Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы<br />Научно-технич...
Хроника некоторых инцидентов информационной безопасности АСУ ТП<br />1998:перехват контроля над центром управления системо...
БД по инцидентам информационной безопасности АСУ ТП<br />Группы реагирования на инциденты информационной безопасности (Com...
Классификация информационных атак наАСУ ТП по способам реализации и последствиям<br />Доступность<br />Целостность<br />Ко...
Стандарты корпорации MITRE (США) на форматы описания уязвимостей, способов реализации атак и результатов экспертизы АСУ ТП...
Формализованные описания уязвимостей АСУ ТП в перечне ICS-CERT (Industrial Control Systems Cyber Emergency Response Team),...
Сводная таблица особенностей обеспечения безопасности АСУ ТП<br />
Основные инициативы в области обеспечения информационной безопасности АСУ ТП<br />IEC, Международная электротехническая ко...
IEC, International Electrotechnical Commission, Международная электротехническая комиссия<br />ТК-65 «Industrial-Process M...
Стандарты IEC в электроэнергетике(по материалам компании КРОК)<br />
IEEE, Institute of Electrical and Electronic Engineers, Институт инженеров по электротехнике и электронике<br />IEEE 1402 ...
Комитет ISA SP99 «Защита технологических систем и систем управления»<br />ISA-TR99.00.01-2004 «SecurityTechnologiesforManu...
Комитет ISA SP99 «Защита технологических систем и систем управления». Стандарт SP99<br />ISA 99.00.01 «Security for Indust...
NIST, National Institute of Standards and Technology, Национальный институт стандартов и технологий США<br />SP800-53 «Rec...
PCSRF«Форум по вопросам безопасности систем АСУ ТП» NIST<br />SPP-ICS:Security Capabilities Profile for Industrial Control...
IAONA, Альянс промышленной автоматизации на основе открытых сетей, завершил работу в 2007<br />Формуляр безопасности, разр...
NERC, Североамериканский орган саморегламен-тированиядля электроэнергетических компаний<br />NERC 1200 – «Urgent Action St...
FERC, Федеральная комиссия по регулированию вопросов в сфере энергетики<br />FERC SSEMP - “Security Standards for Electric...
CIGRE, Международный совет по крупным электроэнергетическим системам<br />Работа над вопросами информационной безопасности...
CIDX, Организация по вопросам информационного обмена в химической промышленности<br />Guidance for Addressing Cyber Securi...
API, AmericanPetroleumInstitute, Американский институт нефти<br />API STD 1164 «Pipeline SCADA Security», 2004<br />API «S...
AGA, American Gas Association, Американская ассоциация организаций газовой промышленности<br />AGA-12. “Cryptographic Prot...
Газпром<br />Р Газпром 4.2-0-003.Типовая политика информационной безопасности автоматизированных систем управления техноло...
Некоторые лучшие практики обеспечения ИБ АСУ ТП<br />2001. GAMP 4, Good Automated Manufacturing Practice (GAMP).Guide for ...
ESCORTS. Security of Control and Real Time Systems. Таксономия решений безопасности в области SCADA, 2010<br />Архитектура...
Особенности АСУ ТП как объекта обеспечения информационной безопасности<br />
Организационные и процессные последствия. Последствия кибератак на АСУ ТП<br />Особенности обеспечения информационной безо...
Особенности АСУ ТП как объекта обеспечения информационной безопасности<br />использование устаревших протоколов<br />орган...
Особенности, связанные с необходимостью обеспечения режима реального времени<br />Организационные и процессные<br />Архите...
Специфические технологии защиты информации в АСУ ТП<br />межсетевые экраны (МЭ), рассчитанные на специфические протоколы S...
Автоматизированные системы реального времени (АС РВ)<br />Автоматизированные системы управления технологическими процессам...
Оценка соответствия технологий обеспечения информационной безопасности в АС РВ<br />Требования к среднему значению и центр...
Отечественные стандарты в области АС РВ. Предложения<br />ГОСТ Р. Информационная технология. Обеспечение информационной бе...
