Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП.

1,061 views

Published on

В третьей серии цикла вебинаров рассмотрены законодательные инициативы и требования регулирующих органов Российской Федерации, а также дан общий обзор лучших мировых практик и международных стандартов о области информационной безопасности АСУ ТП.
Дата вебинара 12 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/Jr-4A9OIofI
Докладчик: Сергей Кацапов.

Published in: Government & Nonprofit
  • Be the first to comment

  • Be the first to like this

ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП.

  1. 1. 12.11.15 Требования в области защиты АСУ ТП Законодательство. Регуляторы. Международный опыт Сергей Кацапов Руководитель направления
  2. 2. – 2 – Требования по защите АСУ ТП 2005 2007 2011 2012 2013 2014 Система признаков КВО ФСТЭК КСИИ ФЗ №256 Основные направления… О безопасности КИИ РФ Приказ №31 ФСТЭК Требования по ЗИ в АСУ ТП
  3. 3. – 3 – КСИИ vs АСУ ТП КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Системы, обеспечивающие управление опасными объектами • водоснабжением • энергоснабжением • транспортом • потенциально опасными объектами Системы, обеспечивающие функционирование информ. объектов, осущ. управление (обеспечение) важных для РФ процессов • органов власти • банков • предупреждения ЧС • навигации • сетей связи Автоматизированные системы управления технологическими и производственными процессами
  4. 4. – 4 – Документы ФСТЭК России в области КСИИ Система признаков КВО 2005г Базовая модель угроз 2007г Методика определения актуальных угроз 2007г Общие требования по обеспечению безопасности 2007г Рекомендации по обеспечению безопасности 2007г Положение о Реестре КСИИ 2009г
  5. 5. – 5 – Документы ФСТЭК России в области АСУ ТП Приказ №31 Требования к защите информации 2014г Проект Требования к средствам антивирусной защиты 2015г Проект Меры защиты информации 2016г Проект Методика определения угроз 2016г Проект Порядок выявления и реагирования на уязвимости 2016г Проект Порядок реагирования на инциденты 2016г
  6. 6. – 6 – Этапы работ по защите АСУ ТП Формирование требований • Принятие решения о защите • Классификация • Моделирование угроз • Формирование требований Разработка системы защиты • Проектирование • Разработка экспл. док-ции Внедрение и ввод в действие • СМР и ПНР • Орг. меры • Анализ уязвимостей • Испытания и приемка Эксплуатация • Управление инцидентами • Информирование и обучение • Планирование и анализ рисков • Контроль (мониторинг) Вывод из эксплуатации • Архивирование • Уничтожение инф.
  7. 7. – 7 – Основания начала работ по защите АСУ ТП: • Требования законодательства • Внутренние требования • Инциденты ИБ в АСУ ТП • Результаты аудита ИБ АСУ ТП Принятие решения о защите АСУ ТП
  8. 8. – 8 – Документы по КСИИ Классификация АСУ ТП Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ Включение в реестр КСИИ Приказ №31 Классификация по КСИИ Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3)
  9. 9. – 9 – Моделирование угроз безопасности Документы по КСИИ 1. Процесс прописан в: • Базовой модели угроз • Методике определения актуальных угроз 2. Угроза признается актуальной на основании оценки: • Коэффициента опасности • Вероятности реализации Приказ №31 1. Документы, описывающие процесс не разработаны 2. Проект методики определения угроз ожидается в 2016г 3. В настоящее время применяются документы по КСИИ
  10. 10. – 10 – Формирование требований по защите Для АСУ ТП применяется Приказ №31 Документы по КСИИ – дополнительный методический материал Выбор базовых мер с учетом класса защищенности Адаптация базовых мер с учетом структуры АСУ ТП Уточнение набора мер для защиты от всех угроз Дополнение набора мер с учетом доп. требований Порядок выбора мер защиты информации: Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП
  11. 11. – 11 – Проектирование системы защиты АСУ ТП и разработка эксплуатационной документации • ГОСТ 34 серии. Автоматизированные системы (АС) • ГОСТ Р 51624. АС в защищенном исполнении. Общие требования • ГОСТ Р 51583. Порядок создания АС в защищенном исполнении Разработка системы защиты
  12. 12. – 12 – Внедрение и ввод в действие Этап Особенности Монтаж оборудования и пусконаладочные работы Должно быть обеспечено: • функционирование АСУ ТП • совместимость средств защиты с ПО АСУ ТП Внедрение орг. мер Орг. меры регламентируют работу: • операторского персонала • администраторов • обеспечивающего персонала Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатацию Может включать тестирование на проникновение Испытания и приемка Применяется весь комплекс испытаний Аттестация не обязательна
  13. 13. – 13 – Обеспечение защиты в ходе эксплуатации АСУ ТП • Планирование мероприятий по защите АСУ ТП • Обеспечение действий в нештатных (непредвиденных) ситуациях • Информирование и обучение персонала АСУ ТП • Периодический анализ угроз и рисков от их реализации • Управление системой защиты АСУ ТП • Выявление инцидентов и реагирование на них • Управление конфигурацией АСУ ТП и ее системы защиты • Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП
  14. 14. – 14 – Обеспечение защиты при выводе из эксплуатации АСУ ТП • Архивирование информации, содержащейся в АСУ ТП • Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации
  15. 15. – 15 – Международный опыт Международные стандарты: • Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security • Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security» Документы схожи с Приказом №31 ФСТЭК России, но содержат: • описание АСУ ТП и анализ угроз и уязвимостей • рекомендации и особенности по реализации мер защиты в АСУ ТП • примеры реализации защитных мер Дополнительно нужно учитывать документы разработчиков АСУ ТП http://www.siemens.com/industrialsecurity
  16. 16. – 16 – Спасибо за внимание! Сергей Кацапов Руководитель направления Уральский центр систем безопасности skatsapov@ussc.ru

×