Your SlideShare is downloading. ×
Проект приказа ФСТЭК по защите информации в АСУ ТП
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Проект приказа ФСТЭК по защите информации в АСУ ТП

6,917
views

Published on

Published in: Technology

1 Comment
6 Likes
Statistics
Notes
No Downloads
Views
Total Views
6,917
On Slideshare
0
From Embeds
0
Number of Embeds
36
Actions
Shares
0
Downloads
201
Comments
1
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Требования ФСТЭК по защите информации в АСУ ТП Лукацкий Алексей, консультант по безопасности
  • 2. Почему Cisco говорит о законодательстве? ТК22 ТК122 ТК362 «Безопасность ИТ» (ISO SC27 в России) «Защита информации в кредитных учреждениях» «Защита информации» при ФСТЭК РГ ЦБ Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У ФСБ МКС ФСТЭК РАЭК РКН Экспертиза документов Предложения Экспертиза и разработка документов Экспертиза и разработка документов Консультативный совет
  • 3. КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
  • 4. Последние изменения по направлению КВО •  Постановление Правительства №861 от 02.10.2013 •  Законопроект по безопасности критических информационных инфраструктур –  Будет вноситься в ГД в апреле 2014 •  Реализация Основных направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации •  Указ Президента №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» •  Разработка нормативных документов во исполнении законопроекта по безопасности КИИ и основных направлений госполитики
  • 5. ВВЕДЕНИЕ В КАТЕГОРИРОВАНИЕ КИИ
  • 6. Категорирование объектов КИИ •  Субъекты КИИ на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям •  Критерии –  –  –  –  –  –  критерий экономической значимости критерий экологической значимости критерий значимости для обеспечения обороноспособности критерий значимости для национальной безопасности критерий социальной значимости критерий важности объекта КИИ в части реализации управленческой функции; –  критерий важности объекта КИИ в части предоставления значительного объема информационных услуг
  • 7. Категории объектов КИИ •  3 категории объектов КИИ –  объекты критической информационной инфраструктуры Российской Федерации высокой категории опасности –  объекты критической информационной инфраструктуры Российской Федерации средней категории опасности –  объекты критической информационной инфраструктуры Российской Федерации низкой категории опасности
  • 8. Что делать с категориями? 1 категория •  Направить в ФСБ 2 категория •  Направить в ФСТЭК 3 категория •  Направить в ФСТЭК •  ФСБ или ФСТЭК могут не согласиться с установленной категорией –  На проверку дается 3 месяца •  При несогласии возврат документов о категорировании на доработку с указанием мотивированного отказа •  При согласии – включение в реестр объектов КИИ, которые ведутся ФСТЭК и ФСБ в рамках своих полномочий
  • 9. ВВЕДЕНИЕ В ТРЕБОВАНИЯ ПО БЕЗОПАСНОСТИ
  • 10. 5 требований по безопасности 1.  Организационные вопросы безопасности 2.  Требования к персоналу, непосредственно обеспечивающему функционирование и безопасность объектов КИИ 3.  Требования к защите от вредоносного программного обеспечения и от компьютерных атак 4.  Требования безопасности при взаимодействии с сетями связи общего пользования 5.  Требования к обеспечению безопасности информационных технологий в ходе эксплуатации информационнотелекоммуникационных систем •  ФОИВы могут устанавливать дополнительные требования по обеспечению безопасности объектов КИИ по согласовании с ФСБ и ФСТЭК соответственно •  Субъекты КИИ могут дополнять непротиворечащие закону требования по безопасности
  • 11. Система безопасности объекта КИИ должна включать •  Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, а также совершения иных противоправных действий по отношению к информации, обеспечивающей управление и контроль за технологическими процессами КВО •  Недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено КИИ •  Реагирование на компьютерные инциденты •  Возможность незамедлительного восстановления информации и функционирования объекта КИИ •  Создание и хранение резервных копий информации, обеспечивающей управление и контроль за технологическими процессами КВО •  Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ
  • 12. КСИИ ИЛИ АСУ ТП?
