Документ предоставляет обзор мировых стандартов по информационной безопасности автоматизированных систем управления технологическими процессами, включая рекомендации по их применимости в российских условиях. Описаны ключевые международные и отечественные стандарты, такие как NIST, ISA и Гост, а также критерии оценки угроз безопасности. Приведены советы по разработке собственных стандартов с учетом специфики российской отрасли.

1. Обзор мировых
стандартов ИБ АСУ
ТП и советы по их
применимости в
российских
условиях
Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/39

2. 3 подхода в разработке стандартов по
безопасности АСУ ТП
Нишевый
стандарт
Из общих
С нуля
требований
Стандарт
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/39

3. Обзор стандартов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/39

4. Рекомендации NERC CIP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/39

5. Стандарт ISA SP99
 ISA 99.00.01 Security for Industrial Automation and
Control Systems: Concepts, Models and Terminology
 ISA 99.00.02 Establishing an Industrial Automation and
Control Systems Security Program
 ISA 99.00.03 Operating an Industrial Automation and
Control Systems Security Program
 ISA 99.00.04 Specific Security Requirements for
Industrial Automation and Control Systems
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/39

6. American Petroleum Institute
 API Security Guidelines for
the Petroleum Industry
 API Security Vulnerability
Assessment Methodology for
the Petroleum and
Petrochemical Industries
 API 1164 «SCADA Security»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/39

7. American Gas Association (AGA 12)
 AGA 12-1 Background, Policies and Test Plan
 AGA 12-2 Retrofit Link Encryption for Asynchronous Serial
Communications
 AGA 12-3 Protection of Networked Systems
 AGA 12-4 Protection Embedded in SCADA Components.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/39

8. Стандарты IEC
 International Electrotechnical Commission
 IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06
on Data and Communication Security»
 IEC 61784-4 «Digital data communications for
measurement and control – Profiles for secure
communications in industrial networks»
 IEC 62443 «Security for industrial process measurement
and control – Network and system security»
 IEC 62351 «Data and Communication Security»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/39

9. IEC 62351
 IEC 62351 «Data and Communication Security»
IEC 62351-1: Data and Communication Security – Introduction
IEC 62351-2: Data and Communication Security – Glossary of
Terms
IEC 62351-3: Data and Communication Security – Profiles
Including TCP/IP
IEC 62351-4: Data and Communication Security – Profiles
Including MMS
IEC 62351-5: Data and Communication Security – Security for IEC
60870-5 and Derivatives (i.e. DNP 3.0)
IEC 62351-6: Data and Communication Security – Security for IEC
61850 Profiles
IEC 62351-7: Data and Communication Security – Security
Through Network and System Management
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/39

10. Связь стандартов IEC по PCN с
IEC62351
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/39

11. Другие стандарты для энергетики
 Проект ISO 27009. Information security management
guidelines for process control systems used in the energy
utility industry on the basis of ISO/IEC 27002
 Advanced Metering Infrastructure(AMI) System Security
Requirements
 Security Profile for Advanced Metering Infrastructure
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/39

12. Стандарты IEEE
 IEEE 1402 «IEEE Guide for Electric Power Substation
Physical and Electronic Security»
 IEEE 1686-2007, IEEE Standard for Substation Intelligent
Electronic Devices(IED) Cyber Security Capabilities
 IEEE P1711 - Trial Use Standard for a Cryptographic
Protocol for Cyber Security of Substation Serial Links
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12/39

13. Стандарты NIST
 NIST SP800-82 «Guide to Industrial Control Systems
(ICS) Security»
 NIST SP800-53 «Security and Privacy Controls for
Federal Information Systems and Organizations»
 NISTIR 7628 Guidelines for Smart Grid Cyber Security
 NIST PCSRF Security Capabilities Profile for Industrial
Control Systems
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/39

14. Сертификация по «Общим критериям»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/39

15. Другие стандарты
 Guidance for Addressing Cyber Security in the Chemical
Industry
 FERC Security Standards for Electric Market Participants
Security Guidelines for the Natural Gas Industry
 Cisco SAFE for PCN
 GB/T 22239-2008 “Baseline for classified protection of
information system security”
China National Information Technology Standardization
 Good Practice Guide, Process Control and SCADA
Security (UK)
Centre for the Protection of National Infrastructure(CPNI)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/39

16. Краткое резюме
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/39

17. Краткое резюме (продолжение)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/39

18. Краткое резюме (продолжение)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/39

19. Краткое резюме (окончание)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/39

20. Но проще почитать NIST SP800-82
 Общим руководством
по защите АСУ ТП и
выбору
необходимого
стандарта является
руководство NIST
SP800-82
Выпущен в июне 2011
года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/39

