Доклад с семинара-совещания «Актуальные вопросы информационной безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов», организованного журналом «Connect!» и проходившего 14 февраля в ФГУП «ЦНИИ «Центр».
3. Защита КСИИ. История вопроса.
Методики:
Начиная с 2009 года в ОАО «СО ЕЭС» • Базовая модель угроз безопасности
планомерно проводятся информации в ключевых системах
мероприятия для информационной информационной инфраструктуры.
безопасности АСДУ по основным (Утверждена ФСТЭК России
признакам, относящимся к 18.05.2007).
ключевым системам • Общие требования по обеспечению
информационной инфраструктуры безопасности информации в
(КСИИ) в соответствии с документом ключевых системах информационной
«Система признаков критически инфраструктуры. (Утверждены
важных объектов и критериев ФСТЭК России 18.05.2007).
отнесения функционирующих в их • Рекомендации по обеспечению
составе информационно- безопасности информации в
телекоммуникационных систем к ключевых системах информационной
числу защищаемых от инфраструктуры. (Утверждены
деструктивных информационных ФСТЭК России 19.11.2007).
воздействий» (утвержденная • Методика определения актуальных
Секретарем Совета Безопасности угроз информации в ключевых
Российской Федерации 8 ноября системах информационной
2005г.) инфраструктуры. (Утверждены
ФСТЭК России 18.05.2007). 3
4. Защита КСИИ. Мероприятия.
Мероприятия по защите КСИИ:
• обследование текущего состояния информационной
безопасности;
• моделирование угроз;
• разработка специальных технических требований по
обеспечению безопасности информации, которые
направляются на экспертизу в профильные подразделения
ФСТЭК России;
• проведение сертификационных испытаний технологического
программного обеспечения и встроенных средств защиты
информации для перевода актуальных угроз в неактуальные
в соответствии с результатами моделирования;
• разработка и реализация проекта защиты АСДУ.
4
5. Требования по защите
№ Группа требований
1 Система обнаружения вторжений
2 Система анализа защищенности
3 Антивирусная защита
4 Безопасность межсетевого взаимодействия
5 Контроль отсутствия НДВ
6 Управление доступом
7 Регистрация и учет
8 Обеспечение целостности
5
6. Система обнаружения вторжений (СОВ)
- программное или аппаратное средство, предназначенное для выявления
фактов несанкционированного доступа в информационную
систему или сеть или специальных воздействий на информацию
• Как включать активно или пассивно?
Пассивно
• Как настраивать?
Профиль защиты ФСТЭК
• Как проводить настройку СОВ?
Не менее двух недель в соответствии со структурой сети
• На сколько должен быть квалифицированным персонал?
Должен быть квалифицированный персонал, проводящий мониторинг и
периодическое изменение настроек СОВ
• На что планировать деньги?
Покупка ПАК и права на ежегодное обновление сигнатур.
• Сколько стоит?
Дорого
6
7. Система анализа защищенности
- программное средство, предназначенное для выявления ошибок в
конфигурации ПО, уязвимости в версиях ПО, слабых паролей.
• Возможно ли вести автоматический анализ?
Функционал позволяет, но автоматически - нельзя
• Все ли проверять?
Нет, делать тщательный анализ оборудования и ПО
• Для всего проводить Audit и Pentest?
Для АСУ проводить Pentest вообще опасно
• На сколько должен быть квалифицированным персонал?
От достаточно квалифицированного до «хакера».
Много настроек необходимо делать на сканируемом оборудовании
• На что планировать деньги?
Покупка права на ПО и ежегодное обновление сигнатур.
• Сколько стоит?
Дорого
7
8. Антивирусная защита
- для обнаружения компьютерных вирусов и вредоносных программ,
восстановления зараженных файлов, а также для профилактики /
предотвращения заражения файлов или ОС вредоносным кодом.
• Куда ставить антивирус?
Эшелонировано на шлюзы, почту, серверы, АРМ.
• Какие минусы от антивирусов?
Блокирование технологического ПО; замедление работы
технологического ПО вплоть до нарушения доступности во время
полной проверки АРМ и серверов или постоянно работы антивируса.