Спасибо за внимание!<br />Гарбук Сергей Владимирович<br />Научно-технический центр<br />«Станкоинформзащита»<br />www.ntcs...
Upcoming SlideShare
Loading in …5
×

Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы

4,298 views

Published on

Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?

  • Be the first to comment

Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы

  1. 1. Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы<br />Научно-технический центр «Станкоинформзащита»<br />Доклад на Positive Hack Days 2011<br />
  2. 2. Хроника некоторых инцидентов информационной безопасности АСУ ТП<br />1998:перехват контроля над центром управления системой трубопроводов ОАО «Газпром»<br />2000: доступ к системе управления станцией очистки сточных вод в г. Маручи-Шир(Австралия). В окружающую среду было вылито несколько миллионов литров неочищенных стоков<br />2002: проникновение хакеров в информационную сеть индийского ядерного исследовательского центра BARC, приведшее к отключению защитных систем объекта<br />2003:в железнодорожной компании CSX Transportation (США) червь поразил сеть управления, вследствие чего все поезда были остановлены на полдня<br />2003: заражение червём Slammer АСУ ТП энергетической станции Davis-Besse, вызвавшее сбои в её работе (США, Огайо)<br />2004:червь Sasser заразил систему сигнализации и управления австралийской железнодорожной компании RailCorp. 300 000 пассажиров в Сиднее и пригородах на сутки лишились возможности добраться до места назначения<br />2005:остановка сборочной линии на заводе Diamler-Chrysler в результате внедрения червя Zotob<br />2008: атака в отношении системы УВД, в результате которой было нарушено воздушное сообщение на юге Великобритании, включая аэропорты Лондона<br />2009: сбои АСУ железнодорожным транспортом, приведшие к приостановлению железнодорожного сообщения на всей территории Израиля<br />2010: заявления компании Siemens об угрозах АСУ ТП собственного производства, связанных с появлением нового компьютерного червя Stuxnet<br />
  3. 3. БД по инцидентам информационной безопасности АСУ ТП<br />Группы реагирования на инциденты информационной безопасности (ComputerEmergencyResponseTeam, CERT и CollaborationSecurityIncidentResponseTeam, CSIRT, www.cert.org) , включая российский центр (RU-CERT, www.cert.ru)<br />Форум групп информационной безопасности и реагирования на инциденты (ForumofIncidentResponseandSecurityTeams, FIRST, www.first.org)<br />Национальный институт стандартов и технологий США (National Vulnerability Database of National Institute of Standard and Technology, http://nvd.nist.gov)<br />Центр хранения данных по инцидентам промышленной безопасности (The Repository of Industrial Security Incidents, RISI, securityincidents.org)<br />Центр информационной безопасности Интернет (CenterforInternetSecurity, CIS, www.cisecurity.org)<br />Центр защиты национальных инфраструктур (Centre for the Protection of National Infrastructure, CPNI, www.cpni.gov.uk)<br />БД компании Novell (support.novell.com/security/oval/),RedHat (www.redhat.com/security/data/oval/), другие организации<br />
  4. 4. Классификация информационных атак наАСУ ТП по способам реализации и последствиям<br />Доступность<br />Целостность<br />Конфиденциальность<br />DoSатаки на WEB-сервисы АСУ ТП<br />Внедрение в АСУ ТП вредоносного программного кода<br />НСД к сервисам и ресурсам АСУ ТП<br />Программное обеспечение АСУ ТП<br />Управляющаяинформация<br />Данные о состоянии управляемого объекта (ТЛМИ)<br />Доступность<br />Конфиденциальность<br />