21. Стандарты РФ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/39

22. Нормативные документы ФСТЭК
 Методика определения актуальных угроз
безопасности информации в ключевых системах
информационных инфраструктурах
 Общие требования по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
 Базовая модель угроз безопасности информации в
ключевых системах информационных
инфраструктурах
 Рекомендации по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
Утверждены 18 мая 2007 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/39

23. Требования по защите КСИИ 1-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Управление доступом 1Г 1В 1Б
Регистрация и учет 1Г 1В 1Б
Обеспечение целостности 1Г 1В 1Б
Обеспечение безопасного межсетевого
4 3 2
взаимодействия в КСИИ
Уровень контроля отсутствия НДВ 4 3 2
Антивирусная защита + + +
Анализ защищенности + + +
Обнаружение вторжений + + +
Требования доверия к безопасности + + +
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/39

24. Требования по защите КСИИ 2-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Планирование обеспечения безопасности + + +
Действия в непредвиденных ситуациях + + +
Реагирование на инциденты + + +
Оценка рисков + + +
Защита носителей информации + + +
Обеспечение целостности + + +
Физическая защита и защиты среды + + +
Безопасность и персонал + + +
Информирование и обучение по вопросам ИБ + + +
Защита коммуникаций + + +
Аудит безопасности + + +
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/39

25. Стандарты Газпрома
 Стандарты Газпрома по ИБ
СТО Газпром 4.2-0-004-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Базовая
модель угроз информационной безопасности корпоративным
информационно-управляющим системам
СТО Газпром 4.2-3-001-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Руководство
по разработке требований к объектам защиты
СТО Газпром 4.2-3-003-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Правила
оценки рисков
СТО Газпром 4.2-3-004-2009 Система обеспечения
информационной безопасности ОАО «Газпром». Правила
классификации объектов защиты
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/39

26. Стандарты Газпрома
 Стандарты Газпрома по безопасности АСУ ТП
Р Газпром 4.2-0-003. Типовая политика информационной
безопасности автоматизированных систем управления
технологическими процессами
СТО Газпром 4.2-2-002. Система обеспечения
информационной безопасности ОАО «Газпром». Требования к
автоматизированным системам управления технологическими
процессами
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/39

27. Можно ли
применять в
России
международные
стандарты?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/39

28. Что включено в международные
стандарты по ИБ АСУ ТП?
Источник: SCADA System Cyber Security – A Comparison of Standards
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/39

29. От каких угроз защищаемся?
Актуальна ли
тема поддержки
ГОСТа?
Источник: SCADA System Cyber Security – A Comparison of Standards
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/39

30. Как построен NIST SP800-82?
 FIPS PUB 2000
Определяет 17 областей
с минимальным набором
требований по ИБ
 NIST SP800-53
Определяет порядок
выбора нужных защитных
мер
 Все государственные
ИС (включая и АСУ ТП)
должны строиться на
базе этих требований
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/39

31. Можно ли на базе ISO27001/27002?
Источник: SCADA System Cyber Security – A Comparison of Standards
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/39

32. Надо комбинировать
 В мае 2006 года в рамках
Chemical Sector Cyber
Security Program советом
по ИТ химической
индустрии (Chemical
Information Technology
Council, ChemITC) в рамках
американского совета
химической индустрии были
предложены рекомендации
по информационной
безопасности в основу
которых легли стандарты
ISOIEC 17799 и ISA-SP99
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/39

33. Общие
требования по
обеспечению
безопасности
КСИИ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/39

34. Рецепт хорошего стандарта
 Чтобы разрабатывать стандарт по безопасности АСУ
ТП на базе какого-либо имеющегося документа
необходимо чтобы этот документ включал в себя все
основные требования по безопасности
Примером является FIPS PUB 200 / NIST SP800-53 в США или
ISO 27001-27005 в мире
В России таких целостных и всесторонних нормативных
документов пока нет
 Добавить специфику АСУ ТП
Лучше ориентироваться на NERC CIP, ISA SP99, NISTIR 7628
 Добавить отраслевую специфику
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/39

35. Где взять специфику АСУ ТП?
 Cyber Security
Procurement Language
for Control Systems
 Документ (145 стр.)
аккумулирует
принципы ИБ, которые
должны учитываться
при разработке и
приобретении АСУ ТП
и сервисов с ней
связанных
 Это рекомендация –
не стандарт
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/39

36. Отраслевая специфика
В России еще ГАС «Выборы», кадастры и все, что
влияет на национальную безопасность
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/39

37. Кулинарная книга разработчика
 Специально для
разработки
отраслевых
стандартов
существует набор
рекомендаций,
которые должны
включаться (не
забываться) при
создании
собственного набора
требований по
безопасности АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/39

38. Опыт в России есть! Надо только
начать!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/39

39. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/39