Практика классификации АСУ ТП по требованиям защиты информации
0 likes878 views
Документ охватывает практику классификации автоматизированных систем управления (АСУ ТП) в соответствии с требованиями защиты информации и включает категории их значимости, уровни защищенности и возможные последствия аварий. Классификация основана на оценке уровня значимости информации и установлении классов защищенности, что включает участие экспертов и использование различных источников данных. Также рассматривается влияние АСУ ТП на аварийные ситуации и необходимость разработки собственных методик классификации для предприятий.
![Классификация АСУ ТП
Приказ №31
Определение
уровня значимости
информации
(УЗ 1, УЗ 2, УЗ 3)
Определение
класса
защищенности
(К1, К2, К3)
Уровень значимости (критичности) информации
(УЗ) определяется степенью возможного ущерба
от нарушения ее целостности (неправомерные
уничтожение или модифицирование),
доступности (неправомерное блокирование) или
конфиденциальности (неправомерные доступ,
копирование, предоставление или
распространение), в результате которого
возможно нарушение штатного режима
функционирования автоматизированной системы
управления или незаконное вмешательство в
процессы функционирования
автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность,
степень ущерба) (конфиденциальность, степень
ущерба)]
4](https://image.slidesharecdn.com/s03e06-170712125308/85/-4-320.jpg)
Практика классификации АСУ ТП по требованиям защиты информации
- 2. Содержание 1. Классификация АСУ ТП по Приказу ФСТЭК России №31 2. Отнесение АСУ ТП к ключевым системам информационной инфраструктуры (КСИИ) 3. Категорирование объектов критической информационной инфраструктуры (КИИ) 2
- 3. Классификация АСУ ТП по Приказу ФСТЭК России №31 Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления: Первый (самый высокий) Второй Третий (самый низкий) 3
- 4. Классификация АСУ ТП Приказ №31 Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3) Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления. УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)] 4
- 5. Степень ущерба Возможные последствия Степень возможного ущерба Уровень значимости (критичности) информации Класс защищенност и АСУ ЧС федерального характера; ЧС межрегионального характера; существенные негативные последствия (социальные, политические, экономические, военные, иные) Высокая УЗ 1 К1 ЧС регионального характера; ЧС межмуниципального характера; умеренные негативные последствия (социальные, политические, экономические, военные, иные) Средняя УЗ 2 К2 ЧС муниципального характера; ЧС локального характера; Незначительные негативные последствия (социальные, политические, экономические, военные, иные) Низкая УЗ 3 К3 5
- 6. Оценка последствий возможных аварийПостановление Правительства РФ от 21 мая 2007 г.№ 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» 6 Шкала Локальна я ЧС Муниципа льная ЧС Межмуни ципальна я ЧС Региональ ная ЧС Межрегио нальная ЧС Федераль ная ЧС Жертвы ≤10 ≤50 ≤50 >50 ≤500 >50 ≤500 >500 Ущерб ≤100т.р. ≤5млн.р. ≤5млн.р. >5млн ≤500млн >5млн ≤500млн >500млн Границы ЧС Объект Город Города Субъект РФ Субъекты РФ - Как классифицировать следующую ЧС? Жертвы – 2 чел Ущерб – 50 млн. руб. Границы ЧС – территория предприятия (объект)
- 7. Источники данных о масштабе ЧС • Планы ликвидации (локализации) аварий на опасных производственных объектах «План мероприятий предусматривает: возможные сценарии возникновения и развития аварий на объекте,…» • Сведения из проекта на Систему мониторинга и управления инженерными системами зданий и сооружений (СМИС) 7
- 8. Источники данных для оценки последствий аварий • Паспорт безопасности опасного производственного объекта • Декларация промышленной безопасности • Результаты экспертизы промышленной безопасности • Планы ликвидации (локализации) аварий на опасных производственных объектах 8
- 9. Паспорт безопасности опасного производственного объекта В расчетно-пояснительной записке приводятся расчеты по всем возможным сценариям развития чрезвычайных ситуаций, включая: • возможное количество погибших среди персонала, чел. • возможное количество погибших среди населения, чел. • возможное количество населения, у которого могут быть нарушены условия жизнедеятельности с учетом воздействия вторичных факторов поражения и вредного воздействия на окружающую среду, чел. • величина возможного ущерба, руб. • размеры зон действия поражающих факторов 9
