Rating: 9,8/10 896 reviews
В силуPнекоторой непоследовательности в принятии нормативно-правовых документов в области (информационной) безопасности промышленных систем автоматизации и управления (а равно и КСИИ, КВО, АСУ ТП, АСУ ПиТП, КИИ - одних только аббревиатур сколько!), по факту, несмотря на обилие указов, приказов и даже законов, стройной системы пока не получается. Тем не менее, собрав воедино все законодательные требования и рекомендации для конкретного случая определённую картину всё же получить можно. С этой целью постарался собратьPмаксимально полную подборку нормативно-правовых документов по этой тематике вместе со ссылками (где это возможно) на тексты документов в справочно-правовых системах и на сайтах госорганов, а также ссылками на файлы в формате PDF для удобства скачивания.
Все документы разбиты на несколько групп (ФЗ, указы Президента и т.д.) и отсортированы по дате их принятия (самые свежие - последние в списках). Федеральные законы Федеральный закон от 170-ФЗ Об использовании атомной энергии Федеральный закон от 116-ФЗ О промышленной безопасности опасных производственных объектов Федеральный закон от 117-ФЗ О безопасности гидротехнических сооружений Федеральный закон от г. 16-ФЗ О транспортной безопасности Федеральный закон от г. 256-ФЗ О безопасности объектов топливно-энергетического комплекса Федеральный закон от г. 257-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса Федеральный закон от г.
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор. Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума (. В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо. Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор.
План повышения защищенности критически важного объекта разрабатывается на объектах, включенных в Перечень критически важных объектов Российской Федерации (утвержден распоряжением Правительства Российской Федерации от 23 марта 2006 г. Данный документ должен. Кроме того, представители Минпромторга России пояснили, что при формировании Перечня Министерство руководствовалось Распоряжением Правительства Российской Федерации от №411-рс (ограниченного доступа), который утверждает перечень критически важных.
Несмотря на то, что в Федеральном законе № 276-ФЗ «О внесении изменений в Федеральный закон «Об инфо. Наконец-то на улице выглянуло солнышко.
Небо очистилось от вчерашних туч и ничего не напоминало По данным исследования, который провел старший консультант по безопасности компании IOActive Фернандо Когда же наконец-то на улице будет светить солнце? Flash Decompiler Sothink Serial . Снова тучи, снова темно.
Вот уже скоро 9 утра - Доброе утро, сэр! Впрочем, мы вряд ли можем назвать его очень добрым. - А что случилось Из-за хакерской атаки словенская криптовалютная компания NiceHash лишилась биткоинов на сумму более 60 млн Мы в социальных сетях. Недавние кибератаки Stuxnet, Duqu, Flame, Gauss и другие им аналогичные показали, насколько уязвимы ИТ-инфраструктуры топливно-энергетических, производственных, транспортных, инфотелекоммуникационных, коммунальных, финансовых и других систем жизнеобеспечения людей и насколько катастрофичными могут быть последствия вызванных подобными атаками сбоев и отказов в их работе. Согласно данным аналитической компании Secunia, информационная безопасность (ИБ) программной составляющей АСУ ТП, которые представляют собой специфический компонент, присущий ИТ-инфраструктурам многих критически важных объектов (КВО), более чем на десять лет отстает от состояния ИБ наиболее распространенного современного ПО.
Алексей КомаровВ силуPнекоторой непоследовательности в принятии нормативно-правовых документов в области (информационной) безопасности промышленных систем автоматизации и управления (а равно и КСИИ, КВО, АСУ ТП, АСУ ПиТП, КИИ — одних только аббревиатур сколько!), по факту, несмотря на обилие указов, приказов и даже законов, стройной системы пока не получается.
Тем не менее, собрав воедино все законодательные требования и рекомендации для конкретного случая определённую картину всё же получить можно. С этой целью постарался собратьPмаксимально полную подборку нормативно-правовых документов по этой тематике вместе со ссылками (где это возможно) на тексты документов в справочно-правовых системах и на сайтах госорганов, а также ссылками на файлы в формате PDF для удобства скачивания. Все документы разбиты на несколько групп (ФЗ, указы Президента и т.д.) и отсортированы по дате их принятия (самые свежие - последние в списках).
