ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП.
0 likes1,985 views
Документ описывает требования к защите автоматизированных систем управления технологическими процессами (АСУ ТП) в России, включая законодательство, методические материалы и международный опыт. Он охватывает этапы работы по защите, классификацию рисков, моделирование угроз и процессы установки мер защиты. Также упоминаются основные документы ФСТЭК, регулирующие безопасность АСУ ТП, и международные стандарты в этой области.
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП.
- 1. 12.11.15 Требования в области защиты АСУ ТП Законодательство. Регуляторы. Международный опыт Сергей Кацапов Руководитель направления
- 2. – 2 – Требования по защите АСУ ТП 2005 2007 2011 2012 2013 2014 Система признаков КВО ФСТЭК КСИИ ФЗ №256 Основные направления… О безопасности КИИ РФ Приказ №31 ФСТЭК Требования по ЗИ в АСУ ТП
- 3. – 3 – КСИИ vs АСУ ТП КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Системы, обеспечивающие управление опасными объектами • водоснабжением • энергоснабжением • транспортом • потенциально опасными объектами Системы, обеспечивающие функционирование информ. объектов, осущ. управление (обеспечение) важных для РФ процессов • органов власти • банков • предупреждения ЧС • навигации • сетей связи Автоматизированные системы управления технологическими и производственными процессами
- 4. – 4 – Документы ФСТЭК России в области КСИИ Система признаков КВО 2005г Базовая модель угроз 2007г Методика определения актуальных угроз 2007г Общие требования по обеспечению безопасности 2007г Рекомендации по обеспечению безопасности 2007г Положение о Реестре КСИИ 2009г
- 5. – 5 – Документы ФСТЭК России в области АСУ ТП Приказ №31 Требования к защите информации 2014г Проект Требования к средствам антивирусной защиты 2015г Проект Меры защиты информации 2016г Проект Методика определения угроз 2016г Проект Порядок выявления и реагирования на уязвимости 2016г Проект Порядок реагирования на инциденты 2016г
- 6. – 6 – Этапы работ по защите АСУ ТП Формирование требований • Принятие решения о защите • Классификация • Моделирование угроз • Формирование требований Разработка системы защиты • Проектирование • Разработка экспл. док-ции Внедрение и ввод в действие • СМР и ПНР • Орг. меры • Анализ уязвимостей • Испытания и приемка Эксплуатация • Управление инцидентами • Информирование и обучение • Планирование и анализ рисков • Контроль (мониторинг) Вывод из эксплуатации • Архивирование • Уничтожение инф.
- 7. – 7 – Основания начала работ по защите АСУ ТП: • Требования законодательства • Внутренние требования • Инциденты ИБ в АСУ ТП • Результаты аудита ИБ АСУ ТП Принятие решения о защите АСУ ТП
- 8. – 8 – Документы по КСИИ Классификация АСУ ТП Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ Включение в реестр КСИИ Приказ №31 Классификация по КСИИ Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3)
- 9. – 9 – Моделирование угроз безопасности Документы по КСИИ 1. Процесс прописан в: • Базовой модели угроз • Методике определения актуальных угроз 2. Угроза признается актуальной на основании оценки: • Коэффициента опасности • Вероятности реализации Приказ №31 1. Документы, описывающие процесс не разработаны 2. Проект методики определения угроз ожидается в 2016г 3. В настоящее время применяются документы по КСИИ
- 10. – 10 – Формирование требований по защите Для АСУ ТП применяется Приказ №31 Документы по КСИИ – дополнительный методический материал Выбор базовых мер с учетом класса защищенности Адаптация базовых мер с учетом структуры АСУ ТП Уточнение набора мер для защиты от всех угроз Дополнение набора мер с учетом доп. требований Порядок выбора мер защиты информации: Результат: ТЗ на создание системы защиты или раздел ТЗ на АСУ ТП
- 11. – 11 – Проектирование системы защиты АСУ ТП и разработка эксплуатационной документации • ГОСТ 34 серии. Автоматизированные системы (АС) • ГОСТ Р 51624. АС в защищенном исполнении. Общие требования • ГОСТ Р 51583. Порядок создания АС в защищенном исполнении Разработка системы защиты
- 12. – 12 – Внедрение и ввод в действие Этап Особенности Монтаж оборудования и пусконаладочные работы Должно быть обеспечено: • функционирование АСУ ТП • совместимость средств защиты с ПО АСУ ТП Внедрение орг. мер Орг. меры регламентируют работу: • операторского персонала • администраторов • обеспечивающего персонала Анализ уязвимостей Проводится до ввода АСУ ТП в пром. эксплуатацию Может включать тестирование на проникновение Испытания и приемка Применяется весь комплекс испытаний Аттестация не обязательна
- 13. – 13 – Обеспечение защиты в ходе эксплуатации АСУ ТП • Планирование мероприятий по защите АСУ ТП • Обеспечение действий в нештатных (непредвиденных) ситуациях • Информирование и обучение персонала АСУ ТП • Периодический анализ угроз и рисков от их реализации • Управление системой защиты АСУ ТП • Выявление инцидентов и реагирование на них • Управление конфигурацией АСУ ТП и ее системы защиты • Контроль (мониторинг) за обеспечением уровня защищенности АСУ ТП
- 14. – 14 – Обеспечение защиты при выводе из эксплуатации АСУ ТП • Архивирование информации, содержащейся в АСУ ТП • Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации
- 15. – 15 – Международный опыт Международные стандарты: • Стандарты ISA/IEC 62443 Industrial Automation and Control Systems Security • Рекомендации NIST SP 800-82 «Guide to Industrial Control Systems Security» Документы схожи с Приказом №31 ФСТЭК России, но содержат: • описание АСУ ТП и анализ угроз и уязвимостей • рекомендации и особенности по реализации мер защиты в АСУ ТП • примеры реализации защитных мер Дополнительно нужно учитывать документы разработчиков АСУ ТП http://www.siemens.com/industrialsecurity
- 16. – 16 – Спасибо за внимание! Сергей Кацапов Руководитель направления Уральский центр систем безопасности skatsapov@ussc.ru