More Related Content
Similar to Scada Security Standards
Similar to Scada Security Standards (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Scada Security Standards
- 1. Стандарты
безопасности
АСУ ТП
Алексей Лукацкий
Бизнес-консультант по безопасности
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1/73
- 2. Содержание
Что такое АСУ ТП
Безопасность АСУ ТП
Стандарты безопасности АСУ ТП
ISA SP99
NERC
Guidance for Addressing Cyber Security in the Chemical Industry
NIST PCSRF Security Capabilities Profile for Industrial Control
Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/73
- 3. Что такое АСУ ТП?
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/73
- 4. Исторически системы АСУ ТП это…
Закрытые разработки
Полные вертикализированные решения
Созданы по индивидуальному проекту
Используют специализированные средства связи
Проводные, оптические, беспроводные, синхронные и
асинхронные и т.д.
Сотни различных протоколов
Низкая скорость работы приложений (например, 1200 бод)
Длительный срок эксплуатации: 15–20 лет
Спроектированы без учета требования обеспечения
ИБ
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/73
- 5. Современная Internet
АСУ ТП
Корпоративная ЛВС Корпоративная
Enterprise
ЛВС
Workplaces Optimization
Firewall
IP
Suite
Third Party
Application Mobile
Server Operator
Уровень АСУТП
верхнего уровня
Connectivity Historian Application Engineering
Server Server Server Workplace
Уровень ПЛК
Serial, OPC
Redundant
or Fieldbus
Уровень датчиков и
исп. механизмов
Third Party
Controllers,
Servers, etc.
Serial RS485
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/73
- 6. Тенденции в АСУ ТП
Использование широко распространенных технологий
Операционные системы – Windows, WinCE, Linux, различные
встроенные ОС реального времени
Приложения – БД, web-сервера, web-браузеры и т.д.
Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP и т.д.
Подключение АСУ ТП к корпоративным сетям
Увеличение эффективности управления предприятием
Удаленный доступ
Распространение IP и Ethernet сетей
Общеприняты на верхнем уровне, и распространяются ниже
Много старых протоколов могут использовать TCP и UDP как
транспорт
Большинство современных промышленных устройств имеют
Ethernet порты
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/73
- 7. Новые компоненты АСУ ТП
основанные на IP
ODVA (Rockwell) Honeywell Experion
Profinet Emerson DeltaV
Foundation Fieldbus HSE Yokogawa VNET/IP
Telvent Invensys Infusion
ABB 800xA И т.д.
IP работает на уровне ЛВС АСУ ТП и даже доходит до
уровня датчиков и исп. механизмов
Не все полностью совместимы с спецификациями IP
протоколов
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/73
- 8. Проблемы
обеспечения
ИБ в АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/73
- 9. Проблемы реализации мер ИБ
Защита от атак DoS и DDoS
Плохая реализация сетевых протоколов в
устройства АСУ ТП
Не установленные обновления ОС и приложений
Отсутствие антивирусов
Плохая аутентификация и авторизация
Плохой аудит и регистрация событий
Не целевое использование ресурсов АСУ ТП
Требования по удаленному доступу/интеграции
Человеческий фактор
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/73
- 10. Другие ограничения
Экстремальные условия эксплуатации
Не типовые физические топологии
Много устройств специального назначения с
ограниченной функциональностью
Статические сетевые конфигурации
Широковещательный и многоадресный трафик
Длительный срок эксплуатации
Большое кол-во устаревшего оборудования
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/73
- 11. Угрозы безопасности в
современных АСУ ТП
Распространенные технологии + IP + Связность =
существенные угрозы безопасности
Такие же угрозы, что и корпоративных сетях и даже
больше
Worms and Viruses Legacy OSes and applications
DOS and DDOS impairing availability Inability to limit access
Unauthorized access Inability to revoke access
Unknown access Unexamined system logs
Unpatched systems Accidental misconfiguration
Little or no use of anti-virus Improperly secured devices
Limited use of host-based firewalls Improperly secured wireless
Improper use of ICS workstations Unencrypted links to remote sites
Unauthorized applications Disgruntled insiders
Unnecessary applications Organized crime
Open FTP, Telnet, SNMP, HTML ports Terrorists
Fragile IP stacks in control devices Hacktivists
Network scans by IT staff Eco-terrorists
Passwords sent in clear text Nation states
Default passwords Blended attacks
Password management problems Competitive espionage
Default OS security configurations Extortion
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/73
- 12. Защищена ли «закрытая» АСУ ТП?
