3. Что делать?
• Поднять образ из резервной копии
• Принять меры по предотвращению
распространения
• Провести расследование заражения
• Предпринять меры по недопущению
повторного инцидента
• Передать информацию об инциденте
в ГосСОПКА
4. С т.з. ответственного за ИБ АСУ ТП
• Быстро узнать о инциденте
• Организовать и отслеживать деятельность
специалистов из разных департаментов (АСУ ТП, ИТ, ИБ)
• Параллельно вести несколько инцидентов или
процессов по работе с инцидентом
• Спланировать дальнейшие шаги
• Подготовить отчётность
5. Что ещё может помочь?
Во время:
• Инвентаризационная информация и данные о
критичности объекта
• База знаний о инцидентах и их решении
После:
• Проверка, что все «дырки» закрыты
• Актуализация перечня угроз и рисков
6. Управление кибербезопасностью АСУ ТП
• Организация деятельности по управлению
инцидентами ИБ
• Инвентаризации объектов защиты АСУ ТП
• Оценка рисков ИБ
• Создание и поддержка базы знаний о
инцидентах ИБ
• Периодический анализ защищённости АСУ
ТП
Необходима автоматизация деятельности
• Много объектов
• Много филиалов
• Мало специалистов
• Мало времени
7. Система управления Кибербезопасностью
• Отечественная разработка
• Модульность системы, подключение
внешних систем через коннекторы
• Реализовано:
– Сбор событий ИБ с уровня технологической
сети
– Управление инцидентами ИБ
– Идентификация объектов защиты
– Управление уязвимостями
– Оценка соответствия требованиям
8. Логическая схема Системы
Уровень управления
кибербезопасностью
Ситуационный и
аналитический уровень
Уровень мониторинга
Руководитель по
кибербезопасности
Аппарат управления
РГ по кибербезопасности АСУ
ТП
Центральная диспетчерская
Средства сбора инф-ции и
мониторинга ИБ
Пром. площадка
9. Уровень мониторинга
• Идентификация устройств, сбор
данных
• Сбор, анализ и корреляция
событий ИБ
• Обнаружение сетевых аномалий
• Обнаружение управляющих
команд, нарушающих ТП
Industrial Ethernet
PLC
SIEM
АРМ
Оператора
АРМ
Инженера
Сервер БД
Межсетевой
экран
Мониторинг
ИБ тех. сети
10. Ситуационный и аналитический уровень
Локальный СЦК
Подключаемые
модули
Сервер управления
Кибербезопасностью
Оповещение
Регистрация
инцидентов
вручную
Информация об
инцидентах
Инженеры ИТ,
ИБ, АСУ ТП
Сигнал тревоги
ответственным
Уровень
мониторинга
Дежурный
диспетчер
12. Уровень управления
Вывод информации на
корпоративный портал:
• Сводка по инцидентам и их
нейтрализации
• Отчёты с индикаторами
безопасности АСУ ТП
• Планирование управленческих
решений
13. Обобщённый опыт построения Системы
Типовой объект защиты:
• Дирекция и 15-25 филиалов по
территории РФ
• 20-50 технологических
установок
• от 500 до 2500 и более
сотрудников
Реализовано более 10 проектов по созданию
Системы управления кибербезопасностью