Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Нюансы проведения аудита ИБ АСУ ТП

1,342 views

Published on

Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X

Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.

Published in: Technology
  • Be the first to comment

Нюансы проведения аудита ИБ АСУ ТП

  1. 1. Нюансы проведения аудита ИБ АСУ ТП Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности Вебинар 28 июня 2017 года
  2. 2. Ø Что понимаем под аудитом ИБ? Ø Предпосылки для проведения аудита ИБ АСУ ТП Ø Порядок проведения аудита ИБ АСУ ТП Ø Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать Ø Заключение О чем будем говорить?
  3. 3. Что понимаем под аудитом ИБ? • Каково содержание работ? • Кто проводит? • Какие цели? • Что включает область работ?
  4. 4. 4 • Под аудитом ИБ понимается системный процесс получения объективных, качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех уровнях обеспечения ИБ Аудит ИБ • Управляемый, контролируемый, представимый в виде связанных групп операций • Определяемый своей целью Системный процесс • Административный (документы) • Организационный (процессы и процедуры) • Программно-технический Уровни обеспечения ИБ Для определения содержания аудита ИБ необходимо: Определить цель аудита ИБ Выбрать область аудита ИБ Детализировать состав этапов аудита ИБ Содержание работ
  5. 5. 5 • Внутренний аудит • Внешний аудит • Комбинированный аудит Исполнители • Специалисты по обеспечению ИБ предприятия • Специалисты по эксплуатации оборудования связи, ИТ инфраструктуры, систем автоматизации • Представители разработчика (проектировщика) АСУ ТП Состав рабочей группы Кто проводит?
  6. 6. 6 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели?
  7. 7. 7 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели? Аудит всегда проводится на соответствие чему-то: • внутренний стандарт • законодательные требования • лучшие практики • здравый смысл
  8. 8. Принципы проведения аудита ИБ Ø Независимость Ø Полнота Ø Оценка на основе свидетельств Ø Достоверность свидетельств Ø Компетентность Ø Этичность 8
  9. 9. 9 Что включает область работ? Подразделения: Головная компания Филиалы Производственные отделения Системы: Все Содержащие конфиденциальную информацию Критичные (SAP, АСУ ТП, …) Направления ИБ: Все или отдельные процессы обеспечения ИБ Организационные меры защиты Технические меры защиты Требования ИБ: Законодательные Отраслевые Внутренние Международные (best practices)
  10. 10. Стандарты аудитов ИБ АСУ ТП • Обязательно: • Приказ №31 ФСТЭК России • Отраслевые требования • Внутренние требования • Дополнительно: • Международные документы • Документы ФСТЭК России по КСИИ • Рекомендации разработчиков АСУ ТП 10
  11. 11. Предпосылки для проведения аудита ИБ АСУ ТП • АСУ ТП как объект защиты • Уязвимости компонентов АСУ ТП • Инциденты ИБ в АСУ ТП • Оценка текущего уровня защищённости • Требования законодательства
  12. 12. Жизненный цикл АСУ ТП: как хотелось бы 12 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Реконструкция АСУ 3 Создание службы ИБ Организация
  13. 13. Создание службы ИБ Реконструкция АСУ 3 Жизненный цикл АСУ ТП: на практике 13 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Организация
  14. 14. АСУ ТП как объект защиты «Верхний» уровень Средства вычислительной техники: • АРМ, серверы, периферия • Сетевое оборудование верхнего уровня, линии связи «Нижний» уровень Технические средства: • ПЛК • Сетевое оборудование нижнего уровня, линии связи «Полевой» уровень Технические средства: • ТОУ Программное обеспечение: • Общесистемное • Прикладное (базовое и специальное) Программное обеспечение: • Специальное Информация: Контрольно- измерительная Управляющая Сигнализирую щая 14
  15. 15. Уязвимость компонентов АСУ ТП 15 Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП. Источник: Positive Technologies
  16. 16. Уязвимость компонентов АСУ ТП 16 Статистика обнаруженных уязвимостей в АСУ ТП, итоги 2016 года. Источник: Positive Technologies
