кии на предприятий. 1. Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур 3
Скачать 45.47 Kb.
|
СодержаниеВведение 1 1. Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур 3 2. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ 7 2.1 Порядок категорирования объектов КИИ 8 2.2 Требования к системам безопасности значимых объектов КИИ 10 2.3 Требования к функционированию системы безопасности значимых объектов КИИ 13 3. Совершенствование СБО КИИ с помощью АСУ ТП 18 Заключение 23 Список использованных источников 25 Введение Одна из самых сильных сторон нашего современного развитого общества является также одним из самых сильных его недостатков. В нынешнем взаимосвязанном мире развитые и высокотехнологичные социумы сильно зависят от работы ряда служб и сервисов, которые в настоящее время стали жизненно необходимы. Определенная инфраструктура обеспечивает нормальную работу основных служб и производственных систем в любом обществе. Поэтому сбой в их работе в силу естественных причин, технических неполадок или преднамеренных действий может иметь серьезные последствия для поставки ресурсов или работы критических служб, не говоря уже об угрозе безопасности. В последние годы во всем мире неуклонно растет уровень кибер-преступности. Развитие Интернета и цифровая трансформация общества представляет собой «палку в двух концах», так как все это дает определенные возможности для преступников. Но что может произойти, если критически важные сети станут целью для преступного сообщества? Защита критической инфраструктуры является важной проблемой для всех стран. Высокий уровень развития современного общества во многом зависит от ряда основных и важных услуг, в значительной степени оказываемых частным бизнесом. Инфраструктура обеспечивает нормальную работу крайне важных для развития государства служб и систем: правительственные органы, водоснабжение, финансовые и налоговые системы, энергетика, космос, атомные электростанции и транспортные системы, крупные производственные предприятия. С 1 января 2018 года вступил в силу Федеральный закон №187 «О безопасности критической информационной инфраструктуры Российской Федерации», обязывающий организации обеспечить комплексную защиту критической информационной инфраструктуры (КИИ) в ближайшие несколько лет. Учитывая важность исполнения этого закона и активную позицию регулятора, предусмотрено проведение плановых проверок ФСТЭК после трех лет со дня предоставления сведений об объекте КИИ и внеплановых проверок в случае возникновения инцидента информационной безопасности.Кроме того, вводится уголовная ответственность за нарушение правил эксплуатации значимых объектов критической информационной инфраструктуры. Ключевыми для потенциальных субъектов КИИ и представителей IT/ИБ-отрасли, которые готовы помогать субъектам КИИ в реализации положений Закона, являются Правила категорирования, Приказ ФСТЭК России № 235 и Требования по безопасности КИИ. Для достижения поставленной цели необходимо решение следующих задач: Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ. Обеспечения безопасности объектов критических важных информационных инфраструктур с помощью АСУ ТП. Новизна работы состоит в использовании АСУ ТП при работе с КИИ. 1. Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур В ходе формирования требований к системам безопасности объектов (СБО) критических информационных инфраструктур (КИИ) может быть 2 случая: когда КИИ имеет налог; когда КИИ не имеет налога. При определении требований СБО вновь создаваемые КИИ необходимо учитывать следующее: Современный этап развития характеризуется переходом от экстенсивных к интенсивным путям повышения эффективности за счет качественного совершенствования КИИ и их СБО. Основные направления качественного развития КИИ наряду с повышением технического уровня и потенциальной эффективности КИИ существенно повышают требования к СБО. Сложность, высокая стоимость и новизна перспективных КИИ требуют системного, комплексного подхода к решению вопросов их создания и эксплуатации на основе широкого использования современных методов управления, обеспечивающих создании КИИ с внедренными СБО с заданными технико-экономическими и эксплуатационными характеристиками при минимальных затратах. Разработка СБО перспективных КИИ должна обеспечивать следующих общих целей: достижение конечных целей эксплуатации КИИ при минимальных затратах совокупного ряда; минимизация численности потребного личного состава; снижение занятости личного состава; сокращение общей продолжительности работ, проводимых на КИИ; уменьшение продолжительности понижения готовности КИИ; уменьшение времени восстановления готовности КИИ пр проведении работ на них; безопасность при проведении работ на КИИ; защищенность КИИ от НСД; Повышение эффективности СБО, необходимого ресурса и срока службы КИИ и т.п. При разработке требований к конкретным типам СБО КИИ состав перечисленных требований конкретизируется. Процессу формирования требований к СБО КИИ должен предшествовать этап разработки сценария, т.