Download to read offline
![Основная концепция ANSI/ISA 99
“Zones and Conduits”
“Security zone: grouping of logical or physical assets that share common security
requirements”. [ANSI/ISA-99.01.01–2007-3.2.116]
ВЫДЕЛЕННЫЙ ТЕКСТ
Группировка логических или физических активов, которые имеют общие
требования безопасности
conduit
HMI
(human-machine interface)
Zone
Controller Zone
5](https://image.slidesharecdn.com/isa99-120604013026-phpapp02/75/Isa-99-5-2048.jpg)
Isa 99
- 1.
- 2. Объект защиты • ~65 000 работников; • ~ 7 000 пользователей ПК; • территориально-распределённая структура; • Труднодоступные объекты; • различные, не унифицируемые, типы производств. О Корпорации Казахмыс 2
- 3. Регламентация ИБ АСУи АСУТП 1997 – отчёт Президентской комиссии США… 1998 – Указ Президента США №63 2001 – Акт о защите критической инфраструктуры 2002 – Акт о безопасности Отечества 2003 – Национальная стратегия обеспечения безопасности киберпространства ВЫДЕЛЕННЫЙ ТЕКСТ 2005 – ISO/IEC 17799 2007 - ANSI/ISA 99 Standards - Security for Industrial Automation and Control Systems • Требования государственных регуляторов практически отсутствуют • Требования международных стандартов, лучших практик для компаний другого профиля применимы для классического ИТ и не применимы для АСУ и АСУТП • Разработка нормативной документации требует иного подхода 3
- 4. ANSI/ISA 99 Series ISA99 Common Security Program Technical - System Technical - Component ISA-TR99.03.01 ISA-99.01.01 ISA-99.02.01 Security Technologies ISA-99.04.01 ВЫДЕЛЕННЫЙ ТЕКСТ Establishing an IACS for Industrial Automation Embedded Devices Terminology, Concepts and Control Systems and Models Security Program ISA-TR99.02.03 Patch ISA-99.04.02 Management in the IACS Environment Host Devices ISA-TR99.01.02 Master ISA-99.02.01 Glossary Terms and Establishing an IACS Abbreviations Security Program ISA-99.03.03 System Security Requirements ISA-99.04.03 and Security Assurance Network Devices Levels ISA-TR99.02.03 ISA-99.01.03 System ISA-99.03.04 Patch Management in ISA-99.04.04 Security Compliance the Product Development Applications, Data And Metrics IACS Environment Requirements Functions Complete In Progress Planned Security for Industrial Automation and Control Systems 4
- 5. Основная концепция ANSI/ISA99 “Zones and Conduits” “Security zone: grouping of logical or physical assets that share common security requirements”. [ANSI/ISA-99.01.01–2007-3.2.116] ВЫДЕЛЕННЫЙ ТЕКСТ Группировка логических или физических активов, которые имеют общие требования безопасности conduit HMI (human-machine interface) Zone Controller Zone 5
- 6. Уровни безопасности Длязон предполагается назначение уровней безопасности • Целевой уровень безопасности основывается на таких факторах, как критичность, так и важность. ВЫДЕЛЕННЫЙ ТЕКСТ • Оборудование в зоне будет соответствовать уровню безопасности. • Если они не соответствуют, вам нужно добавить технологию безопасности и/или политики, чтобы сделать их таковыми. • Контроль сети исходя из зоны, базирующейся на функции управления. • Несколько отдельных зон позволяют обеспечить принцип «defense in depth». 6
- 7. Уровни безопасности Пример: нефтеперерабатывающий завод 7
- 8. Определение зон Пример: нефтеперерабатывающий завод 8
- 9. Добавление «трубопроводов» Пример: нефтеперерабатывающий завод 9
- 10. Инициатива Ассоциация профессионалов в области информационной безопасности ВЫДЕЛЕННЫЙ ТЕКСТ 10
- 11. Ассоциация профессионалов вобласти информационной безопасности Предпосылки: • «пробелы» во взаимоотношениях государственных регуляторов с субъектами деятельности по защите информации; • слабая интеграция профессионального сообщества; ВЫДЕЛЕННЫЙ ТЕКСТ • неоцененность проблематики информационной безопасности. Инициатива - группа специалистов в области информационной безопасности Миссия - создание благоприятных условий для реализации потребностей граждан, бизнеса и государственных органов в области защиты информации. Концепция 11
- 12. Цели 1. Формирование сообщества профессионалов в области информационной безопасности; 2. Продвижение идей информационной безопасности; ВЫДЕЛЕННЫЙ ТЕКСТ 3. Создание площадки для обмена опытом профессионального сообщества; 4. Участие в нормотворчестве от лица «бизнеса»; 5. Обучение и повышение квалификации; 6. Консалтинг в области обеспечения ИБ с учётом требований Казахстанского законодательства. 7. Создание кадрового резерва; 8. Поддержка казахстанских решений в области ИБ. Ассоциация ИТ безопасности 12
- 13. Задачи 1. Сбор, обработка и предоставление информации участникам об актуальных угрозах, способах их устранения и минимизации рисков; 2. Взаимодействие с государственными органами в рамках предложений по совершенствованию законодательной и нормативной правовой базы в области ИБ, выработке государственной политики в области развития ИБ в РК, ВЫДЕЛЕННЫЙ ТЕКСТ содействия в разработке и внедрении национальных и отраслевых стандартов в области ИБ; 3. Формирование кадрового резерва, работы с вузами страны, помощь в трудоустройстве; 4. Формирование национальной системы сертификации специалистов ИБ, координация работ по повышению компетенций, проведение независимой аттестации сотрудников ИБ 5. Участие в разработке отраслевых стандартов, экспертиза проектов ИБ, внутренних ОРД, формирование списков добросовестных и недобросовестных поставщиков услуг и оборудования на рынке безопасности. Ассоциация ИТ безопасности 13
- 14. Организация 1. под эгидой консорциума (ISC)2 2. Под эгидой международной ассоциации ISACA 3. ОЮЛ ВЫДЕЛЕННЫЙ ТЕКСТ 4. ТОО 5. Некоммерческая организация 6. варианты… Ассоциация ИТ безопасности 14
- 15. Фундамент От лицагруппы приглашаю всех желающих подключиться к созданию ассоциации. Площадка для общения - группа в LinkedIn “Information Security Community. Kazakhstan” Ассоциация ИТ безопасности 15
- 16. Спасибо за внимание! Андрей Редько ВЫДЕЛЕННЫЙ ТЕКСТ andrey.redko@kazakhmys.com 16