  17. 17. Предпосылки угроз ИБ в АСУ ТП 1. Применение современных сетевых технологий 2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP) OSI Протокол 7 Modbus 6 - 5 - 4 - 3 - 2 RTU, ASCII 1 RS-232, RS-485 OSI Протокол 7 Modbus 6 - 5 - 4 TCP 3 IP 2 Ethernet 1 17
  18. 18. Предпосылки угроз ИБ в АСУ ТП 18 3. Применение традиционных ИТ-решений 4. Исследования безопасности АСУ ТП 2010 StuxnetГода Уязвимости 2005-2010 20 Года Уязвимости 2011-2012 162
  19. 19. Актуальные угрозы ИБ АСУ ТП • Несанкционированное использование технологий удаленного доступа • Атаки через офисную (корпоративную) сеть передачи данных • Атаки на традиционные IT-компоненты, применяемые в АСУ ТП • (D)DoS атаки • Человеческие ошибки и злонамеренные действия персонала • Распространение вредоносного ПО с помощью съемных носителей информации и устройств, подключаемых к сети АСУ ТП • Перехват, искажение и передача информации, циркулирующей в сети АСУ ТП • Неавторизованный доступ к компонентам АСУ ТП • Атаки на сеть передачи данных АСУ ТП • Отказы оборудования, форс-мажор 19 Источник: Федеральное управление по информационной безопасности, Германия Industrial Control System Security – Top 10 Threats and Countermeasures
  20. 20. Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита -20-
  21. 21. Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП – могут длиться годы -21-
  22. 22. В 2015 г. в России средний ущерб от инцидента ИБ увеличился с $3,6 млн до $5,3 млн (на 47% по сравнению с 2014 г. ).1 PricewaterhouseCoopers В тоже время ущерб от хакерских атак на системы интернет-банкинга в России упал в 3,7 раза до 2,6 млрд руб. по сравнению с 9,8 млрд руб. в 2014 году. Хакеры уходят в другие отрасли. Group-IB Кибератаки 2015 направлены на все сферы, особую распространенность получили т. н. разрушительные атаки (destructive attacks).2 2014 - серия эффективных DDoS-атак на ЦБ и МИД России, 2015 – в открытый доступ выложены сотни тысяч SMS- сообщений россиян, атак на промышленные предприятия. Александр Бодрик. CISA, эксперт ЦИБ В 2014 году 94% исследованных систем содержали уязвимости, позволяющие получить полный контроль над критически важными ресурсами. В 67% систем получение контроля возможно из сети Интернет. Для 44% возможно получение полного контроля над всей информационной инфраструктурой. Positive Technologies Санкции по Украине; Россия вступила в конфликт на Ближнем Востоке; конфликт с Турцией; блэкаут на Украине из-за кибератаки (СБУ обвинила Россию в причастности к инциденту). Стоит ожидать ответных хакерских атак. ИБ в АСУ ТП: общие вызовы 22
  23. 23. Резкое увеличение количества инцидентов ИБ в области АСУ ТП в мире • Апрель 2000. Перехват из сети Интернет управления сетью крупнейшего в мире газопровода ОАО «ГАЗПРОМ»1 • Март 2008. Внештатное аварийное выключение блока 2 ядерной станции «Hatch» (США) – обновление ПО. • Апрель 2009. Зафиксировано проникновение в электроэнергетическую сеть США и размещения в ней программных «закладок», направленных на внештатную остановку её функциональных элементов и нарушение корректной работы. • Апрель 2010 г. Специалистами энергетической компании LCRA, обслуживающей более 1 миллиона людей в штате Техас, зафиксировано свыше 4800 попыток получения доступа к их компьютерной системе. • Июль 2010 г. Вирусом Stuxnet заражены 43 операторских станции одной крупной госкомпания США. Через месяц была полностью потеряна информация всей ИС. • Ноябрь 2011 г. Взломана SCADA-система одной из американских ГЭС. Из строя выведен насос, который использовался для водоснабжения. • С 2010 года в 20 раз выросло число обнаруженных уязвимостей2. 1 – брифинг МВД РФ , и.о. начальника управления "Р" МВД полковник Константин Мачабели 2 - Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 23
  24. 24. Появление в свободном доступе инструментов эксплуатации уязвимостей • PLCScan, WinCC Harvester, S7 password offline bruteforce tool, etc. • 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35% уязвимостей есть эксплойты1. ФЗ РФ N 256 «О безопасности объектов ТЭК» • Статья 11. Обеспечение безопасности информационных систем объектов ТЭК В целях обеспечения безопасности объектов ТЭК, субъекты ТЭК создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Приказ № 31 ФСТЭК России • «Об утверждении требований к обеспечению защиты информации в АСУ ТП …» 1 – Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 24