е. качественное описание структуры создаваемого КИИ, возможных условий её эксплуатации, целей и задач СБО, принципов формирования и реализации целевых нормативов. Проведение исследований по обеспечению формирования требований к СБО КИИ должно включать: формулировку целей (постановку задачи) и неформальное задание критерия оптимальности; построение математической модели принятия решений (определение математического выражения для критерия оптимальности «целевой функции» и ограничений), сбор данных и нормативов для решения задачи; определение алгоритма поиска оптимального решения; проверку модели и оценку решения; реализацию (осуществления) решения. Проведение исследований требует, с одной стороны, широкого использования математических методов, а с другой стороны – учета опыта разработки и реализации требований к СБО КИИ. Практические возможности применения математических моделей и методов формирования требований к СБО вновь создаваемых КИИ ограничиваются, в первую очередь, наличием факторов неопределенности исходной информации о развитии научно-технического прогресса, поведения внешней среды, и др. Наличие фактора неоправданности исходной информации обязывать принять математические модели поэтапного принятия решений при формировании и реализации требований к СБО перспективных КИИ, обеспечивающие поэтапное устранение неопределенностей. В условиях неопределенности на первый план выступают модели поиска допустимых решений, основанные на принципе удовлетворения потребностей, т.е. на принципе соответствия прогнозируемых результатов целевым нормативам. Принцип удовлетворения потребностей при формировании требований к СБО перспективных КИИ основывается на следующих предпосылках: цели развития СБО КИИ многозначны и не сводятся к единому целевому нормативу, необходимому для формирования критерия оптимальности (целевой функции); при обосновании решений математическому описанию доступно ограниченное множество альтернатив, далеко не исчерпывающее всего набора условий и стратегий; поиск наиболее рационального решения приходит в условиях ограниченного времени, материальных, финансовых и информационных ресурсов, что не позволяет принимать окончательные решения на ранних стадиях разработки КИИ. Процесс выработки решения при формировании требований к СБО перспективных КИИ в условиях неопределенности исходной информации должен рассматриваться как серия последовательных решений, каждое из которых: окончательно не принимается до тех пор, пока это не называется объективной необходимость; при каждом последующем уточнении решения учитывается информация, накапливаемая в процессе реализации предыдущих решений. Кроме того, в условиях неопределенности исходной информации решающее значение приобретает механизм страховки на случай неопределенных изменений условий эксплуатации КИИ. Наконец, в условиях неопределенности исходной информации при формировании требований важная роль принадлежит заказчикам, которые решают вопрос о выборе оптимального варианта требований к СБО перспективным КИИ из множества предлагаемых вариантов. Таким образом, формирование требований представляет собой сложных, динамичный процесс принятия решений в условиях неопределенности исходной информации и ограничений по ресурсам, срокам разработки и ввода в эксплуатацию КИИ. Итак, перечисленные обстоятельства обуславливают необходимость разработки алгоритма структуры процесса формирования требований СБО в перспективные КИИ. 2. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ2.1 Порядок категорирования объектов КИИКатегорирование объектов КИИ осуществляется согласно постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках: общероссийский классификатор видов экономической деятельности; лицензии и иные разрешительные документы на различные виды деятельности; уставы, положения организаций (госорганов); другие источники. Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности. Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ. На рис.1 представлены этапы категорирования объектов СБО КИИ. Категорирование проходит следующим образом: Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие). Определяются объекты КИИ, связанные с этими процессами. Полученный перечень согласовывается со ФСТЭК в течение пяти дней. Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории. При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп. Первая категория означает, что объект требует максимальной защиты. Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти: по мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ; объект перестал соответствовать критериям значимости и показателям их значений; субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме; субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней. Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гос. тайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227. 