  5. 5. Стандарты корпорации MITRE (США) на форматы описания уязвимостей, способов реализации атак и результатов экспертизы АСУ ТП<br />Правила присвоения имен и идентификации информационных систем и платформ АСУ ТП (CommonPlatformEnumeration, CPE, cpe.mitre.org)<br />Правила уникальной идентификации конфигурации информационных систем (CommonConfigurationEnumeration, CCE, cce.mitre.org)<br />Язык описания уязвимостей и конфигурации информационных систем (OpenVulnerabilityandAssesmentLanguage, OVAL, oval.mitre.org)<br />Типы уязвимостей программного обеспечения (CommonWeaknessEnumeration, CWE, cwe.mitre.org)<br />Правила присвоения имен уязвимостям информационной безопасности и воздействиям (CommonVulnerabilitiesandExposures, CVE,cve.mitre.org)<br />Правила именования и классификации векторов атак, учитывающие особенности обеспечения информационной безопасности на различных этапах жизненного цикла ПО (CommonAttackPatternEnumerationandClassification, CAPEC, capec.mitre.org)<br />Язык описания, журналирования и обмена сведениями о событиях в информационных системах (CommonEventExpression, CEE, mitre.cee.org)<br />Язык достоверного описания характеристик вредоносного ПО, основанный на атрибутах, учитывающих поведенческие признаки, особенности реализации ПО и вектора атак (MalwareAttributeEnumerationandCharacterization, MAEC, maec.mitre.org)<br />
  6. 6. Формализованные описания уязвимостей АСУ ТП в перечне ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), НТЦ «Станкоинформзащита»<br />[STANKOINFORMZASCHITA-10-01] Netbiter® webSCADA – множественные уязвимости<br />[STANKOINFORMZASCHITA-10-02] ITS SCADA – Обход авторизации<br />[STANKOINFORMZASCHITA-10-03] Broadwin SCADA – Blind SQL-injection<br />[STANKOINFORMZASCHITA-10-04] ICSCADA (Outlaw Automation) – Blind SQL-injection<br />[STANKOINFORMZASCHITA-10-05] InduSoft Web Studio v7.0 – CET Web Server Directory traversal<br />
  7. 7. Сводная таблица особенностей обеспечения безопасности АСУ ТП<br />
  8. 8. Основные инициативы в области обеспечения информационной безопасности АСУ ТП<br />IEC, Международная электротехническая комиссия, МЭК<br />IEEE, Институт инженеров по электротехнике и электронике<br />ANSI/ISA, Общество приборостроения, системотехники и автоматизации<br />NIST, Национальный институт стандартов и технологий США<br />IAONA, Альянс промышленной автоматизации на основе открытых сетей<br />PCSF, Форум по АСУ ТП<br />NERC, Североамериканский орган саморегламентирования для электроэнергетических компаний<br />FERC, Федеральная комиссия по регулированию в сфере энергетики<br />CIGRE, Международный совет по крупным электроэнергетическим системам<br />CIDX, Организация по вопросам информационного обмена в химической промышленности<br />API, Американский институт нефти<br />AGA, Американская ассоциация предприятий газовой промышленности<br />Газпром<br />
  9. 9. IEC, International Electrotechnical Commission, Международная электротехническая комиссия<br />ТК-65 «Industrial-Process Measurement and Control»ПК-65С «Digital Communications»РГ-13 «Cyber Security»<br />IEC 61784-4«Digital data communications for measurement and control. Profiles for secure communications in industrial networks» IEC 62443 «Security for industrial process measurement and control – Network and system security».<br />IEC 62210– «Data and Communication Security»<br />IEC 62351 – «Data and Communication Security»<br />
  10. 10. Стандарты IEC в электроэнергетике(по материалам компании КРОК)<br />
  11. 11. IEEE, Institute of Electrical and Electronic Engineers, Институт инженеров по электротехнике и электронике<br />IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security», 2000<br />
  12. 12. Комитет ISA SP99 «Защита технологических систем и систем управления»<br />ISA-TR99.00.01-2004 «SecurityTechnologiesforManufacturingandControlSystems»<br />ISA-TR99.00.02-2004 «IntegratingElectronicSecurityintotheManufacturingandControlSystemsEnvironment»<br />СтандартSP99 «ManufacturingandControlSystemSecurityStandard»<br />Стандарт ISA100«Wireless standard for industrial automation»<br />