Вендорам требуется удаленный доступ для
• Обновлений системного и фирменного ПО
• Патчей ПО, обновлений функций
• Поддержки
Методы доступа включают
• Remote Dialup (незащищенные модемы)
• Незащищенный / неавторизованный
беспроводной доступ внутри здания
• Лэптопы сотрудников вендоров,
подключенные к Industrial Ethernet
• Инженерные корпоративные или
собственные лэптопы, подключенные к
сети АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/73
- 13. Насколько велик риск?
Подключение к офисной сети в 50% случаев
Подключение АСУ ТП к Интернет в 17% случаев
Менее чем 2% объявляют об инцидентах
Удар по репутации и стоимости акций
3% беспроводные системы
7% VPN
7% Dial-up
7% Сети операторов
10% Доверенные третьи стороны
(включая инфицированные
лэптопы)
17% прямое подключение к Интернет
49% через корпоративную WAN или офисную
сеть
Источник: Eric Byres, 2008 Cisco Systems, Inc. All rights reserved.
Critical infrastructure Security©
BCIT Cisco Confidential 14/73
- 14. Возможные последствия
Потеря производительности
Штрафы
Судебные иски
Потеря общественного
доверия
Потеря капитализации
Выход из строя оборудования
Нанесение ущерба
окружающей среде Взрыв газопровода СССР, 1982
Ущерб здоровью Нефтепровод в Bellingham США, 1999
Человеческие жертвы Очистные сооружения Австралия, 2000
АЭС Davis Besse США, 2003
Сеть электроэнергии США, 2003
$$$.$$ АЭС Browns Ferry США, 2006
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15/73
- 15. Почему мы об этом говорим?
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/73
- 16. Ограниченная информация о инцидентах
Минимум информации находиться в свободном
доступе о реальных атаках
База BCIT пополняется 30 инцидентами в год, в то время
как база CERT – сотнями тысяч инцидентов в год
Были обнародованы детали только нескольких атак на АСУ
ТП
Трудно оценить риск
Трудно продемонстрировать возврат инвестиций в
средства ИБ
Но… большое кол-во данных говорят о
значительных финансовых потерях при взломе
корпоративных сетей
Почему же АСУ ТП должна обладать иммунитетом?
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/73
- 17. Испытания на взлом систем АСУ ТП
Idaho National Labs, Sandia National Labs, и другие
частные организации регулярно участвуют в
испытаниях на проникновения в системы АСУ ТП
Они всегда получают доступ
Не вопрос «да» или «нет», вопрос в том, сколько времени
на это потребуется
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/73
- 18. Стандарты
безопасности
АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/73
- 19. Стандарты безопасности АСУ ТП
ISA SP99
NERC
Guidance for Addressing Cyber Security in the Chemical
Industry
NIST PCSRF Security Capabilities Profile for Industrial
Control Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Стандарты Газпрома
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/73
- 20. Стандарты
безопасности
North American
Electric Reliability
Corporation
(NERC)
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/73
- 22. Стандарты безопасности NERC CIP
CIP-002-1 –Cyber Security –Critical Cyber Asset
Identification
R1 – Critical Asset Identification Method
R2 – Critical Asset Identification
R3 – Critical Cyber Asset Identification
R4 – Annual Approval
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/73
- 23. Стандарты безопасности NERC CIP
CIP-003-1 –Cyber Security –Security Management
Controls
R1 – Cyber Security Policy (NERC Top 10)
R2 – Leadership
R3 – Exceptions
R4 – Information Protection
R5 – Access Control
R6 – Change Control and Configuration Management
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/73
- 24. Стандарты безопасности NERC CIP
CIP-004-1 –Cyber Security –Personnel and Training
R1 – Awareness
R2 – Training
R3 – Personnel Risk Assessment
R4 – Access
CIP-005-1 –Cyber Security –Electronic Security
Perimeters
R1 – Electronic Security Perimeter
R2 – Electronic Access Control
R3 – Monitoring Electronic Access
R4 – Cyber Vulnerability Assessment
R5 – Documentation Review
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/73
- 25. Стандарты безопасности NERC CIP
CIP-006-1 –Cyber Security –Physical Security of Critical
Cyber Assets
R1 – Physical security Plan
R2 – Physical Access Controls
R3 – Monitoring Physical Access
R4 – Logging Physical Access
R5 – Access Log Retention
R6 – Maintenance and Testing
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/73
- 26. Стандарты безопасности NERC CIP
CIP-007-1 –Cyber Security –Systems Security
Management
R1 – Test Procedures
R2 – Ports and Services
R3 – Security Patch Management
R4 – Malicious Software Prevention