  • 13. АСУ ТП – это подмножество КСИИ •  Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление КВО (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями •  Автоматизированная система управления производственными и технологическими процессами КВО инфраструктуры РФ – комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО
  • 14. Отнесение систем к КСИИ •  КСИИ делятся на группы –  Системы сбора открытой информации, на основании которой принимаются управленческие решения –  Системы хранения открытой информации –  Системы управления СМИ –  Системы управления критически важным объектом •  Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!) –  1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ –  2-й тип – системы управления критически важными объектами
  • 15. Требования по защите КСИИ 1-го типа Группы требований Уровень важности КСИИ 3 2 1 Управление доступом 1Г 1В 1Б Регистрация и учет 1Г 1В 1Б Обеспечение целостности 1Г 1В 1Б Обеспечение безопасного межсетевого взаимодействия в КСИИ 4 3 2 Уровень контроля отсутствия НДВ 4 3 2 Антивирусная защита + + + Анализ защищенности + + + Обнаружение вторжений + + + Требования доверия к безопасности + + +
  • 16. Требования по защите КСИИ 2-го типа Группы требований Уровень важности КСИИ 3 2 1 Планирование обеспечения безопасности + + + Действия в непредвиденных ситуациях + + + Реагирование на инциденты + + + Оценка рисков + + + Защита носителей информации + + + Обеспечение целостности + + + Физическая защита и защиты среды + + + Безопасность и персонал + + + Информирование и обучение по вопросам ИБ + + + Защита коммуникаций + + + Аудит безопасности + + +
  • 17. ВВЕДЕНИЕ В ПРОЕКТ ПРИКАЗА ФСТЭК ПО ЗАЩИТЕ АСУ ТП
  • 18. Проект нового приказ ФСТЭК •  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» –  Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  • 19. На кого распространяется приказ? •  Автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами –  В том числе системы диспетчерского управления, системы сбора (передачи) данных, программируемые логические контроллеры, распределенные системы управления, системы управления станками с числовым программным управлением –  На АСУ ТП с гостайной не распространяются •  Требования предназначены для лиц –  обеспечивающих задание требований к защите информации в АСУ ТП (заказчик), –  обеспечивающих эксплуатацию АСУ ТП (оператор), –  привлекаемых в соответствии с законодательством РФ к проведению работ по созданию (проектированию) АСУ ТП и (или) их систем защиты (разработчик)
  • 20. Объект защиты •  Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом) объекте (в том числе данные о параметрах (состоянии) управляемого (контролируемого) объекта или процесса, входная (выходная) информация, команды управления, контрольноизмерительная информация) •  Программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства), общесистемное, прикладное (специальное, микропрограммное) программное обеспечение, а также средства защиты информации
  • 21. Можно ли использовать корпоративные стандарты? •  ФОИВ, корпоративные структуры и организации в соответствии с настоящими Требованиями в пределах своих полномочий могут устанавливать отраслевые (ведомственные, корпоративные) требования к обеспечению защиты информации в АСУ ТП, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых (контролируемых) объектов
  • 22. Смена парадигмы •  Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) •  Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  • 23. Безопасное функционирование АСУ ТП на первом месте •  Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию
  • 24. Вас могут защищать не все •  Для выполнения работ по обеспечению безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации •  При проведении оценки защищенности объектов КИИ могут привлекаться аккредитованные для этих целей в установленном порядке организации •  Аккредитация –  Проводится на добровольной основе и на срок 5 лет –  Требует наличия лицензии на гостайну –  Требует наличия средств, предназначенных для оценки защищенности объектов КИИ и получивших подтверждение соответствия требованиям ФСТЭК (по согласованию с ФСБ) –  Требует не менее 3-х специалистов с ВПО в области ИБ –  По критериям, установленным ФСБ и ФСТЭК соответственно
