Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления

2,770 views

Published on

Презентация с конференции "Безопасность промышленных систем автоматизации и управления". 28 мая 2015 года, Волгоград.

В рамках доклада были рассмотрены вопросы построения системы анализа и мониторинга состояния информационной безопасности автоматизированных систем.

Published in: Technology
  • Be the first to comment

Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления

  1. 1. 28  мая  2015  года Волгоград Компания  УЦСБ Алексей  Комаров Построение  системы  анализа  и  мониторинга   состояния  информационной  безопасности   автоматизированных  систем  управления
  2. 2. Содержание • Компания УЦСБ • Состояние обеспечения ИБ АСУ ТП типовой промышленной компании • Проблематика обеспечения ИБ АСУ ТП в процессе эксплуатации • Предложения по реализации мероприятий по обеспечению ИБ АСУ ТП в процессе эксплуатации • Целевое состояние обеспечения ИБ АСУ ТП
  3. 3. Компания  УЦСБ — Основана  в  2007 — Оборот  в  2014  >  2  млрд  руб. — Сотрудники  ~300 только  10%  административные  и  пр. — Екатеринбург  +2  часа Вы  просыпаетесь  – мы  уже  работаем Уходите  с  работы  – мы  ещё  работаем — Направления  деятельности ИБ,  ИТ, ТСО,  инженерные  системы,  ЦОДы,  НИР,  НИОКР,  R&D 3
  4. 4. УЦСБ  и  ИБ  АСУ  ТП — Исследования  по  теме  ИБ  АСУ  ТП — Анализ  мирового  и  отечественного  опыта — Собственные  исследования  и  оценка   защищённости — Аудиты  действующих  АСУ  ТП,  моделирование   угроз  и  разработка  требований  и  методов   обеспечения  ИБ  АСУ  ТП — Создание  систем  обеспечения  ИБ  АСУ  ТП — Включая  разработку  нормативной  документации   (корпоративные и  отраслевые  стандарты) — Разработка  собственных  решений 4
  5. 5. Обеспечение  ИБ  АСУ  ТП Система  обеспечения  ИБ   АСУ  ТП  типовой  компании Организационная  основа Эксплуатация  средств  защиты   информации:  службы   автоматизации  и  связи. Контроль  за  состоянием  ИБ:   службы  ИБ. Документальная  основа Стандарты  и  организационно-­ распорядительные  документы  по   обеспечению  ИБ. Требования  по  созданию  и   эксплуатации  АСУ  ТП Техническая  основа Создание  систем  защиты  информации  для   новых  объектов
  6. 6. Документальная  основа  обеспечения  ИБ АСУ  ТП СтандартыКонцепция информационной   безопасности Компании Политика   информационной   безопасности   Компании Стандарты Стандарты Требования Требования … … …
  7. 7. Организационная  основа  обеспечения  ИБ  АСУ  ТП • Задание  требований • Экспертиза  проектной  документации • Контроль  состояния  ИБ Подразделения  безопасности • Эксплуатация  систем  и  средств  защиты  (встроенные   механизмы,  наложенные  средства) Управления  автоматизации • Эксплуатация  систем  и  средств  защиты   (межсетевые  экраны,  системы  обнаружения   вторжений) Управления  связи
  8. 8. Техническая  основа  обеспечения  ИБ  АСУ  ТП При  создании  и  реконструкции   АСУ  ТП В  обязательном  порядке   предусматриваются  системы   защиты  информации  АСУ  ТП Для  действующих АСУ  ТП Системы  защиты  информации   АСУ  ТП  отдельно  не   реализуются
  9. 9. Корпоративные  ИУС  и  АСУ  ТП  как  объекты  защиты Корпоративные  ИУС АСУ  ТП 1.  Принципы  построения  систем   Преимущественно  централизованные  системы  со   схожей  архитектурой  построения Иерархия разнородных  систем.  Каждая  отдельно   взятая  система  уникальна 2.  Ориентация  на  работу  с  пользователями Ориентирована на  взаимодействие  с   пользователем  на  всех  уровнях Степень взаимодействия  с  пользователем  зависит   от  уровня  иерархии  АСУ  ТП ИУС  В ИУС  Б ИУС  А Уровень дочернего  общества СДКУ СППДР Уровень филиала СДКУ СППДР Уровень техн.  комплекса СДКУ СППДР Уровень техн.  объекта АСУ  ЭСАУАСУ  ТП
  10. 10. АСУ  ТПКорпоративные  ИУС Техническая  основа  ИБ  типовой  компании СДКУ СППДР СДКУ СППДР ПКУ  ТК СКУ  ТК СППР АСУ  Э  ТК АСУ  ТП  объекта СОДУ  филиала СОДУ  дочернего  общества ИАСУ  ТП  ТК СЗИ СЗИ СЗИКомплексная  система   защиты  информации Подсистема регистрации и учета Подсистема централизованног о управления СрЗИ Подсистема управления доступом Подсистема обеспечения целостности Подсистема обеспечения непрерывности функционирования КСЗИ Подсистема контроля защищенности Подсистема криптографическо й защиты Подсистема обеспечения сетевой безопасности Подсистема защиты от вредоносного кода и спама Подсистема управления учетными записями Подсистема контроля использования информационных ресурсов Защищенный узел доступа Система управления доступом к сетевому оборудованию Система безопасного доступа к Интернету