  25. 25. В АСУ ТП происходят инциденты ИБ 25 Дата Страна Инцидент декабрь 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод, в результате которой предприятию был нанесён ущерб. июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы. февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища. март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
  26. 26. Порядок проведения аудита ИБ АСУ ТП • Цели и задачи аудита ИБ АСУ ТП • Состав работ по аудиту ИБ АСУ ТП • Стадии и роли в ходе аудита ИБ АСУ ТП
  27. 27. Этапы аудита ИБ АСУ ТП Оформление результатов Анализ угроз ИБ Оценка соответствия требованиям ИБ Анализ защищенности Очное обследование Заочное обследование 27
  28. 28. Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать • Важные нюансы при составлении ТЗ • Особенности некоторых этапов аудита ИБ АСУ ТП • Представление результатов 28
  29. 29. Важные нюансы при составлении ТЗ • Границы проведения аудита • Перечень АСУ ТП – задан/должен быть определён • Глубина аудита – инструментальный контроль? • Результаты аудита • Результаты аудита ИБ АСУ ТП – документ для руководства • Отчёт об обследовании АСУ ТП • Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП • План защиты АСУ ТП • Квалификация участников • Наличие лицензий ФСТЭК/ФСБ • Опыт аналогичных работ • Наличие квалифицированного персонала и материально-технических ресурсов • Качество технической части предложения 29
  30. 30. Обследование 30 задачи Анализ документации кого опрашивать? проекта нет или утерян нельзя использовать стороннее ПО Оператор Имя: Иван Иванов Год рождения: 1975 Образование: среднее Инженер КИПиА Имя: Петр Иванов Год рождения: 1980 Образование: высшее • Технологический регламент • Инструкции персонала • Осмотр и документирование • Встроенные средства системного и прикладного ПО
  31. 31. Что взять с собой аудитору? 31
  32. 32. Возможные ограничения • Нет исходных данных • Проекты только на бумаге и устарели • Нужно искать оборудование АСУ ТП 32
  33. 33. Возможные ограничения (2) • Доверяй, но проверяй 33
  34. 34. Первые результаты Industrial != Commercial • Исполнительность на местах • Никакой самодеятельности • Жесткие вертикали • Высокое доверие к вендору • Оперативные изменения невозможны! 34
  35. 35. Инструментальный аудит задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак • на стенде • в ходе ТО ... ... К вышестоящим и смежным системам Пульт управления Шкаф АРМ Шкаф серверный Серверное оборудование АРМ оператора АРМ оператора АРМ оператора АРМ оператора Принтер Операторная Аппаратная Цеховой ПЛК Шкаф САУиР КЦ Промплащадка КЦ ПЛК САУ ГПАПЛК САУ ГПА ПЛК Локальных САУ ... Блок-бокс Блок-бокс автоматики ГПА Блок-бокс автоматики ГПА ГПА ГПА Технологическое оборудование КЦ СегментПКУКЦСегментнижнегоуровня Сегментподключения вышестоящихисмежных сиситем Коммуникационный сервер Сетевое оборудование сети передачи данных ПКУ КЦ Сетевое оборудование промышленной сети передачи данных Контролируемая зона Условные обозначения: – технологическое оборудование – Запираемый шкаф (блок-бокс) – границы помещения – границы контролируемой зоны – пульт управления – Взаимодействие с технологическим оборудованием – Каналы связи, построенные по технологии Ethernet – Терминальная линия связи – Каналы связи технологической сети передачи данных (Ethernet или последовательные линии связи) Сервисный компьютер 35
  36. 36. Инструментальный аудит нужен! • Проверка данных обследования • Без него никто не поверит • Без него сам не разберешься • Дает переход от перечня недостатков к плану действий по их устранению 36
  37. 37. Инструментальный аудит Методы: • Анализ архитектуры • Анализ конфигураций • Инструментальное обследование • Анализ трафика и журналов событий Программа инструментального обследования: • Определение действий, необходимых для сбора данных, с указанием: • используемых программно-аппаратных средств: • специализированных сканеров • сборщиков конфигураций и данных • тестовых программ • перехватчиков сетевых пакетов • необходимого персонала • возможных сбоев и иных нештатных ситуаций • планового времени на реализацию • Уточнение состава собираемых данных • Закрепление обоюдной ответственности за сбои в работе 37