• На сколько должен быть квалифицированным персонал?
Администраторы – высокой квалификации, обслуживающий персонал –
средней квалификации.
• На что планировать деньги?
Покупка ежегодного права на обновление сигнатур.
• Сколько стоит?
Приемлемо
8
9. Безопасность межсетевого взаимодействия
- комплекс аппаратных или программных средств, осуществляющий
контроль и фильтрацию проходящих через него сетевых пакетов в
соответствии с заданными правилами.
• Куда ставить межсетевой экран (МЭ)?
На периметр АСУ.
• На сколько должен быть квалифицированным персонал?
Администраторы – стандартной квалификации.
• А легко ли купить сертифицированный МЭ?
По срокам долго ждать.
• Применять обновления ОС или сохранять сертификат?
А что критичнее – действительность сертификата или повышение
защищенности АСУ?
• На что планировать деньги?
Покупка ПАК, периодическая сертификация (раз в три года), обновление
ОС.
• Сколько стоит?
Дорого
9
10. Контроль отсутствия НДВ
Недекларированные возможности - функциональные возможности ПО, не
описанные или не соответствующие описанным в документации, при
использовании которых возможно нарушение доступности, целостности или
конфиденциальности обрабатываемой информации.
• Какие особенности?
Оформление документации разработчиком в соответствии с
требованием с ГОСТ; необходимость передачи исходных кодов АСУ;
привлечение сертификационной лаборатории; подача заявки возможна
от лицензиата ФСЭК.
• Как сертифицировать – экземпляр, партию, производство?
Экземпляр – если АСУ на одном объекте; партия – если АСУ на
нескольких объектах (филиалах), производство – сертифицирует
разработчик АСУ.
• Сколько стоит?
Приемлемо
10
11. Управление доступом, регистрация и учет,
целостность
- элементы защиты от НСД (наряду с ранее перечисленными)
С помощью чего обеспечивать защиту от НСД?
Средствами сертифицированной ОС:
• Требования к настройке ОС такие, что АСУ может не работать;
• ОС нужно регулярно обновлять, а значит сертификат станет не
действительным.
Наложенными сертифицированными средствами:
• Средства защиты не учитывают требований систем реального времени;
• Как установить аппаратную защиту на АРМ находящийся на гарантии?
• Сертификация средства защиты отстает от развития ОС и АСУ в среднем на 2
года.
Сертифицировать АСУ по НСД:
• Есть требования к сертификации, но они избыточны для средств защиты в
составе АСУ (обрабатывает не конфиденциальную информацию);
• Современные АСУ может использовать смежные средства аутентификации
(AD), хранения правил авторизации (MSSQL).
Нужные отдельные требования по НСД именно для АСУ
11
12. Выводы
• Требования по защите КСИИ понятны, принимаемы, но не всегда выполнимы,
по этому их нужно тщательно адаптировать для себя в специальных
технических требованиях;
• В организации должны быть специалисты по ИБ досконально разбирающиеся
в вопросах ИБ в АСУ и в работе АСУ (никакой интегратор не поможет);
• Неправильная настройка средств ИБ может нарушить доступность АСУ;
• Выполнить требования по ИБ для АСУ дорого, поэтому расчет стоимости
обеспечения информационной безопасности должен рассчитываться на
стадии задумки и создания АСУ, а этого НИКТО НЕ ДЕЛАЕТ;
• Трудно объяснить руководству и персоналу необходимость выполнения
требований по ИБ АСУ при отсутствии законодательных актов (пока это
рекомендации регулятора);
• Требования по защите КСИИ не учитывают особенности АСУ как систем
реального времени, не учитываются реалии развития ИТ (тесная интеграция с
ОС, виртуализация) и, как следствие, уровень современного развития
киберпреступности.
Вызовы:
• Как сделать стоимость обеспечения ИБ доступной для владельцев бизнеса и сопоставимой с возможным
ущербом нарушения ИБ АСУ?
• Как сделать информационную безопасность эффективной и не заметной для пользователей АСУ?
12
13. Спасибо за внимание
Докладчик:
Кондратенко
Андрей Александрович
kondra06@gmail.com
13