  11. 11. Факторы,  влияющие  на  обеспечение   ИБ  АСУ  ТП  в  процессе  эксплуатации 11 из  23 Внесение  изменений  в  АСУ  ТП  в  ходе   эксплуатации: • Плановое  обновление  в  ходе  ТО. • Замена  вышедших  из  строя   компонентов. • Несанкционированные  или  случайные   отключения  СрЗИ. Появление  новых  уязвимостей: • Общесистемного  ПО. • Специализированного  ПО  АСУ  ТП. • В  результате  вносимых  изменений  в   АСУ  ТП.
  12. 12. • Планирование   корректирующих   мероприятий • Увеличение  затрат   на  контроль   соответствия   требованиям  ИБ Отраслевые  нормативные  документы Федеральные  нормативные  документы Расширение  требований  и  совершенствование   подходов  к  обеспечению  ИБ  АСУ  ТП Основные   направления   гос.  политики  в   области   обеспечения   безопасности  АСУ   КВО Приказ  ФСТЭК   России  №31 Требования  к   обеспечению   защиты  информации   в  АСУ  КВО Типовые   технические   требования  и   решения Типовые   технические   требования  и   решения Типовые   технические   требования  и   решения Проект  ФЗ   О  безопасности   критической   информационной   инфраструктуры  РФ
  13. 13. Положения  нормативных  документов  по   обеспечения  ИБ  в  процессе  эксплуатации  АСУ  ТП 256-­ФЗ  от   21.07.2011   О  безопасности   объектов  ТЭК Приказ  ФСТЭК   России  №31 Требования  к   обеспечению   защиты   информации  в   АСУ  КВО Статья  11.  Обеспечение  безопасности  информационных  систем   объектов  ТЭК 1.  В  целях  обеспечения  безопасности  …  субъекты  ТЭК  создают  системы   защиты  информации  и  обеспечивают  функционирование  таких  систем. Обеспечение  защиты  информации  в  ходе  эксплуатации   автоматизированной  системы  управления 16. Обеспечение  защиты  информации  …  включает  следующие  процедуры: • управление  (администрирование)  системой  защиты;; • выявление  инцидентов  в  ходе  эксплуатации;; • управление  конфигурацией  АСУ  и  ее  системы  защиты;; • контроль  (мониторинг)  за  обеспечением  уровня  защищенности  АСУ.
  14. 14. Мероприятия  по  обеспечению  ИБФакторы Связь  факторов,  влияющих  на  обеспечение  ИБ   АСУ  ТП,  с  мероприятиями  по  обеспечению  ИБ • Контроль  конфигураций • Инвентаризация  объектов  защиты • Управление  событиями  ИБ • Контроль  защищенности   компонентов  АСУ  ТП • Выявление  компьютерных  атак • Автоматизация  контроля   соответствия  требованиям  по  ИБ Изменения  в  процессе   эксплуатации  АСУ  ТП Появление  новых   уязвимостей  компонентов   АСУ  ТП Изменение  требований  и   совершенствование   подходов  к  обеспечению  ИБ   АСУ  ТП
  15. 15. Контроль  конфигураций  компонентов  АСУ  ТП Сбор  конфигураций  и  выявление  несанкционированных  изменений  конфигураций.   Оценка  выполнения  требований  по  безопасной  конфигурации Инвентаризация  объектов  защиты Определение  текущего  состава  компонентов  АСУ  ТП(инвентаризация). Выявление  несанкционированных  изменений Управление  событиями  безопасности Сбор,  нормализация  и  корреляция  событий  от  средств  защиты и  компонентов  АСУ  ТП. Выявление  инцидентов  ИБ Обеспечение  сетевой  безопасности  (выявление  компьютерных  атак) Обнаружение  компьютерных  атак  в  технологической  сети  АСУ  ТП. Обнаружение  сетевых  аномалий Автоматизация  контроля соответствия  требованиям  ИБ  и  контроля защищенности Выявление  существующих  уязвимостей  компонентов  АСУ  ТП  (сканирование  защищенности). Оценка  выполнения  установленных  требований  ИБ  и  выявление  несоответствий Функции  анализа  и  мониторинга  состояния  ИБ   АСУ  ТП
  16. 16. Уровень  объекта Уровень  филиала Уровень  предприятия АСУ  ТПСистема  анализа  и  мониторинга  состояния  ИБ АСУ ТП Функциональная  структура  системы  анализа  и   мониторинга  состояния  ИБ  АСУ  ТП Обнаружен.   атак Инвентари-­ зация,  сбор   конфигурац. Обнаружен.   атак Инвентари-­ зация,  сбор   конфигурац. Обнаружен.   атак Сбор  и   нормализ.   событий  ИБ Инвентари-­ зация,  сбор   конфигурац. Контроль   конфиг. Оценка   требов. Выявление   инцидентов   ИБ СДКУ,   СППДР СДКУ,   СППДР,   СЛТМ АСУ  ТП,   АСУ  Э,   САУ Сканир.   защищен-­ ности Корреляция   событий  ИБ Контроль   конфиг. Корреляция   событий  ИБ Сканир.   защищен-­ ности Сбор  и   нормализ.   событий  ИБ Сканир.   защищен-­ ности Сбор  и   нормализ.   событий  ИБ
