ИБ АСУ ТП non-stop. Серия 3. Законодательство и требования...
TRANSCRIPT
![Page 1: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/1.jpg)
12.11.15
Требования в области защиты АСУ ТП
Законодательство. Регуляторы. Международный опыт
СергейКацаповРуководительнаправления
![Page 2: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/2.jpg)
– 2 –
Требования по защите АСУ ТП
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭККСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭКТребования по ЗИ в АСУ ТП
![Page 3: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/3.jpg)
– 3 –
КСИИ vs АСУ ТП
КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Системы, обеспечивающие управление опасными
объектами
• водоснабжением• энергоснабжением• транспортом• потенциально опасными
объектами
Системы, обеспечивающие функционирование информ. объектов, осущ. управление (обеспечение) важных для
РФ процессов• органов власти• банков• предупреждения ЧС• навигации• сетей связиАвтоматизированные системы
управления технологическими и производственными
процессами
![Page 4: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/4.jpg)
– 4 –
Документы ФСТЭК России в области КСИИ
Система признаков КВО
2005г
Базовая модель угроз
2007г
Методика определения
актуальных угроз
2007г
Общие требования по обеспечению безопасности
2007г
Рекомендации по обеспечению безопасности
2007г
Положение о Реестре КСИИ
2009г
![Page 5: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/5.jpg)
– 5 –
Документы ФСТЭК России в области АСУ ТП
Приказ №31
Требования к защите
информации
2014г
Проект
Требования к средствам
антивирусной защиты
2015г
Проект
Меры защиты информации
2016г
Проект
Методика определения
угроз
2016г
Проект
Порядок выявления и
реагирования на уязвимости
2016г
Проект
Порядок реагирования на
инциденты
2016г
![Page 6: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/6.jpg)
– 6 –
Этапы работ по защите АСУ ТП
Формирование требований
• Принятие решения о защите• Классификация• Моделирование угроз• Формирование требований
Разработка системы защиты
• Проектирование• Разработка экспл. док-ции
Внедрение и ввод в действие
• СМР и ПНР• Орг. меры• Анализ уязвимостей• Испытания и приемка
Эксплуатация• Управление инцидентами• Информирование и обучение• Планирование и анализ рисков• Контроль (мониторинг)
Вывод из эксплуатации
• Архивирование• Уничтожение инф.
![Page 7: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/7.jpg)
– 7 –
Основания начала работ по защите АСУ ТП:• Требования законодательства
• Внутренние требования
• Инциденты ИБ в АСУ ТП
• Результаты аудита ИБ АСУ ТП
Принятие решения о защите АСУ ТП
![Page 8: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/8.jpg)
– 8 –
Документы по КСИИ
Классификация АСУ ТП
Отнесение к КСИИ
Определение уровня важности (1, 2, 3)
Определение группы КСИИ
Включение в реестр КСИИ
Приказ №31
Классификация по КСИИ
Определение уровня значимости информации
(УЗ 1, УЗ 2, УЗ 3)
Определение класса защищенности
(К1, К2, К3)
![Page 9: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/9.jpg)
– 9 –
Моделирование угроз безопасности
Документы по КСИИ
1. Процесс прописан в:• Базовой модели угроз• Методике определения
актуальных угроз
2. Угроза признаетсяактуальной на основанииоценки:• Коэффициента опасности• Вероятности реализации
Приказ №31
1. Документы, описывающиепроцесс не разработаны
2. Проект методикиопределения угрозожидается в 2016г
3. В настоящее времяприменяются документы поКСИИ
![Page 10: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/10.jpg)
– 10 –
Формирование требований по защите
Для АСУ ТП применяется Приказ №31Документы по КСИИ – дополнительный методический материал
Выбор базовых
мерс учетом класса защищенности
Адаптация базовых мер
с учетом структуры АСУ ТП
Уточнение набора мердля защиты от
всех угроз
Дополнение набора мер
с учетом доп. требований
Порядок выбора мер защиты информации:
Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП
![Page 11: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/11.jpg)
– 11 –
Проектирование системы защиты АСУ ТП и разработкаэксплуатационной документации
• ГОСТ 34 серии. Автоматизированные системы (АС)
• ГОСТ Р 51624. АС в защищенном исполнении. Общие требования
• ГОСТ Р 51583. Порядок создания АС в защищенном исполнении
Разработка системы защиты
![Page 12: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/12.jpg)
– 12 –
Внедрение и ввод в действиеЭтап ОсобенностиМонтаж оборудования и пусконаладочные работы
Должно быть обеспечено:• функционирование АСУ ТП• совместимость средств защиты с ПО АСУ ТП
Внедрение орг. мер Орг. меры регламентируют работу:• операторского персонала• администраторов• обеспечивающего персонала
Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатациюМожет включать тестирование на проникновение
Испытания и приемка Применяется весь комплекс испытанийАттестация не обязательна
![Page 13: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/13.jpg)
– 13 –
Обеспечение защиты в ходе эксплуатации АСУ ТП
• Планирование мероприятий по защите АСУ ТП• Обеспечение действий в нештатных (непредвиденных) ситуациях• Информирование и обучение персонала АСУ ТП• Периодический анализ угроз и рисков от их реализации• Управление системой защиты АСУ ТП• Выявление инцидентов и реагирование на них• Управление конфигурацией АСУ ТП и ее системы защиты• Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП
![Page 14: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/14.jpg)
– 14 –
Обеспечение защиты при выводе из эксплуатации АСУ ТП
• Архивирование информации, содержащейся в АСУ ТП
• Уничтожение (стирание) данных и остаточной информации смашинных носителей информации и (или) уничтожениемашинных носителей информации
![Page 15: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/15.jpg)
– 15 –
Международный опыт
Международные стандарты:
• Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security
• Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security»
Документы схожи с Приказом №31 ФСТЭК России, но содержат:• описание АСУ ТП и анализ угроз и уязвимостей• рекомендации и особенности по реализации мер защиты в АСУ ТП• примеры реализации защитных мер
Дополнительно нужно учитывать документы разработчиков АСУ ТП
http://www.siemens.com/industrialsecurity
![Page 16: ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области](https://reader034.vdocuments.pub/reader034/viewer/2022052206/587310791a28ab99088b7b57/html5/thumbnails/16.jpg)
– 16 –
Спасибозавнимание!
Сергей КацаповРуководитель направления
Уральский центр систем безопасности[email protected]