2.2 Требования к системам безопасности значимых объектов КИИРегулируются Приказом ФСТЭК от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».Приказ принят, проходит регистрацию в Минюсте РФ. Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов. Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов. Задачи, выполняемые системой безопасности: предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами; предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов; восстановление функционирования объектов, если они вышли из строя; непрерывное взаимодействие с ГОССОПКА. В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы. Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно: руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности; уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование; в зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ. К ответственным относятся: работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации; работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности; данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам. подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта. Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гос. тайну), либо по технической защите конфиденциальной информации. К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта. Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна. В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах Нормативно-организационные документы разделяются на три категории: общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности); документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций; документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.). Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта. Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников. 2.3 Требования к функционированию системы безопасности значимых объектов КИИТребования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA: Планирование и разработка мероприятий. В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ. Реализация (внедрение) мероприятий. В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта. Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана. Контроль состояния безопасности объектов. Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности. Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений. Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации. Совершенствование безопасности объектов. Осуществляется в 3 этапа подразделением по безопасности. проводится анализ функционирования системы безопасности и состояние безопасности объектов; по результатам осуществляется разработка предложений по развитию системы безопасности; рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий; требования по обеспечению безопасности значимых объектов КИИ. Регулируются Приказом ФСТЭК от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности. Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации. Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов: Формирование перечня применимых требований. Включает в себя категорирование объекта КИИ (в соответствии с постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ. Разработка организационных и технических мер. Включает в себя: моделирование угроз (по требованиям ФСТЭК); проектирование системы безопасности; разработка эксплуатационной документации. Внедрение организационных и технических мер по обеспечению безопасности. Включает в себя: установка и настройка средств защиты; разработка документов по безопасности объекта; предварительные испытания; опытная эксплуатация; выявление уязвимостей;. приемочные испытания (для ГИС проводится аттестация) Обеспечение безопасности во время эксплуатации. Обеспечение безопасности при выводе из эксплуатации. Состав мер по обеспечению безопасности для значимого объекта приводится в приложении к Приказу. Часть мер, вошедших в документ, уже содержатся в Приказе ФСТЭК №17, но также появились новые меры, которые затронули следующие области: аудит безопасности; реагирование на инциденты ИБ; управление конфигурацией; управление обновлениями ПО; планирование мероприятий по обеспечению безопасности; обеспечение действий в нештатных (непредвиденных) ситуациях; информирование и обучение персонала. Помимо этих мероприятий необходимо учитывать следующие ограничения: не допускается наличие прямого удаленного доступа к значимому объекту; не допускается передача информации, в т.ч. технологической, разработчику/производителю значимого объекта без ведома субъекта КИИ. При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта. При выборе мер следует учитывать возможные угрозы, связанные с соответствующим категории объекта уровнем потенциалом источника, а также соотношение категории значимости и требуемого класса СЗИ. Таблица 1- Категории объекта КИИ