  13. 13. Комитет ISA SP99 «Защита технологических систем и систем управления». Стандарт SP99<br />ISA 99.00.01 «Security for Industrial Automation and Control Systems: Concepts, Models and Terminology»;ISA 99.00.02 «Establishing an Industrial Automation and Control Systems Security Program»;ISA 99.00.03 «Operating an Industrial Automation and Control Systems Security Program»;ISA 99.00.04 «Specific Security Requirements for Industrial Automation and Control Systems».<br />
  14. 14. NIST, National Institute of Standards and Technology, Национальный институт стандартов и технологий США<br />SP800-53 «Recommended Security Controls for Federal Information Systems», 2005<br />SP800-82 «Guide to Industrial Control Systems (ICS) Security», 2008, окончательная редакция<br />SP 800-30 «Risk Management Guide for Information Technology System»<br />
  15. 15. PCSRF«Форум по вопросам безопасности систем АСУ ТП» NIST<br />SPP-ICS:Security Capabilities Profile for Industrial Control Systems – «Специальный профиль безопасности для промышленных систем управления»<br />
  16. 16. IAONA, Альянс промышленной автоматизации на основе открытых сетей, завершил работу в 2007<br />Формуляр безопасности, разработанный Совместной технической группой по безопасности (JTWG-SE) IAONA, предназначенный для использования в качестве шаблона поставщиками систем и приборов автоматизации при документировании функций связи и обеспечения безопасности, а также особых требований, связанных с их продукцией<br />
  17. 17. NERC, Североамериканский орган саморегламен-тированиядля электроэнергетических компаний<br />NERC 1200 – «Urgent Action Standard 1200 – Cyber Security»<br />NERC 1300 – «Cyber Security»<br />NERC Security Guidelines– «Security Guidelines for the Electricity Sector»<br />
  18. 18. FERC, Федеральная комиссия по регулированию вопросов в сфере энергетики<br />FERC SSEMP - “Security Standards for Electric Market Participants”, 2002<br />
  19. 19. CIGRE, Международный совет по крупным электроэнергетическим системам<br />Работа над вопросами информационной безопасности в ряде рабочих групп<br />
  20. 20. CIDX, Организация по вопросам информационного обмена в химической промышленности<br />Guidance for Addressing Cyber Security in the Chemical Sector, 2009<br />Vulnerability Assessment Methodology (VAM) Guidance<br />
  21. 21. API, AmericanPetroleumInstitute, Американский институт нефти<br />API STD 1164 «Pipeline SCADA Security», 2004<br />API «Security Guidance for the Petroleum Industry»<br />API «Security Vulnerability Assessment Methodology for the Petroleum andPetrochemicalIndustries»<br />
  22. 22. AGA, American Gas Association, Американская ассоциация организаций газовой промышленности<br />AGA-12. “Cryptographic Protection of SCADA Communications General Recommendations”<br />AGA 12-1: «Cryptographic Protection of SCADA Communications. Background, Policies & TestPlan»<br />AGA 12-2: « Cryptographic Protection of SCADA Communications: Retrofit link encryption for asynchronous serial communications of SCADA systems»<br />AGA 12-3: « Cryptographic Protection of SCADA Communications: Protection of IP-based, networked SCADA systems»<br />AGA 12-4: « Cryptographic Protection of SCADA Communications: Protection embedded in SCADA components»<br />Security Practices Guidelines Natural Gas Industry Transmission and Distribution, 2008<br />
  23. 23. Газпром<br />Р Газпром 4.2-0-003.Типовая политика информационной безопасности автоматизированных систем управления технологическими процессами<br />СТО Газпром 4.2-2-002.Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами<br />
  24. 24. Некоторые лучшие практики обеспечения ИБ АСУ ТП<br />2001. GAMP 4, Good Automated Manufacturing Practice (GAMP).Guide for Validation of Automated Systems<br />2005. Good Practice GuideonFirewall Deploymentfor SCADA and Process Control Networks (NISCC, Великобритания)<br />2005. Good Practice Guide Process Control and SCADA Security (NISCC, Великобритания)<br />2008. Best Practice Guide on Firewall Deployment for SCADA and Process Control Networks(CPNI, Великобритания)<br />2008. Recommended Practice:Creating Cyber Forensics Plans for Control Systems(DHS, США)<br />