  • 25. ЖИЗНЕННЫЙ ЦИКЛ СИСТЕМЫ ЗАЩИТЫ
  • 26. Жизненный цикл системы защиты АСУ ТП •  •  •  •  •  Формирование требований к защите информации в АСУ ТП Разработка системы защиты АСУ ТП Внедрение системы защиты АСУ ТП и ввод ее в действие; Обеспечение защиты информации в ходе эксплуатации АСУ ТП Обеспечение защиты информации при выводе из эксплуатации АСУ ТП
  • 27. Формирование требований •  Принятие решения о необходимости защиты информации в АСУ ТП •  Классификация АСУ ТП по требованиям защиты информации –  3 класса защищенности –  При разбиении АСУ ТП на сегменты (подсистемы) класс устанавливается для каждого сегмента отдельно –  Класс пересматривается только при модернизации, в результате которой поменялась значимость информации •  Определение угроз безопасности информации, реализация которых может привести к нарушению доступности, целостности или конфиденциальности информации и безопасного функционирования АСУ ТП, и разработку на их основе модели угроз безопасности информации •  Определение требований к системе защиты АСУ ТП
  • 28. Классификация АСУ ТП •  Класс защищенности АСУ ТП зависит от уровня значимости информации •  Уровень значимости информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности, доступности или конфиденциальности, в результате которого возможно нарушение штатного режима функционирования АСУ ТП •  Степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом –  Например, в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»
  • 29. Степень наносимого ущерба Степень ущерба Описание ущерба Высокая Возникновение чрезвычайной ситуации федерального или межрегионального характера* или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности Средняя возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности Низкая Возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности
  • 30. Какой класс защищенности будет оптимальным? •  Для объектов ТЭК, обязанных произвести категорирование опасности своих объектов в рамках обеспечения антитеррористической защищенности, оптимальным будет установить уровень защищенности равный уровню категории опасности –  Ниже можно (по результатам оценки защищенности) –  Выше будет нелогично Класс защищенности Категория опасности 1 Высокая 2 Средняя 3 Низкая
  • 31. Моделирование угроз •  Модель угроз безопасности информации должна содержать описание АСУ ТП и угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей АСУ ТП, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации и безопасного функционирования автоматизированной системы управления •  Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК
  • 32. ВВЕДЕНИЕ В ЗАЩИТНЫЕ МЕРЫ
  • 33. Меры по защите информации •  Организационные и технические меры защиты информации, реализуемые в АСУ ТП –  идентификация и аутентификация субъектов доступа и объектов доступа –  управление доступом субъектов доступа к объектам доступа –  ограничение программной среды –  защита машинных носителей информации –  регистрация событий безопасности –  антивирусная защита –  обнаружение (предотвращение) вторжений –  контроль (анализ) защищенности –  целостность АСУ ТП –  доступность технических средств и информации –  защита среды виртуализации
  • 34. Меры по защите информации •  продолжение: –  защита технических средств и оборудования –  защита АСУ ТП и ее компонентов –  безопасная разработка прикладного и специального программного обеспечения разработчиком –  управление обновлениями программного обеспечения –  планирование мероприятий по обеспечению защиты информации –  обеспечение действий в нештатных (непредвиденных) ситуациях –  информирование и обучение пользователей –  анализ угроз безопасности информации и рисков от их реализации –  выявление инцидентов и реагирование на них –  управление конфигурацией информационной системы и ее системы защиты