R5 – Account Management
R6 – Security Status Monitoring
R7 – Disposal or Redeployment
R8 – Cyber vulnerability Assessment
R9 – Documentation Review and Maintenance
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27/73
- 27. Стандарты безопасности NERC CIP
CIP-008-1 –Cyber Security –Incident Reporting and
Response Planning
R1 –Cyber Security Incident Response Plan
R2 –Cyber Security Incident Documentation
CIP-009-1 –Cyber Security –Recovery Plans for Critical
Cyber Assets
R1 –Recovery Plans
R2 –Exercises
R3 –Change Control
R4 –Backup and Restore
R5 –Testing Backup Media
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28/73
- 29. Guidance for
Addressing Cyber
Security in the
Chemical Industry
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30/73
- 30. Стандарт безопасности ChemITC
В мае 2006 года в рамках
Chemical Sector Cyber
Security Program советом
по ИТ химической
индустрии (Chemical
Information Technology
Council, ChemITC) в рамках
американского совета
химической индустрии были
предложены рекомендации
по информационной
безопасности в основу
которых легли стандарты
ISOIEC 17799 и ISA-TR99
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31/73
- 32. Стандарты IEC 65C WG13
International Electro-technical Commission (IEC)
Industrial-Process Measurement and Control (TC65)
Digital Communications (SC65C)
Cyber Security (WG13)
Планируется сделать ISA SP99 публичной
спецификацией
На текущий момент разработан стандарт IEC 61784-4
“Profiles for secure communications in industrial networks”
Ориентация на безопасность коммуникаций в АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33/73
- 34. NIST PCSRF
SCP-IPC
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35/73
- 35. Стандарт безопасности NIST PCSRF
Process Control Securities Requirements Forum
(PCSRF) подготовил специальный профиль защиты
по безопасности АСУ ТП
Базируется на «Общих критериях»
Может использоваться как базис для написания
собственных заданий по безопасности для конкретных АСУ
ТП
Спонсируется NIST
Текущая версия - 1.0
Общая для всех индустриальных систем
Планируется разработка профилей для отдельных типов
АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36/73
- 36. Стандарт безопасности NIST PCSRF
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37/73
- 38. Комитет ISA SP99
Комитет ISA SP99 отвечает за разработку
стандарта по безопасности АСУ ТП, признанный во
всем мире, как стандарт де-факто в данной области
На базе данного стандарта создаются многие
отраслевые и национальные стандарты
Изначально было выпущено 2 технических отчета
ISA-TR99.00.01-2004 - Security Technologies of Manufacturing
and Control Systems
ISA-TR99.00.02-2004 - Integrating Electronic Security into the
Manufacturing and Control System Environment
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39/73
- 39. Технический отчет ISA TR99-01
ISA-TR99.00.01-2004 - Security Technologies of
Manufacturing and Control Systems
Что покрывает: для каждой технологии
Authentication, Authorization Уязвимости
Filtering/Blocking/Access Ctrl Типичные сценарии
Encryption & Validation Известные проблемы и
слабости
Audit, Measure, Mon, Detect
Использование в АСУ ТП
Software
Направление развития
Physical
Рекомендации
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40/73
- 40. Технический отчет ISA TR99-02
ISA-TR99.00.02-2004 - Integrating Electronic Security
into the Manufacturing and Control System
Environment
Разработка программы Оценка рисков и оценка
разрыва
Определение целей по
рискам Тестирования
Определение и оценка Финализация контрмер
существующих систем
Репортинг безопасности
Разработка или выбор
Аудит и соответствие
контрмер
Переоценка контрмер
Приобретение или
построение контрмер
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41/73
- 41. Стандарт ISA SP99
На базе двух отчетов в данный момент создается
стандарт ISA SP99, состоящий из 4 частей
ISA 99.00.01 Security for Industrial Automation and
Control Systems: Concepts, Models and Terminology
ISA 99.00.02 Establishing an Industrial Automation and
Control Systems Security Program
ISA 99.00.03 Operating an Industrial Automation and
Control Systems Security Program
ISA 99.00.04 Specific Security Requirements for
Industrial Automation and Control Systems
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42/73
- 42. Стандарт ISA SP99
Содержание 4-х частей
Часть 1 Часть 3 (сейчас проект)
Активы Внедрение и поддержка
Политики программы ИБ
Риски
Концептуальная модель Часть 4 (в будущем)
Домены безопасности Связь между требованиями и