Последовательность действий, которые должны быть выполнены потенциальным субъектом КИИ: Аудит, категорирование и формирование требований. В соответствии с Правилами категорирования провести инвентаризацию, обследование и определение категорий значимости принадлежащих ему объектов КИИ. В зависимости от присвоенной категории значимости на основании Требований по безопасности КИИ спроектировать систему защиты и определить состав средств для ее реализации. Внедрить систему защиты и впоследствии осуществлять ее эксплуатацию в соответствии с Приказом № 235. Проведение аудита, моделирование угроз, формирование требований к мерам защиты значимых объектов критической информационной инфраструктуры. Анализ процессов, обеспечивающих основные виды деятельности предприятия. Формирование перечня информационных систем, обеспечивающих непрерывное функционирование критических для предприятия процессов (данные информационные системы, согласно определению из 187-ФЗ, будут являться объектами критической информационной инфраструктуры). Определение категории значимости объектов КИИ согласно постановлению Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (данные работы должны быть выполнены в течение одного года после формирования и утверждения перечня объектов КИИ). Анализ существующих мер защиты значимых объектов КИИ, анализ рисков возникновения инцидентов информационной безопасности и разработать модель угроз и нарушителя. Формирование требований к мерам защиты и работам по их реализации с учетом приказа ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и Приказа ФСТЭК от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Эскизное и комплексное проектирование мер защиты. Проектирование и внедрение средств защиты КИИ и технологических сегментов, включая выполнение строительно-монтажных работ: проектирование технических мер защиты; разработка организационно-распорядительной документации; разработка эксплуатационной документации; внедрение средств защиты; строительно-монтажные работы; пуско-наладочные работы. испытания (включая опытную эксплуатацию). Поддержка и развитие системы защиты КИИ. Входит: сопровождение средств защиты и развитие системы; периодический анализ рисков и корректировка политик безопасности; адаптация в случаях изменений в нормативных документах. Таким образом, объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости (самая высокая категория — первая, самая низкая — третья). 3. Совершенствование СБО КИИ с помощью АСУ ТП Сегодня 92% компаний, по данным исследовательской компании Gartner, не в состоянии обнаружить взломы на ранних стадиях, а именно таргетированные атаки, которые отличаются высокой скрытностью. Источниками угрозы являются как внешние злоумышленники, так и внутренние, а сама атака может быть направлена на любую информационную систему компании. Для построения единого контура информационной безопасности предприятия необходима информационная система, которая будет агрегировать информацию об инцидентах ИБ из разных источников, предупреждать об имеющихся и потенциальных угрозах сотрудников службы безопасности и выявлять закономерности между различными атаками. Для решения этих задач используются системы для мониторинга и управления информационной безопасностью (SIEM). Внедрение систем мониторинга и анализа событий позволяет быстро проанализировать инциденты информационной безопасности с разрозненных информационных систем, выполнить корреляцию и адекватно отреагировать на выявленные события. При многоуровневой инфраструктуре продукты Positive Technologies выстраиваются в иерархию. На нижних уровнях, где нет компетентных специалистов по ИБ или недостаточен объем бюджета на ИБ, устанавливаются сенсоры для сбора и передачи информации в крупные филиалы. Специалисты по ИБ в филиалах выявляют и расследуют атаки и отправляют данные об инцидентах в головную организацию, где консолидируется информация об инцидентах во всей компании и осуществляется взаимодействие с главным центром ГосСОПКА. На рис.2 представлен пример архитектуры решения многоуровневой инфраструктуры. Преимущества системы: Единая экосистема продуктов - все продукты интегрируются между собой, что обеспечивает максимальную автоматизацию процессов и упрощает управление информационной безопасностью. Единая техподдержка - техподдержка по всем продуктам, оказывается, через единое окно. Возможна расширенная поддержка в вариантах 8/5 и 24/7. Отечественная разработка - продукты в составе решения включены в реестр российских программ и имеют сертификаты ФСТЭК России (PT ISIM и PT MultiScanner находятся на сертификации). Помимо внутренних требований компании относительно функциональности, к системам подобного класса, предъявляются требования к централизованному хранению и мониторингу событий информационной безопасность для соответствия отраслевым (СТО БР ИБСС, PCI DSS, ISO 27001) и государственным стандартам (ГосСОПКА). Таблица 2 - Состав решения и покрываемые требования
