More Related Content Similar to Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП (20) More from Cisco Russia (20) Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco и 31-й приказ
ФСТЭК по защите АСУ ТП
Обзор
Алексей Лукацкий
Бизнес-консультант по безопасности
2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Приказ ФСТЭК №31 по защите АСУ ТП
• №31 от 14.03.2014 «Об утверждении требований к
обеспечению защиты информации в автоматизированных
системах управления производственными и
технологическими процессами на критически важных
объектах, потенциально опасных объектах, а также
объектах, представляющих повышенную опасность для
жизни и здоровья людей и для окружающей природной
среды»
• Все новые и модернизируемые системы должны
создаваться по новому приказу, а не по документам ФСТЭК
для КСИИ 2007-го и последующих годов
В тех случаях, если КСИИ управляют технологическими процессами
Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК
к ключевым системами информационной инфраструктуры
3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Меры по защите информации АСУ ТП
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +
4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Меры по защите информации: что может добавиться
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы ФСТЭК
Унификация перечня защитных мер для всех трех приказов
Выход на 2-хлетний цикл обновления приказов
5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
IPS и NGIPS
• Cisco FirePOWER
• Cisco ASA with FirePOWER
• Cisco FirePOWER for ISR
• Cisco wIPS
• Cisco vNGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco IOS Firewall
• Cisco ASAv
• Cisco FirePOWER
• Meraki MX
Advanced Malware
Protection
• AMP для Endpoint
• AMP для Network
• AMP для Content
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
• ASA with FirePOWER
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec
Какие решения по ИБ есть у Cisco?
6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
На всех участках АСУ ТП и связанных сетей
Филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Что из этого выполняет требования 31-го приказа?
• Решения Cisco позволяют
выполнить многие
требования приказа
ФСТЭК №31 по защите
автоматизированных
систем управления
технологическими
процессами
• Эти решения могут быть
применены как в самом
индустриальном сегменте,
так и на стыке с
корпоративной сетью или
Интернет
8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE 2000, IE 3010
и CGS 2500
• Индустриальные маршрутизаторы ISR 819H, CGR 2000
• Индустриальные беспроводные решения Cisco 1550
Outdoor AP
• Индустриальные встраиваемые маршрутизаторы в
форм-факторах PC104 и cPCI
• Индустриальные системы предотвращения вторжений
IPS for SCADA
• Индустриальные межсетевые экраны и система
отражения вредоносного кода
Cat. 6500Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms
1260 and
3560 APs
ASA
IE 3010
IE 3000
1552 AP
CGR 2010
IE 2000
ISR
819
7925G-EX
IP Phone
9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Архитектура Cisco для защиты индустриальной сети
10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Архитектура ИБ промышленного предприятия
WWW Прило
жения
DNS FTP
Интернет
Гигабитный канал
для определения
аварийного
переключения
Межсетевой
экран
(активный)
Межсетевой
экран
(режим
ожидания)
Серверы
производствен
ных
приложений
Коммутатор
уровня доступа
Сетевые сервисы
Коммутаторы уровня
ядра
Коммутатор
уровня
агрегации
Управление
исправлениями
Сервисы для
терминального
оборудования
Зеркало приложений
Антивирусный сервер
Ячейка/зона 1
(Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный
ввод-вывод
Контроллер
ДискДиск
HMI
Распределенный
ввод-вывод
HMI
Ячейка/зона 2
(Топология типа
«Кольцо»)
Ячейка/зона 3
(Линейная топология)
Коммутатор
уровня доступа 2
Контроллер
Ячейка/зона
Уровни 0-2
Производственная зона
Уровень 3
Демилитаризованная зона
Уровень 3.5
Корпоративная сеть
Уровни 4-5
Усиленный межсетевой экран
Усиленная система предотвращения
вторжений (IPS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей сети
Контроль доступа
(на уровне приложений)
Межсетевой экран с сохранением
состояния
Защита и определение вторжений (IPS/IDS)
Системы управления физическим
доступом
Сервисыидентификации
ISE
11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Архитектура ИБ нефтегазового предприятия
Управление и
безопасность
Уровень 1
Устройство
Уровень 0
Центр
управления
Уровень 3
Устаревшая
RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы
Ethernet-мультисервисы
WAN
Беспроводн. соед.
ТранспортRFID
SIEM
Сенсор
Движок
Клапан
Драйвер
Насос
Прерыватель
Монитор
питания
Стартер
Выключатель
Системы
безопасности
Принтер
Оборудование
SIEM
Система SCADA
Головная станция
Рабочие станции
оператора и разработчика
Сервер автоматизации
процессов системы
SIEM
SIEM
Обработка
и распред. ист. данных
Серверы приложений
Операционные
бизнес-системы
SIEM
SIEM
SIEM
Надежность и
безопасность
Система управления
производством (MES)
SIEM
SIEM
Распределенная система
управления (DCS)
SIEM
SIEM
Контроллер
доменов
Корп. сеть
Уровни 4-5
Ист. данные
SIEM
Анти-
вирус
WSUS
SIEM
SIEM
Сервер удаленной
разработки
SIEM
Сервер
терминального
оборудования
SIEM
ДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль
Уровень 2
Системы
видеонаблюдения
Контроль
доступа
Голос
Мобильные
сотрудники
Беспроводн.
сенсор
Контроллер
Сенсор
Выключатель
Безопасность
12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Архитектура ИБ транспортного предприятия
PTC
IPICSVSMS / VSOM
IP/MPLS
Домен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран
Усил. система обнаружения вторжений
(IDS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией
и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей среды
Контроль доступа на уровне приложений
Межсетевой экран с сохранением
состояния
Система обнаружения вторжений (IDS)
Системы управления физическим
доступом
Сервисыидентификации
Сети безопасности
и управления
процессами
Offload
VSMS
PTC 3000
TMC
Оборудование
Мультисервисные сети
13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Сеть агрегации FAN
ЗОНА 2
Мультисервисная шина
ЗОНА 3
Сеть NERC CIP
ЗОНА 1
Сетьподстанций
Станционная
шина IEC
61850
Шина
процессов
IEC 61850
Архитектура ИБ предприятия в сфере энергетики
Физическая
безопасность
Взаимодействие
с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
Прерыватель
IEDMU
Распределенный
контроллерHMI
Устаревшая
RTU
PT CT
Аппаратный
I/O
Сенсор
Устаревшее
реле
РТЗ
Прерыватель
Частный WiMax или LTE
для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр
управления
доступом
ДМЗ
Центр
обработки
данных
HMI
SCADA FEP
EMS
CPAM
VSOM
Аналитика
ист. данных
SIEM
PACS
ACS
CA
LDAP
HMI
Контроллер
соединения
RTU
Защитное
реле
Процессор
коммуникаций
PMU
PDC
Реле
РТЗ
14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Резюме
• Приказ ФСТЭК №31 по защите автоматизированных систем управления
технологическими и производственными процессами (АСУ ТП) устанавливает
совершенно новый подход к защите АСУ ТП, базирующийся на лучших практиках и
позволяющий операторам, владельцам и заказчикам АСУ ТП самостоятельно
выбирать оптимальный и адекватный набор защитных мер
• Данный приказ позволяет в полной мере использовать все решения Cisco по
информационной безопасности, а также другие наши технологии (унифицированные
коммуникации, Wi-Fi, унифицированные доступ, виртуализацию, технологии центров
обработки данных и т.д.)
• Решения Cisco обладают всем необходимым набором сертификатов ФСТЭК и, при
необходимости, ФСБ
15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru
16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/
17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/
18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Благодарю
за внимание