  17. 17. Режимы  работы  системы  анализа  и   мониторинга  состояния  ИБ  АСУ  ТП Пассивный   мониторинг Активный   мониторинг Сканирование   защищенности Контроль  конфигураций Инвентаризация  объектов  защиты Обеспечение  сетевой  безопасности (выявление  комп.  атак) Управление  событиями  ИБ Автоматизация  контроля   соответствия  и  защищенности Пассивный  мониторинг: однонаправленное  получение  информации,  мониторинг  на  основе  анализа  сетевого   трафика,  без  воздействия  на  компоненты  АСУ  ТП Сканирование  защищенности: выявление  уязвимостей  компонентов  АСУ  ТП Активный  мониторинг: взаимодействие  с  компонентами  АСУ  ТП  (запрос-­ответ),  сбор  конфигураций  и  событий
  18. 18. Варианты  реализации  системы  анализа  и   мониторинга  состояния  ИБ  АСУ  ТП Расширение   комплекса   существующих   средств Комплекс специализирова нных  средств   отечественной   разработки Комплекс специализиров анных  средств   иностранной   разработки Контроль  конфигураций  компонентов   АСУ  ТП Max Patrol Эфрос-­CI Industrial Defender Инвентаризация  объектов  защиты Max Patrol DATAPK Industrial Defender Управление  событиями  безопасности ArcSight DATAPK Industrial Defender Обеспечение  сетевой  безопасности   (выявление  комп.  атак) Check   Point DATAPK Industrial   Defender Автоматизация  контроля  соответствия   требованиям  ИБ  и  контроля   защищенности Max  Patrol DATAPK Industrial   Defender Мероприятия  по   обеспечению  ИБ Вариант  реализации
  19. 19. Сравнение  вариантов  реализации Расширение  комплекса   существующих  средств Комплекс специализированных   средств   отечественной   разработки Комплекс специализированных   средств  иностранной   разработки Требования  к   вычислительной   инфраструктуре Требуется установка  агентов   на  СВТ  АСУ  ТП Безагентная система Требуется установка   агентов  на  СВТ  АСУ   ТП Возможности  по   контролю  за   нагрузкой  на   каналы  связи • Расписание использования   каналов  связи • Ограничение   полосы   пропускания • Расписание использования   каналов  связи • Ограничение   полосы   пропускания • Расписание использования   каналов  связи • Ограничение   полосы   пропускания Объем   передаваемых   данных  между   уровнями  иерархии Значительный Минимальный Значительный Параметр   сравнения Вариант
  20. 20. Сравнение  вариантов  реализации  (2) Расширение  комплекса   существующих  средств Комплекс специализированных   средств   отечественной   разработки Комплекс специализированных   средств  иностранной   разработки Требования  к   инженерной   инфраструктуре • Монтажный  шкаф • Кондиционирование   • Гарантированное   электроснабжение Соответствуют требованиям   компонентов   защищаемой   АСУ  ТП • Монтажный  шкаф • Кондиционирование   • гарантированное   электроснабжение Степень   реализации   функций   системы Избыточная Достаточная Достаточная Порядок   стоимости Параметр   сравнения Вариант Проведена  апробация  решения
  21. 21. АСУ  ТП СДКУ СППДР СДКУ СППДР ПКУ  ТК СКУ  ТК СППР АСУ  Э  ТК АСУ  ТП  объекта СОДУ  филиала СОДУ  дочернего  общества ИАСУ  ТП  ТК Система  анализа  и  мониторинга   состояния  ИБ Корпоративные  ИУС Целевое  состояние  обеспечения  ИБ в  типовой  компании СЗИ СЗИ СЗИ СЗИ СЗИ Корпоративная  система  управления  ИБ Комплексная   система  защиты   информации
  22. 22. Заключение Создание системы анализа и мониторинга состояния ИБ АСУ ТП позволит: — Получать оперативную информацию о состоянии ИБ объектов АСУ ТП промышленной компании. — Обеспечить контроль соответствия требованиям ИБ и планирование мероприятий по приведению в соответствие. — Выявить предпосылки реализации угроз ИБ для своевременного принятия мер по предотвращению инцидентов в АСУ ТП.
  23. 23. Вопросы? Компания  УЦСБ 620100,  Екатеринбург,  ул.  Ткачей,  д.6 Тел.:  +7  (343)  379-­98-­34 Факс:  +7  (343)  382-­05-­63 info@ussc.ru www.USSC.ru Алексей  Комаров @zlonov ZLONOV.ru

×