  • 35. Как определяются защитные меры •  Выбор мер защиты информации в АСУ ТП включает выбор базового набора мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам АСУ ТП, реализуемым ИТ, особенностям функционирования АСУ ТП (включает исключение защитных мер) уточнение адаптированного набора дополнение адаптированного базового набора мер по обеспечению защиты информации в АСУ ТП дополнительными мерами, установленными иными нормативными актами Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  • 36. А если какую-то меру невозможно реализовать? •  При отсутствии возможности реализации отдельных мер защиты информации в АСУ ТП или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования АСУ ТП, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности АСУ ТП •  В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению меры промышленной и (или) физической безопасности АСУ ТП, поддерживающие необходимый уровень защищенности АСУ ТП
  • 37. Можно ли исключать защитные меры? •  Исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в АСУ ТП, или структурно-функциональными характеристиками, не свойственными АСУ ТП •  В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в АСУ ТП меры по обеспечению промышленной безопасности и (или) физической безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации, отдельные меры защиты информации могут не применяться
  • 38. ОБ УПРАВЛЕНИИ ИНЦИДЕНТАМИ
  • 39. Управление инцидентами – обязанность субъекта КИИ •  Субъекты КИИ обязаны незамедлительно информировать в порядке, установленном ФСБ, о компьютерных инцидентах, произошедших на объектах КИИ •  Субъектами КИИ в незамедлительном порядке принимаются меры по ликвидации последствий компьютерных инцидентов. Порядок реагирования на компьютерные инциденты и ликвидации их последствий на объектах КИИ определяется ФСБ •  Субъекты КИИ обязаны оказывать содействие должностным лицам ФСБ, в выявлении, предупреждении и пресечении компьютерных инцидентов, а также в ликвидации их последствий, установлении причин и условий их совершения
  • 40. Уведомление об инцидентах: как правильно? •  По законопроекту уведомлять об инцидентах ИБ необходимо ФСБ и незамедлительно –  А если группа холдинговая? –  А кому в ФСБ? ЦИБ? 8-й Центр? УФСБ? УКООП СЭБ? –  Каков порядок? •  По ПП-861 от 02.10.2013 уведомлять об инцидентах ИБ на объектах ТЭК надо МВД, ФСБ, МЧС и МинЭнерго –  Каков порядок? –  Кому конкретно в указанных ФОИВах?
  • 41. ОЦЕНКА СООТВЕТСТВИЯ
  • 42. Как осуществляется приемка системы защиты АСУ ТП? •  По решению заказчика подтверждение соответствия системы защиты АСУ ТП техническому заданию на создание АСУ ТП и (или) техническому заданию (частному техническому заданию) на создание системы защиты АСУ ТП, а также требованиям ФСТЭК может проводиться в форме аттестации АСУ ТП на соответствие требованиям по защите информации –  В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК •  Приемочные испытания системы защиты АСУ ТП проводятся, как правило, в рамках приемочных испытаний АСУ ТП в целом
  • 43. Сертификация средств защиты необязательна •  Для обеспечения защиты информации в АСУ ТП применяются средства защиты информации, прошедшие оценку соответствия в Оценка соответствии с соответствия законодательством Российской Федерации о техническом регулировании Госконтроль и надзор Аккредитация Испытания Регистрация Добровольная сертификация Подтверждение соответствия Обязательная сертификация Приемка и ввод в эксплуатацию Декларирование соответствия В иной форме
  • 44. Соответствие уровней защищенности классам сертифицированных СЗИ (в случае их применения) Тип СЗИ / ПО 3 уровень 2 уровень 1 уровень СВТ Не ниже 5 Не ниже 5 Не ниже 5 IDS Не ниже 5 Не ниже 4 Не ниже 3 Антивирус Не ниже 5 Не ниже 4 Не ниже 3 Средства доверенной загрузки Не ниже 5 Не ниже 4 Не ниже 3 Средства контроля съемных носителей Не ниже 5 Не ниже 4 Не ниже 3 Не ниже 4 3Интернет 4 3Интернет 4 - Не ниже 4 Не ниже 4 МСЭ НДВ в СЗИ