- 10. Декларация промышленной безопасности 10 Основные результаты анализа риска аварии должны включать: • перечень основных возможных причин возникновения аварии и факторов, способствующих возникновению и развитию аварий • краткое описание сценариев наиболее вероятных аварий и наиболее опасных по последствиям аварий • данные о размерах вероятных зон действия поражающих факторов для описанных сценариев аварии • сведения о возможном числе пострадавших, включая погибших среди работников и иных физических лиц • сведения о возможном ущербе от аварий
- 11. Влияние АСУ ТП на аварии 11 Влияние АСУ ТП на аварии Пример Возникновение аварии непосредственно в результате нарушения работы АСУ ТП Изменение последовательности коммутации цепей электропитания может вызвать короткое замыкание и взрыв высоковольтного оборудования Отказ аварийной сигнализации При утечке опасных веществ оператор не узнает о превышении предельно допустимых концентраций Отказ противоаварийной защиты При превышении допустимого числа оборотов двигателя не осуществляется отключение двигателя, что приводит к его разрушению Отказ функций дистанционного управления При разгерметизации трубопровода для опасных веществ, несвоевременное отключение подачи транспортируемого вещества может привести к увеличению объемов выброса Отказ системы оповещение персонала В случае аварии персонал не будет своевременно оповещен и эвакуирован из опасной зоны
- 12. Результаты определения класса защищенности АСУ ТП • Класс защищенности АСУ ТП, способных оказывать влияние на сценарии аварий, соответствует масштабу связанных аварий • Нарушение работы отдельных АСУ ТП может не оказывать влияния на сценарии возможных аварий и их последствия, в этом случае класс АСУ ТП может быть снижен • Наличие дублирующий систем ограничивает негативные последствия аварии, связанные с нарушением работы АСУ ТП. При наличии дублирующих систем необходимо рассмотреть сценарии аварий для штатной работы АСУ и в случае ее отказа 12
- 13. Участники процесса классификации Председатель комиссии: руководитель производственного объекта Члены комиссии: • Лица, ответственные за функционирование автоматизированного технологического процесса (например, начальник цеха, участка, технологи и др.) • Эксперты в области экологической, промышленной безопасности (и иных областях обеспечения безопасности при работе с опасными факторами) • Лица, ответственные за разработку, внедрение и эксплуатацию АСУ ТП – представители подразделений автоматизации, инженеры АСУ ТП и др. • Лица ответственные за обеспечение информационной безопасности АСУ ТП 13
- 14. Признаки КСИИ 14 1. Основным признаком принадлежности к КСИИ является наличие на предприятии АСУ (либо ее элемента), которая осуществляет функции управления чувствительными (важными) для РФ процессами и нарушение функционирования которой приводит к значительным негативным для страны последствиям 2. При наличии на предприятии критически важного объекта (КВО), использующих АСУ, нарушение функционирования работы которых может привести к возникновению ЧС или негативных последствий, а также при наличии систем официального информирования граждан
- 15. Определение наличия КВО Перечень критически важных объектов РФ (Распоряжение правительства Российской Федерации от 23.03.2006 411-рс) 15
- 16. Отнесение АСУ ТП к КСИИ Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ 16 «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных воздействий» (утв. Секретарем Сов. без. РФ 08.11.2005)
- 17. Категорирование объектов КИИ 07.07.2017 проект ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» принят во втором чтении Государственной думой Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. 17
- 18. Критерии категорирования объектов КИИ 1) Социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги 2) Политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики 3) Экономическая значимость, выражающаяся в оценке возможного прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации 4) Экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду 5) Значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка 18
- 19. Категории значимости объектов КИИ 1) Первая 2) Вторая 3) Третья 4) Без категории Правительство Российской Федерации устанавливает показатели критериев значимости объектов КИИ и их значения, а также порядок и сроки осуществления их категорирования 19
- 20. Заключение 1. Классификация АСУ ТП должна проводиться коллегиально 2. Для предприятий с большим количеством подразделений целесообразно разработать собственную методику классификации АСУ ТП 3. Результаты классификации – основа при выборе мер защиты информации АСУ ТП 20