Физическая модель контрмерами безопасности
Функциональная модель
Часть 2
Разработка программы ИБ
На базе ISA-TR99.00.02-2004
Новые особенности
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43/73
- 44. Cisco SAFE for
PCN
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45/73
- 45. Critical Infrastructure Assurance Group
Государство
ЕЭС Миссия
Транспорт
Обеспечение
эффективной, надежной
и безопасной работы
критичных
Assured МЧС
инфраструктур
Операторы Service
связи Delivery Участие в WG
• AGA-12, ISA SP 99, DNP,
ODVA
• Process Control Security
Requirements Forum
Нефтегаз
Водоснабжение • IEC TC 57 WG 15
Банки и финансы • NCMS Manufacturing
Trust
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46/73
- 46. Архитектура безопасности предприятия
Управление технологическими процессами
Уровень 4 Уровень 5
Si
Internet/
Корпоративная Intranet/
Si
ЛВС ТФОП/WAN
DMZ
LAN/WAN
Уровень 3 Уровень 2
Уровень 1
Уровень 0
Critical infrastructure Security Cisco Systems, Inc. All rights Cisco Systems, Inc.Cisco Public
© 2007 © 2008 reserved. All rights reserved. Cisco Confidential 47
47/73
- 47. Требования ФСТЭК к
ключевым системам
информационной
инфраструктуры
(КСИИ)
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48/73
- 48. Номенклатура документов по КСИИ
Приказ от Указ от Указ от
Указы 30.03.2002 16.08.2004 11.08.2003
«Основы» от
28.09.2006
Президента №Пр-578 №1085 №960
Секретарь
Иные Проект
СовБеза РФ
закона (снят)
документы от 08.11.2005
Распоряжения №411-рс от №1314-р от
23.03.2006 27.08.2005
Правительства
4 «закрытых»
Отраслевые документа
документы ФСТЭК
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49/73
- 49. Нормативные документы ФСТЭК
Методика определения актуальных угроз
безопасности информации в ключевых системах
информационных инфраструктурах
Общие требования по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
Базовая модель угроз безопасности информации в
ключевых системах информационных
инфраструктурах
Рекомендации по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
Утверждены 18 мая 2007 года
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50/73
- 50. Защищаемая информация
Основной защищаемой информацией в КСИИ
является технологическая информация (программно-
техническая, командная, измерительная), которая не
относится к информации ограниченного доступа
Информация ограниченного доступа в КСИИ защищается в
соответствии с действующими требованиями и нормами
(СТР-К)
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51/73
- 51. Общие
требования по
обеспечению
безопасности
КСИИ
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52/73
- 52. Основные положения
Область применения – КСИИ с открытой информацией
(неограниченного доступа)
Описывает мероприятия по обеспечению
безопасности информации в КСИИ
Отнесение систем к КСИИ
Организация обеспечения ИБ в КСИИ
Программное и аппаратное обеспечение ИБ в КСИИ
Обеспечение ИБ при взаимодействии КСИИ с открытыми
сетями и системами
Обеспечение ИБ при защите от вредоносных программ
Действия, связанные с обслуживанием и модернизацией
КСИИ, а также аттестация организаций на право деятельности
в области защиты КСИИ, надзор в этой области и оценка
соответствия установленным требованиям
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 53/73
- 53. Отнесение систем к КСИИ
В документе определяются признаки отнесения
объектов к критически важным
Но финальная классификация отсутствует
Критически важные объекты делятся на 3 типа в
зависимости назначения, функционирующих в их
составе ИТКС
Перечень критически важных объектов определен в
секретном Распоряжении Правительства от 23.03.2006
№411-рс «Перечень критически важных объектов
Российской Федерации»
Реестр КСИИ ведется ФСТЭК
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 54/73
- 54. Отнесение систем к КСИИ
КСИИ делятся на группы
Системы сбора открытой информации, на основании которой
принимаются управленческие решения
Системы хранения открытой информации
Системы управления СМИ
Системы управления критически важным объектом
Уровень важности КСИИ определяется в соответствии
с «Системой признаков критически важных объектов и
критериев отнесения функционирующих в их составе
информационно-телекоммуникационных систем к
числу защищаемых от деструктивных
информационных воздействий», утвержденной
Секретарем Совета Безопасности 08.11.2005
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55/73
- 55. Требования по безопасности
Требования по обеспечению безопасности
информации в КСИИ отличаются в зависимости от их
типа и между собой не пересекаются (!!!)