  38. 38. Пример элемента программы • Контрольное мероприятие 3 • Состав мероприятия • Получение информации о групповых политиках службы каталога Active Directory с помощью Microsoft Group Policy Management Console (http://www.microsoft.com/down...). • Объект проверки • Контроллер домена Active Directory. • Метод проверки • Осуществляется запуск консоли Microsoft Group Policy Management с рабочей станции Заказчика. В консоли выполняются следующие действия: • на вкладке Domains – Имя домена – Group Policy Objects правой клавишей мыши вызывается контекстное меню, выбирается пункт Back Up All (Архивировать все); • для каждого объекта групповой политики вызывается контекстное меню и выбирается пункт Save Report (Сохранить отчет). • Требования к объекту проверки • Трафик между рабочей станцией, с которой осуществляется сбор данных, и контроллером домена не должен фильтроваться. На рабочей станции Заказчика должны быть установлены следующие программные продукты: • Microsoft .NET Framework Version 2.0; • Group Policy Management Console. • Для проведения проверки необходима учетная запись пользователя домена, обладающего правом чтения объектов групповых политик. Проведение проверки не требует перерыва в работе сервера. • Время проверки • Получение информации о групповых политиках в Active Directory с помощью Microsoft Group Policy Management Console занимает около 20 минут. • Выходные данные • В ходе проведения проверки создается копия всех применяемых групповых политик службы каталога Active Directory. 38
  39. 39. Тестирование на проникновение 39 задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак на стенде разработчика
  40. 40. Типовые уязвимости Уязвимости в ПО Неиспользуемое ПО Простые пароли Пароли по умолчанию Отсутствие базовых настроек безопасности «Дырки» в периметре АСУ ТП «Слабые» механизмы безопасности в АСУ ТП Несанкционированный доступ к АСУ ТП Повышение привилегий Произвольная корректировка хода технологического процесса Останов, потеря управления технологическим процессом 40
  41. 41. Доступ в АСУ ТП из корпоративной сети Удаленный доступ в АСУ ТП с АРМ наладчика 41
  42. 42. Отказ в обслуживании ПЛК 42 Зависание ПЛК вследствие некорректной обработки запросов на TCP-соединения 42
  43. 43. Отказ в обслуживании ПЛК 43 Уязвимость в реализации сетевого протокола FLEET (QNX) приводит к аварийной перезагрузке 43 43
  44. 44. Другие уязвимости 44
  45. 45. Моделирование угроз: с чем может столкнуться АСУ ТП? Халатность — Подключение внешних устройств (носители информации, модемы и пр.) — Подключение сторонних СВТ (свой ноутбук для игр) Хищение — Сырья, готовой продукции — Ресурса производственной линии (изготовление неучтенной продукции) Направленные атаки — Шпионаж — Саботаж 45
  46. 46. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 46
  47. 47. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 47
  48. 48. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 48
  49. 49. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 49
  50. 50. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 50
  51. 51. Направленная атака на АСУ ТП 51 ИБ ПБ Объект атаки: • АРМ, серверы, сетевое оборудование верхнего уровня • Общее ПО Цель атаки: • Закрепиться в защищаемом периметре Объект атаки: • ПЛК, сетевое оборудование нижнего уровня • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Реализация «классической» угрозы ИБ Внесение изменений в работу АСУ ТП Некорректная реализация ТП
  52. 52. Хищение 52 Объект атаки: • ПЛК • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Внесение изменений в работу АСУ ТП Некорректный учет ресурсов
  53. 53. Оценка соответствия Документы по КСИИ Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ Включение в реестр КСИИ Приказ №31 Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3) 53
