Документ описывает основные векторы атак на автоматизированные системы управления (АСУ) технологическими процессами, такие как сканирование сетей и внедрение вредоносных программ. Он также содержит требования к защите информации в АСУ, классификацию систем по уровням значимости информации и меры по обеспечению безопасности. К документу прилагаются изменения и требования ФСТЭК России к эксплуатации и защите АСУ.

1. Заместитель начальника управления ФСТЭК России
ТОРБЕНКО Елена Борисовна

2. РАСПРОСТРАНЕННЫЕ ВЕКТОРЫ АТАК НА АСУ ТП
Сканирование сети АСУ ТП с последующим
подключением к элементам SCADA-системы
Внедрение вредоносных программ в АСУ ТП
через съемные носители информации
Подключение к элементам SCADA-систем за счет
наличия слабых механизмов аутентификации
Инициирование путем отправки специальных
запросов сбоев программного обеспечения
SCADA-систем за счет отсутствия механизмов
корректной обработки исключений и
возможности переполнения буфера
Внедрение вредоносных программ в АСУ ТП
через смежные информационные системы
2

3. ПРИКАЗ ФСТЭК РОССИИ ОТ 14 МАРТА 2014 Г. № 31
«Об утверждении Требований к
обеспечению защиты информации в
автоматизированных системах
управления производственными и
технологическими процессами на
критически важных объектах,
потенциально опасных объектах, а
также объектах, представляющих
повышенную потенциальную
опасность для жизни и здоровья
людей и для окружающей
природной среды»
3

4. АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ
КАК МНОГОУРОВНЕВАЯ СТРУКТУРА
операторские (диспетчерские), инженерные
автоматизированные рабочие места,
промышленные серверы (SCADA-серверы) с
установленным на них общесистемным и
прикладным программным обеспечением,
телекоммуникационное оборудование
(коммутаторы, маршрутизаторы, межсетевые
экраны, иное оборудование), а также каналы связи
программируемые логические контроллеры, иные
технические средства с установленным
программным обеспечением, получающие данные с
нижнего (полевого) уровня, передающие данные на
верхний уровень для принятия решения по
управлению объектом и (или) процессом и
формирующие управляющие команды
(управляющую (командную) информацию) для
исполнительных устройств, а также промышленная
сеть передачи данных
датчики, исполнительные механизмы, иные
аппаратные устройства с установленными в них
микропрограммами и машинными контроллерами.
Диспетчерский уровень
Уровень контроллеров
Полевой уровень
4

5. ЗАЩИТА ПРИ
ВЫВОДЕ ИЗ
ЭКСПЛУАТАЦИИ
АСУ ТП
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ
ИНФОРМАЦИИ В ХОДЕ
ЭКСПЛУАТАЦИИ АСУ ТП
ВНЕДРЕНИЕ СИСТЕМЫ
ЗАЩИТЫ АСУ ТП
РАЗРАБОТКА
СИСТЕМЫ ЗАЩИТЫ
АСУ ТП
ФОРМИРОВАНИЕ
ТРЕБОВАНИЙ К ЗАЩИТЕ
ИНФОРМАЦИИ
В АСУ ТП
ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ ЗАЩИТЫ АСУ ТП 5

6. КЛАССИФИКАЦИЯ АСУ ТП
класс
АСУ
уровню значимости
информации в АСУ
=
конфиденциальность,
уровень ущерба
целостность,
уровень ущерба
доступность,
уровень ущерба
1 2 3
постановление Правительства РФ от 21 мая
2007 г. № 304 «О классификации ЧС
природного и техногенного характера»
6

7. ИЗМЕНЕНИЕ ТРЕБОВАНИЙ
О ЗАЩИТЕ ИНФОРМАЦИИ В ИСПДН И В АСУ ТП КВО
ФСТЭК России
ПРИКАЗ
от 23 февраля 2017 г. № 49
О внесении изменений
в приказы ФСТЭК России
от 18 февраля 2013 г. № 21
и от 14 марта 2014 г. № 31 Класс защ-ти АСУ ТП Класс защиты СЗИ
1 4
2 5
3 6
Состав и содержание организационных
и технических мер по обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных данных,
утвержденные приказом ФСТЭК России
от 18 февраля 2013 г. № 21
Требования к обеспечению защиты информации в
автоматизированных системах управления
производственными и технологическими
процессами на критически важных объектах,
потенциально опасных объектах, а также
объектах, представляющих повышенную
опасность для жизни и здоровья людей и для
окружающей природной среды, утвержденные
приказом ФСТЭК России
от 14 марта 2014 г. № 31
7