1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
2-й тип – системы управления критически важными объектами
Требования по обеспечению безопасности
информации в КСИИ различных уровней важности
соответствуют требованиям для различных классов
защищенности АС и МСЭ или уровней контроля
отсутствия НДВ
Исключение составляют требования, для которых у ФСТЭК
отсутствуют руководящие документы – антивирусная защита,
анализ защищенности, обнаружение вторжений и требования
доверия к безопасности
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 56/73
- 56. Требования по защите КСИИ 1-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Управление доступом 1Г 1В 1Б
Регистрация и учет 1Г 1В 1Б
Обеспечение целостности 1Г 1В 1Б
Обеспечение безопасного межсетевого
4 3 2
взаимодействия в КСИИ
Уровень контроля отсутствия НДВ 4 3 2
Антивирусная защита + + +
Анализ защищенности + + +
Обнаружение вторжений + + +
Требования доверия к безопасности + + +
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57/73
- 57. Требования по защите КСИИ 2-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Планирование обеспечения безопасности + + +
Действия в непредвиденных ситуациях + + +
Реагирование на инциденты + + +
Оценка рисков + + +
Защита носителей информации + + +
Обеспечение целостности + + +
Физическая защита и защиты среды + + +
Безопасность и персонал + + +
Информирование и обучение по вопросам ИБ + + +
Защита коммуникаций + + +
Аудит безопасности + + +
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58/73
- 58. Стандарты
Газпрома
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59/73
- 59. Стандарты Газпрома
Стандарты Газпрома по ИБ
СТО Газпром 4.2-0-004-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Базовая
модель угроз информационной безопасности корпоративным
информационно-управляющим системам
СТО Газпром 4.2-3-001-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Руководство
по разработке требований к объектам защиты
СТО Газпром 4.2-3-003-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Правила
оценки рисков
СТО Газпром 4.2-3-004-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Правила
классификации объектов защиты
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 60/73
- 60. Стандарты Газпрома
Стандарты Газпрома по безопасности АСУ ТП
Р Газпром 4.2-0-003. Типовая политика информационной
безопасности автоматизированных систем управления
технологическими процессами
СТО Газпром 4.2-2-002. Система обеспечения
информационной безопасности ОАО «Газпром». Требования к
автоматизированным системам управления технологическими
процессами
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61/73
- 62. Что осталось за кадром?
IEEE 1402 «IEEE Guide for Electric Power Substation
Physical and Electronic Security»
IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06
on Data and Communication Security»
IEC 62351 «Data and Communication Security»
FERC Security Standards for Electric Market Participants
(SSEMP)
American Petroleum Institute (API) 1164 «SCADA
Security»
Security Guidelines for the Natural Gas Industry
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63/73
- 63. Что осталось за кадром?
API Security Guidelines for
the Petroleum Industry
API Security Vulnerability
Assessment Methodology for
the Petroleum and
Petrochemical Industries
American Gas Association
(AGA) 12 Cryptographic
Protection of SCADA
Communications (4 части)
NIST SP800-82 «Guide to
Industrial Control Systems
(ICS) Security» (проект)
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64/73
- 69. Что же выбрать?
Общим руководством
по защите АСУ ТП и
выбору
необходимого
стандарта является
проект руководства
NIST SP800-82
Выпущен в сентябре
2008 года
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 70/73
- 70. Как разработать свой стандарт?
Специально для
разработки
отраслевых
стандартов
существует набор
рекомендаций,
которые должны
включаться (не
забываться) при
создании
собственного набора
требований по
безопасности АСУ ТП
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 71/73
- 71. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
Critical infrastructure Security © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 72/73