  54. 54. Уровень значимости (УЗ) информации Соответствует степени возможного ущерба: • Возникновение ЧС (см. Постановление Правительства РФ № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера») • Иные негативные последствия в различных областях Декларация пром. безопасн. План действий по предупр. и ликв. ЧС 54
  55. 55. Анализ угроз ИБ АСУ ТП Документы по КСИИ 1. Процесс прописан в: • Базовой модели угроз • Методике определения актуальных угроз 2. Угроза признается актуальной на основании оценки: • Коэффициента опасности • Вероятности реализации Приказ №31 1. Документы, описывающие процесс не разработаны 2. Проект методики определения угроз ожидается в 2016г 3. В настоящее время применяются документы по КСИИ 55
  56. 56. Методика определения актуальных угроз для КСИИ • Универсальная • Подробная • Хорошо автоматизируется в Excel • ДСП • Универсальная • Есть не проработанные места Вопросы для определения нарушителя: • Берут ли сотрудники работу на дом? • Используется ли на объекте внешняя АТС? Определение вероятности угроз: Разработка моделей оценки вероятности длительный процесс => Вероятность угрозы НСД 1, если нет защитных мер Вероятность угрозы 0, если угрозы нет 56
  57. 57. Угрозы ИБ АСУ ТП BSI, Industrial Control System – Top 10 Threats ФСТЭК России (более 100 угроз для КСИИ) Несанкционированное использование технологий удаленного доступа • Несанкционированное получение доступа к средствам удаленного администрирования • Несанкционированный удаленный доступ к ПЛК Атаки через офисную (корпоративную) сеть • … Атаки на традиционные IT-компоненты • … (D)DoS атаки • … Человеческие ошибки и злонамеренные действия персонала • … Распространение вредоносного ПО с помощью съемных носителей и устройств, подкл. к сети • … Перехват, искажение и передача информации • … Неавторизованный доступ к компонентам • … Атаки на сеть передачи данных АСУ ТП • … Отказы оборудования, форс-мажор • … 57
  58. 58. Разработка рекомендаций Оперативные мероприятия • Настройка компонентов АСУ ТП (установка паролей, отключение неиспользуемых служб и портов и т.п.) • Регламентация фактически выполняемых мероприятий по обеспечению ИБ и закрепление ответственности Тактические мероприятия • Реализация периметральной защиты сети передачи данных АСУ ТП • Устранение уязвимостей в рамках сервисного сопровождения (установка обновлений безопасности, настройка встроенных механизмов защиты) • Контроль защищенности АСУ ТП (выявление уязвимостей, контроль выполнения мероприятий по обеспечению ИБ) Стратегические мероприятия • Адаптация СУИБ к АСУ ТП (формирование Стратегии обеспечения ИБ АСУ ТП, выстраивание процессов) • Обеспечение ИБ АСУ ТП на всех этапах жизненного цикла (реализация Системы защиты информации в АСУ ТП) 58
  59. 59. Выбор средств защиты АСУ ТП Специализированные решения • Иностранные • Отечественные Учет импортозамещения Решения от разработчиков АСУ ТП 59
  60. 60. Особенности применения технических мер защиты Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии Приказ ФСТЭК России от 14.03.2014 №31 КСПД 60
  61. 61. Результаты аудита ИБ АСУ ТП 1. Паспорта объектов защиты 2. Оценка соответствия требованиям 3. Независимая оценка уровня текущей защищенности 4. Получение рекомендаций по устранению обнаруженных недостатков 61
  62. 62. Другие результаты аудита ИБ АСУ ТП 1. «Генеральная уборка» - устранение уязвимостей и ошибок в ходе аудита 2. Повышение вовлеченности руководства в обеспечение ИБ 3. Обоснование создания/ модернизации системы обеспечения ИБ 62
  63. 63. • Предпосылки для проведения аудита: уязвимости, угрозы, инциденты, внутренние требования, законодательство, «что это?» • Составление ТЗ на проведение аудита – важный этап • Положительная практика проведения аудитов – она существует! • Результаты проведения аудитов могут быть наглядными и объективными • Компенсирующие меры не обязательно должны быть техническими • Комплесный подход к ИБ АСУ ТП – способ сохранения инвестиций Заключение
  64. 64. Спасибо за внимание! Компания УЦСБ Тел.: +7 (343) 379-98-34 E-mail: info@ussc.ru www.USSC.ru Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности

×