  25. 25. ESCORTS. Security of Control and Real Time Systems. Таксономия решений безопасности в области SCADA, 2010<br />АрхитектураSCADA Сети управления Сетевые процессы Протоколы SCADA<br />Уязвимости SCADA Уязвимости архитектур Уязвимости политик ИБ Уязвимости ПО Уязвимости протоколов передачи данных<br />Сценарии информационных атак Атаки, ориентированные на уязвимости протоколов SCADA Атаки, ориентированные на сетевые процессы Атаки на сети информационного обмена<br />Способы обеспечения информационной безопасности Мероприятия, связанные с протоколами передачи данных Мероприятия, связанные с фильтрацией и мониторингом Лучшие практики в области архитектурных решений Организационные меры<br />
  26. 26. Особенности АСУ ТП как объекта обеспечения информационной безопасности<br />
  27. 27. Организационные и процессные последствия. Последствия кибератак на АСУ ТП<br />Особенности обеспечения информационной безопасности<br />Конструктивно-технологические особенности объекта управления и его экономическая и оборонная значимость<br />
  28. 28. Особенности АСУ ТП как объекта обеспечения информационной безопасности<br />использование устаревших протоколов<br />организационные сложности с обновлением ПО<br />низкая унифицированность ПО и протоколов, организационная и ведомственная разобщенность<br />географическая распределенность АСУ ТП и объектов управления<br />
  29. 29. Особенности, связанные с необходимостью обеспечения режима реального времени<br />Организационные и процессные<br />Архитектурные<br />ПО<br />Протоколы<br />Реальный масштаб времени<br />
  30. 30. Специфические технологии защиты информации в АСУ ТП<br />межсетевые экраны (МЭ), рассчитанные на специфические протоколы SCADA<br />распределенные микро-МЭ<br />технология гарантированного качества обслуживания (Quality of Service, QoS), рассчитанная на приоритетную передачу трафика реального времени, чувствительного к временным задержкам(IEEE 802.1q и др. протоколы)<br />однонаправленные проводники (например, на базе оптронов), IEEE Std 7-4.3.226, "IEEE Standard for Digital Computers in Safety Systems ofNuclear Power Generating Stations"<br />
  31. 31. Автоматизированные системы реального времени (АС РВ)<br />Автоматизированные системы управления технологическими процессами на базе распределенных систем управления (DCS) и систем управления и диспетчеризации (SCADA)<br />Большинство встроенных (Embedded) систем<br />Системы управления оружием<br />Медицинское оборудование реального времени, в том числе, средства жизнеобеспечения человека<br />Системы управления транспортными средствами, в том числе, средства местоопределения, ближней навигации и мониторинга окружающей среды, системы опознавания «свой-чужой» и др.<br />
  32. 32. Оценка соответствия технологий обеспечения информационной безопасности в АС РВ<br />Требования к среднему значению и центральным моментам длительности обработки информации<br />Общие механизмы обеспечения ИБ<br />Модель угроз<br />Специальные механизмы обеспечения ИБ<br />Требования по предельно допустимым рискам<br />
  33. 33. Отечественные стандарты в области АС РВ. Предложения<br />ГОСТ Р. Информационная технология. Обеспечение информационной безопасности АС РВ. Термины и определения.<br />ГОСТ Р. ... Основные положения.<br />ГОСТ Р. ... Управление и контроль информационной безопасности на объектах с автоматизированными системами реального времени.<br />ГОСТ Р. ... Требования к средствам защиты информации.<br />
  34. 34. Спасибо за внимание!<br />Гарбук Сергей Владимирович<br />Научно-технический центр<br />«Станкоинформзащита»<br />www.ntcsiz.ru<br />(495) 790-16-60<br />(917) 520-68-30<br />

×