Соответствуйте требованиям законодательства Решение помогает реализовать меры защиты значимых объектов КИИ, обеспечить функционирование системы безопасности и взаимодействовать с ГосСОПКА в соответствии с требованиями закона № 187-ФЗ, приказов ФСТЭК и ФСБ России. Выявляйте атаки на ранней стадии и в ретроспективе Продукты Positive Technologies обнаруживают атаки на начальных этапах kill chain ("убийственной цепочки") в режиме реального времени и позволяют выявлять ранее не обнаруженные признаки взлома с помощью ретроспективного анализа. Непрерывно взаимодействуйте с ГосСОПКА Решение автоматизирует процесс реагирования на инциденты и позволяет взаимодействовать с ГосСОПКА в двустороннем формате в режиме онлайн-чата. На рис.3 представлена комплексная система управления информационной безопасностью организации. Security Operation Centre (SOC) Как верхний блок управления информационной безопасности создание SOC прежде всего направлен на выстраивание процесса, начиная от выявления уязвимости в системе мониторинга до процессов реагирования и дальнейшего предотвращения инцидентов информационной безопасности. Positive Technologies MaxPatrol SIEM Создание и техническая поддержка системы сбора и анализа событий информационной безопасности (Security information and event management) на базе Positive Technologies MaxPatrol SIEM. Positive Technologies MaxPatrol. Проектирование, внедрение и техническая поддержка сканера уязвимостей информационной безопасности на базе Positive Technologies MaxPatrol. На рис.4представлены уровни защиты АСУ ТП на КИИ. На уровне PLC (1уровень) основные векторы атак на уровни PLC – это изменение целостности устройства, перехват, или изменение информации, передаваемой между контроллером и SCADA-серверами. Для контроля изменения состояния целостности PLC-контроллера мы предлагаем промышленное решение Kaspersky Industrial Cyber Security for Nodes, которое в режиме реального времени сравнивает контрольные суммы с эталонными значениями и формирует событие информационной безопасности (ИБ) при отклонении. Контроль целостности и конфиденциальности передаваемой информации может быть реализован как на базе специализированного решения Positive technologies industrial security incident manager, так и на базе решения Kaspersky Industrial Cyber Security for Networks. Внедрение данной системы позволит: Отслеживать состояние топологии технологической сети и создавать инциденты при подключении любых неавторизованных сетевых устройств. Анализировать трафик, который передается с использованием промышленных протоколов на предмет наличия аномальной активности. Обнаруживать сетевые атаки, запускаемые из внутренних источников (например, вредоносное ПО на компьютере подрядчика). На уровне SCADA (3 уровень) защита АСУ ТП, в зависимости от модели угроз и модели нарушителя, на уровне серверов SCADA и АРМ-операторов может быть реализована с помощью отдельных технических решений или комплекса технических средств: специализированные промышленные средства антивирусной защиты, сертифицированные производителями SCADA-систем на базе Kaspersky Industrial Cyber Security for Nodes; средства защиты от несанкционированного доступа на базе решений Код Безопасности SecretNet или Dallas Lock; средства контроля действий привилегированных пользователей; расширенные средства аутентификации и авторизации на базе решения INDEED ENTERPRISE AUTHENTICATION; средства контроля уровня защищенности на базе решения Positive Technologies MaxPatrol 8 или Positive Technologies XSpider. На уровне DMZ (аналогичные корпоративному уровню средства защиты) (4 уровень) защита периметра технологической сети – это первостепенная задача, которую необходимо решить при реализации проекта защиты АСУ ТП: сегментирование сети; реализация подсистемы межсетевого экранирования и подсистемы предотвращения вторжений на стыках технологических сетей, корпоративных и других не доверенных сетей; организация безопасного удаленного доступа с использованием сертифицированных алгоритмов шифрования (ГОСТ); обеспечение защиты при передаче телемеханики сторонним организациям и контролирующим органам; организация однонаправленной передачи информации; анализ защищенности сети передачи данных. На уровне внешних подключений (5 уровень) многие информационные инфраструктуры имеют централизацию средств управления и мониторинга в головном офисе. Такая схема подходит как для процессов управления ИБ, так и для производственных. Заключение Таким образом, провели обследование автоматизированных систем управления технологическим процессом (АСУ ТП) предприятия, определили текущее состояние защищенности и сформировали перечень актуальных угроз. По итогам были сформулированы требования к средствам защиты с учетом специфики технологического процесса предприятия. Система защиты АСУ ТП построена на базе платформ отечественных производителей и включает в себя следующие подсистемы: решение для защиты периметра сети, предотвращения вторжений и защищенного удаленного доступа, на