8. Отсутствие
отрицательного
влияния на штатный
режим
функционирования
Обеспечение:
СПЕЦИФИКА РЕАЛИЗАЦИИ МЕР ЗАЩИТЫ ИНФОРМАЦИИ
В АСУ ТП
8

9. ГРУППЫ МЕР ЗАЩИТЫ ИНФОРМАЦИИ
I. Идентификация и
аутентификация субъектов
доступа и объектов доступа
(ИАФ)
V. Регистрация событий
безопасности (РСБ)
II. Управление доступом
субъектов доступа к объектам
доступа (УПД)
IV. Защита машинных носителей
информации (ЗНИ)
III. Ограничение программной
среды (ОПС)
VI. Антивирусная защита (АВЗ)
VII. Обнаружение вторжений (СОВ)
IX. Обеспечение целостности
(ОЦЛ)
X. Обеспечение доступности (ОДТ)
XI. Защита среды виртуализации
(ЗСВ)
XII. Защита технических средств
(ЗТС)
XIII. Защита автоматизированной
системы и ее компонентов (ЗИС)
XIV. Обеспечение безопасной
разработки программного
обеспечения (ОБР)
XV. Управление обновлениями
программного обеспечения (ОПО)
XVI. Планирование мероприятий
по обеспечению защиты
информации (ПЛН)
XVII. Обеспечение действий в
нештатных (непредвиденных)
ситуациях (ДНС)
XVIII. Информирование и обучение
персонала (ИПО)
XIX. Анализ угроз безопасности
информации и рисков от их
реализации (УБИ)
XX. Выявление инцидентов и
реагирование на них (ИНЦ)
XXI. Управление конфигурацией
АСУ и ее системы защиты (УКФ)
9

10. Диспетчерский
уровень
Уровень
контроллеров
Полевой уровень
АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ
КАК МНОГОУРОВНЕВАЯ СТРУКТУРА
10

11. ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ
ТРЕБОВАНИЯ К ОПЕРАЦИОННЫМ СИСТЕМАМ
ФСТЭК России
ПРИКАЗ
от 9 февраля 2016 г. № 9
Требования
к межсетевым экранам
11
ФСТЭК России
ПРИКАЗ
от 19 августа 2016 г. №119
Требования
безопасности информации
к операционным системам

12. МЕЖСЕТЕВЫЕ ЭКРАНЫ ТИПА «Д»
УРОВНЯ ПРОМЫШЛЕННОЙ СЕТИ
12
Автоматизированная система управления
технологическими процессами
Межсетев
ой экран
типа «Д»
Межсетев
ой экран
типа «Д»
Уровень
операторского
управления
Уровень
автоматического
управления
Уровень
исполнительных
устройств
12

13. ОПЕРАЦИОННЫЕ СИСТЕМЫ ТИПА «В»
РЕАЛЬНОГО ВРЕМЕНИ
13
Операционная
система
типа «В»
Операционная
система
типа «В»
Операционная
система
типа «В»
Повышенные требования к отказоустойчивости и
надёжности
Приоретизация процессов
Выполнение определённых процессов строго
в установленный интервал времени
Модульная архитектура
Повышенные требования к корректности
архитектуры и реализации
Верификация модели и реализации
13

14. В БДУ содержатся сведения:
•о 194 угрозах безопасности информации;
•более чем о 16 500 уязвимостях ПО
СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Ведение учетной записи в
Twitter
Выгрузка данных в XML
Возможность осуществления
RSS-подписки
Расширение функциональных
возможностей БДУ
Расширение сведений об
угрозах и уязвимостях
Реализация классификации
угроз
14

15. Заместитель начальника управления ФСТЭК России
ТОРБЕНКО Елена Борисовна