  • 45. Какие решения Cisco имеют сертификаты ФСТЭК? •  Многофункциональные защитные устройства –  Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 –  Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X –  Cisco ASA SM •  Системы предотвращения вторжений –  Cisco IPS 4200, AIP-SSM-10/20, IPS 4240, 4255, 4260, 4270, IDSM2 •  Межсетевые экраны –  Cisco Pix 501, 506, 515, 520, 525, 535 –  Cisco FWSM –  Cisco 1800, 2800, 3800, 7200, 7600, 676, 871, 881, 891, 1750, 1751, 1760-V, 1811, 1841, 2509, 26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 3640, 3661, 3662, 3725, 3745, 3825, 3845, 3925, 7201, 7206, 7301, 7604 –  ASR 1002, GSR 12404, CGR2000, CGR2500
  • 46. Какие решения Cisco имеют сертификаты ФСТЭК? •  Коммутаторы –  Cisco Catalyst 2912, 2924, 2950G, 2960, 2970, 3508G, 3512, 3524, 3548, 3550, 3560, 3750, 4003, 4503, 4506, 4507, 4510, 4900, 6006, 6504, 6506, 6509, 6513 –  Cisco Nexus •  Системы управления –  –  –  –  –  CiscoWorks Monitoring Center Cisco Security Manager 3.2, 3.3 Cisco Secure ACS 4.x Cisco Secure ACS 1121 CS MARS 20, 25, 50, 100, 110 •  Прочее –  Cisco AS5350XM
  • 47. Какие решения Cisco планируется сертифицировать? •  Системы предотвращения вторжений –  Cisco IPS 4345, 4360, 4510, 4520 –  Cisco IPS for АСУ ТП •  Межсетевые экраны –  Cisco ASA 1000v –  Cisco Virtual Security Gateway •  Cisco UCS •  Решения Sourcefire
  • 48. РЕШЕНИЯ CISCO
  • 49. Решения Cisco для индустриальных сетей •  Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500 •  Индустриальные маршрутизаторы ISR 819H, CGR 2000 •  Индустриальные беспроводные решения Cisco 1550 Outdoor AP •  Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI •  Индустриальные системы предотвращения вторжений IPS for SCADA •  В ближайшее время планируется появление еще ряда решений Available COTS Platforms Cat. 4500 Cat. 6500 Cat. 3750 ASA Available Industrial Platforms ISR 819 1260 and 3560 APs IE 3010 IE 3000 1552 AP 7925G-EX IP Phone CGR 2010 IE 2000
  • 50. Cisco SAFE for PCN Enterprise Network Уровень 5 Уровень 4 Email, Intranet, etc. Site Business Planning and Logistics Network Terminal Services Patch Mgmt Зона корпоративной ЛВС AV Server DMZ Historian (Mirror) Уровень 3 Уровень 2 Уровень 1 Уровень 0 Production Control Optimizing Control Supervisory Control Batch Control Web Services Operations Historian HMI Discrete Control МСЭ и IDS Application Server Engineering Station Site Operations and Control Supervisory HMI Control Continuous Hybrid Control Control Area Supervisory Control Basic Control Process МСЭ и IPS ЛВС АСУТП
  • 51. Cisco IPS для АСУ ТП Все типы оборудования •  SCADA •  DCS •  PLC •  SIS •  EMS •  Все основные производители •  Schneider •  Siemens •  Rockwell •  GE, ABB •  Yokogawa •  Motorola •  Emerson •  Invensys •  Honeywell •  SEL •  И это не конец…
  • 52. Защита индустриальных систем с помощью Sourcefire •  2 препроцессора для Modbus и DNP3 •  Возможность написания собственных сигнатур •  Свыше сотни встроенных сигнатур CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS
  • 53. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Modbus TCP -Unauthorized Write Request to a PLC Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[Ss]{3}(x05|x06|x0F| x10|x15|x16)/iAR”; msg:”Modbus TCP – Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:badunknown; sid:1111007; rev:1; priority:1;) Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройства Воздействие Целостность системы Отказ в обслуживании Информация Подверженные системы PLC и другие устройства с Modbus TCP сервером
  • 54. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized communications with HMI Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;) Резюме Попытка неавторизованной системы подключиться к HMI Воздействие Компрометация системы Информация Подверженные системы PLC;RTU;HMI;DMZ-Web
  • 55. Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized to RTU Telnet/FTP Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshowIDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;) Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу Воздействие Сканирование Компрометация системы управления Информация Подверженные системы RTU
  • 56. Smart Grid коммутатор, маршрутизатор, IE3000 (как МСЭ) и IPS for SCADA
  • 57. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 57