базе продуктов РКСС («Российская корпорация средств связи», представляет решения в области систем передачи данных, информационной безопасности); подсистему управления инцидентами кибербезопасности АСУ ТП и анализа защищенности, которая выявляет хакерские атаки и помогает в расследовании инцидентов на критически важных объектах, на базе PT Industrial Security Incident Manager; подсистему антивирусной защиты; подсистему резервного копирования. В результате возможно снизить риски возникновения инцидентов информационной безопасности, повысить доступность и надежность работы технологических процессов. Немаловажно, что при этом была подготовлена сетевая инфраструктура и платформа информационной безопасности, позволяющая в дальнейшем выполнить требования законодательства в части защиты КИИ – с 1 января 2018 вступил в силу федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)», регламентирующий процедуру предупреждения компьютерных инцидентов на объектах КИИ и обязанности лиц, ответственных за безопасность таких объектов). Итак, формирование требований представляет собой сложных, динамичный процесс принятия решений в условиях неопределенности исходной информации и ограничений по ресурсам, срокам разработки и ввода в эксплуатацию КИИ. Перечисленные обстоятельства обуславливают необходимость разработки алгоритма структуры процесса формирования требований СБО в перспективные КИИ. Объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости. Система защиты АСУТП построена на базе платформ отечественных производителей и включает в себя следующие подсистемы: решение для защиты периметра сети, предотвращения вторжений и защищенного удаленного доступа, на базе продуктов РКСС («Российская корпорация средств связи», представляет решения в области систем передачи данных, информационной безопасности); подсистему управления инцидентами кибербезопасности АСУ ТП и анализа защищенности, которая выявляет хакерские атаки и помогает в расследовании инцидентов на критически важных объектах; подсистему антивирусной защиты; подсистему резервного копирования. В результате возможно снизить риски возникновения инцидентов информационной безопасности, повысить доступность и надежность работы технологических процессов. Немаловажно, что при этом была подготовлена сетевая инфраструктура и платформа информационной безопасности, позволяющая в дальнейшем выполнить требования законодательства в части защиты КИИ. Список использованных источниковДоктрина информационной безопасности Российской Федерации утверждена Указом Президента Российской Федерации от 5 декабря 2016г № 646; Конституция Российской Федерации от 12 декабря 1993г; Федеральный закон № 149 от 27.07.2006г (ред. от 18.03.2019г) "Об информации, информационных технологиях и о защите информации"; Федеральный закон "О персональных данных" от 27.07.2006г № 152-ФЗ; Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017г № 187-ФЗ; ФСТЭК России от 21.12.2017г № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»; Приказ ФСТЭК от 25.12.2017г № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 08.02.2018г № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений»; Жуков В.Г., Жукова М.Н., Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2 (98). С. 75–78. Гришина Н.В. Модель потенциального нарушителя объекта информатизации // Изв. ЮФУ. Технич. науки. 2013. № 4. Т. 33. С. 356–358. Климов С.М. Методы и модели противодействия компьютерным атакам. Люберцы: КАТАЛИТ, 2018. 316 с. Домарева В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с.; Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков; под. ред. С. А. Клейменова. — 3-е изд., стер. — М.: Издательский центр «Академия», 2008. — 336 с.; Баранова Елена Константиновна «Информационная безопасность и защита информации»: Учебное пособие / Баранова Е. К., Бабаш А. В. - 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2016. - 322 с.; Милославская, Н.Г. Управление инцидентами информационной безопасности и непрерывностью бизнеса : учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – Москва : Горячая линия : Телеком, 2013. – 170 с. Автор: Милославская Н. Г. , Сенаторов М. Ю. , Толстой А. И.№ 5 сентябрь-октябрь 2010 г. - Журнал «Защита информации - Инсайд» «Сертификация систем управления ИБ по требованиям стандарта»; №07-08/2013 – Журнал «Открытые системы» «Эффективность защиты информации»; Банк данных угроз информационной безопасности. Список уязвимостей. URL: http://www.bdu.fstec.ru/vul http://znanium.com/catalog/product/495249 https://rvision.pro/blog-posts/kategorirovanie-obektov-kii-trebovaniya-k-sistemam-bezopasnosti-obespecheniyu-bezopasnosti-znachimyh-obektov-kii/ https://www.securitylab.ru/blog/personal/plutsik/343744.php https://acribia.ru/news/2018/safety_requirments_critical_infrastructure https://cyberleninka.ru/article/n/analiz-i-sintez-trebovaniy-k-sistemam-bezopasnosti-obektov-kriticheskoy-informatsionnoy-infrastruktury/viewer |