаны незамедлительно информировать в порядке, установленном ФСБ, о компьютерных инцидентах, произошедших на объектах КИИ •  Субъектами КИИ в незамедлительном порядке принимаются меры по ликвидации последствий компьютерных инцидентов. Порядок реагирования на компьютерные инциденты и ликвидации их последствий на объектах КИИ определяется ФСБ •  Субъекты КИИ обязаны оказывать содействие должностным лицам ФСБ, в выявлении, предупреждении и пресечении компьютерных инцидентов, а также в ликвидации их последствий, установлении причин и условий их совершения
  40. 40. Уведомление об инцидентах: как правильно? •  По законопроекту уведомлять об инцидентах ИБ необходимо ФСБ и незамедлительно –  А если группа холдинговая? –  А кому в ФСБ? ЦИБ? 8-й Центр? УФСБ? УКООП СЭБ? –  Каков порядок? •  По ПП-861 от 02.10.2013 уведомлять об инцидентах ИБ на объектах ТЭК надо МВД, ФСБ, МЧС и МинЭнерго –  Каков порядок? –  Кому конкретно в указанных ФОИВах?
  41. 41. ОЦЕНКА СООТВЕТСТВИЯ
  42. 42. Как осуществляется приемка системы защиты АСУ ТП? •  По решению заказчика подтверждение соответствия системы защиты АСУ ТП техническому заданию на создание АСУ ТП и (или) техническому заданию (частному техническому заданию) на создание системы защиты АСУ ТП, а также требованиям ФСТЭК может проводиться в форме аттестации АСУ ТП на соответствие требованиям по защите информации –  В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК •  Приемочные испытания системы защиты АСУ ТП проводятся, как правило, в рамках приемочных испытаний АСУ ТП в целом
  43. 43. Сертификация средств защиты необязательна •  Для обеспечения защиты информации в АСУ ТП применяются средства защиты информации, прошедшие оценку соответствия в Оценка соответствии с соответствия законодательством Российской Федерации о техническом регулировании Госконтроль и надзор Аккредитация Испытания Регистрация Добровольная сертификация Подтверждение соответствия Обязательная сертификация Приемка и ввод в эксплуатацию Декларирование соответствия В иной форме
  44. 44. Соответствие уровней защищенности классам сертифицированных СЗИ (в случае их применения) Тип СЗИ / ПО 3 уровень 2 уровень 1 уровень СВТ Не ниже 5 Не ниже 5 Не ниже 5 IDS Не ниже 5 Не ниже 4 Не ниже 3 Антивирус Не ниже 5 Не ниже 4 Не ниже 3 Средства доверенной загрузки Не ниже 5 Не ниже 4 Не ниже 3 Средства контроля съемных носителей Не ниже 5 Не ниже 4 Не ниже 3 Не ниже 4 3Интернет 4 3Интернет 4 - Не ниже 4 Не ниже 4 МСЭ НДВ в СЗИ
  45. 45. Какие решения Cisco имеют сертификаты ФСТЭК? •  Многофункциональные защитные устройства –  Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 –  Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X –  Cisco ASA SM •  Системы предотвращения вторжений –  Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2 •  Межсетевые экраны –  Cisco Pix 501, 506, 515, 520, 525, 535 –  Cisco FWSM –  Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751, 1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 3845, 3925, 7201, 7206, 7301, 7604 –  ASR 1002, GSR 12404, CGR2000, CGR2500
  46. 46. Какие решения Cisco имеют сертификаты ФСТЭК? •  Коммутаторы –  Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524, 3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 6504, 6506, 6509, 6513 –  Cisco Nexus •  Системы управления –  –  –  –  –  CiscoWorks Monitoring Center Cisco Security Manager 3.2, 3.3 Cisco Secure ACS 4.x Cisco Secure ACS 1121 CS MARS 20, 25, 50, 100, 110 •  Прочее –  Cisco AS5350XM
  47. 47. Какие решения Cisco планируется сертифицировать? •  Системы предотвращения вторжений –  Cisco IPS 4345, 4360, 4510, 4520 –  Cisco IPS for АСУ ТП •  Межсетевые экраны –  Cisco ASA 1000v –  Cisco Virtual Security Gateway •  Cisco UCS •  Решения Sourcefire
  48. 48. РЕШЕНИЯ CISCO
  49. 49. Решения Cisco для индустриальных сетей •  Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500 •  Индустриальные маршрутизаторы ISR 819H, CGR 2000 •  Индустриальные беспроводные решения Cisco 1550 Outdoor AP •  Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI •  Индустриальные системы предотвращения вторжений IPS for SCADA •  В ближайшее время планируется появление еще ряда решений Available COTS Platforms Cat. 4500 Cat. 6500 Cat. 3750 ASA Available Industrial Platforms ISR 819 1260 and 3560 APs IE 3010 IE 3000 1552 AP 7925G-EX IP Phone CGR 2010 IE 2000
  50. 50. Cisco SAFE for PCN Enterprise Network Уровень 5 Уровень 4 Email, Intranet, etc. Site Business Planning and Logistics Network Terminal Services Patch Mgmt Зона корпоративной ЛВС AV Server DMZ Historian (Mirror) Уровень 3 Уровень 2 Уровень 1 Уровень 0 Production Control Optimizing Control Supervisory Control Batch Control Web Services Operations Historian HMI Discrete Control МСЭ и IDS Application Server Engineering Station Site Operations and Control Supervisory HMI Control Continuous Hybrid Control Control Area Supervisory Control Basic Control Process МСЭ и IPS ЛВС АСУТП
  51. 51. Cisco IPS для АСУ ТП Все типы оборудования •  SCADA •  DCS •  PLC •  SIS •  EMS •  Все основные производители •  Schneider •  Siemens •  Rockwell •  GE, ABB •  Yokogawa •  Motorola •  Emerson •  Invensys •  Honeywell •  SEL •  И это не конец…
  52. 52. Защита индустриальных систем с помощью Sourcefire •  2 препроцессора для Modbus и DNP3 •  Возможность написания собственных сигнатур •  Свыше сотни встроенных сигнатур CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS
  53. 53. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Modbus TCP -Unauthorized Write Request to a PLC Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[Ss]{3}(x05|x06|x0F| x10|x15|x16)/iAR”; msg:”Modbus TCP – Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:badunknown; sid:1111007; rev:1; priority:1;) Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройства Воздействие Целостность системы Отказ в обслуживании Информация Подверженные системы PLC и другие устройства с Modbus TCP сервером
  54. 54. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized communications with HMI Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;) Резюме Попытка неавторизованной системы подключиться к HMI Воздействие Компрометация системы Информация Подверженные системы PLC;RTU;HMI;DMZ-Web
  55. 55. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized to RTU Telnet/FTP Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshowIDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;) Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу Воздействие Сканирование Компрометация системы управления Информация Подверженные системы RTU
  56. 56. Smart Grid коммутатор, маршрутизатор, IE3000 (как МСЭ) и IPS for SCADA
  57. 57. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 57
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×