Федеральные законы
- Федеральный закон от 21.11.1995 170-ФЗ Об использовании атомной энергии
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 21.07.1997 116-ФЗ О промышленной безопасности опасных производственных объектов
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 21.07.1997 117-ФЗ О безопасности гидротехнических сооружений
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 09.02.2007 г. 16-ФЗ О транспортной безопасности
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 21.07.2011 г. 256-ФЗ О безопасности объектов топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 21.07.2011 г. 257-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Федеральный закон от 03.12.2011 г. 382-ФЗ [О государственной информационной системе топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - ПРОЕКТPФедерального закона О безопасности критической информационной инфраструктуры Российской Федерации (подготовлен ФСБ России)
PDF Консультант+
Указы Президента РФ
- Указ Президента РФ от 12.05.2009 537 О Стратегии национальной безопасности Российской Федерации до 2020 года
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Основы государственной политики в области обеспечения безопасности населения Российской Федерации и защищенности критически важных и потенциально опасных объектов от угроз природного, техногенного характера и террористических актов на период до 2020 года (утв. Президентом РФ 15.11.2011, Пр-3400)
PDF Гарант Кодекс Консультант+ - Указ Президента РФ от 15.01.2013 31с О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
PDF Гарант Кодекс Консультант+ Pravo.gov.ru - Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года (утв. Президентом РФ 24.07.2013, Пр-1753)
PDF Гарант Консультант+ Scrf.gov.ru
Документы Правительства РФ
- Распоряжение Правительства РФ от 27.08.2005 1314-р Об одобрении Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры РФ и опасных грузов
PDF Гарант Кодекс Консультант+ - Распоряжение правительства Российской Федерации от 23.03.2006 411-рс Об утверждении Перечня критически важных объектов Российской Федерации
Гриф секретно - Постановление Правительства РФ от 21.05.2007 304 О классификации чрезвычайных ситуаций природного и техногенного характера
PDF Гарант Кодекс Консультант+ - Постановление Правительства РФ от 22.12.2011 1107 О порядке формирования и ведения реестра объектов топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ - Постановление Правительства РФ от 05.05.2012 458 Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса
Для служебного пользования - Постановление Правительства РФ от 05.05.2012 459 Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования
PDF Гарант Кодекс Консультант+ - Постановление Правительства РФ от 05.05.2012 460 Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ - Постановление Правительства Российской Федерации от 02.10.2013 P861 Об утверждении Правил информирования субъектами топливно-энергетического комплекса об угрозах совершения и о совершении актов незаконного вмешательства на объектах топливно-энергетического комплекса
PDF Гарант Кодекс Консультант+ Pravo.gov.ru
Документы Совета Федерации и Совета Безопасности
- Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий (утв. Совет Безопасности 08.11.2005)
Не опубликовано - Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв.PПрезидентом РФ 03.02.2012, 803)
PDF Гарант Консультант+ Scrf.gov.ru
Документы ФСТЭК
- Руководящий документ Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007)
Для служебного пользования - Руководящий документ Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007)
Для служебного пользования - Руководящий документ Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007)
Для служебного пользования - Руководящий документ Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 19.11.2007)
Для служебного пользования - Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утв. ФСТЭК России 18.11.2008 246дсп)
Для служебного пользования - Положение о Реестре ключевых систем информационной инфраструктуры (утв. приказом ФСТЭК России от 04.03.2009 года 74)
Не опубликовано - Методические рекомендации по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период (утв. ФСТЭК России 23.04.2011)
PDF Консультант+ - [Методические рекомендации по отнесению информационных (информационно-телекоммуникационных) систем, функционирующих в составе критически важных объектов инфраструктуры Российской Федерации, к ключевым системам информационной инфраструктуры, согласовано ФСТЭК от 02.08. 2011 240/2/3034дсп.
Для служебного пользования - Приказ ФСТЭК России 31 от 14.03.2014 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
PDF PDF Гарант Консультант+ - Методические рекомендации по анализу уязвимости производственно-технологического процесса и выявлению критических элементов объекта, оценке социально-экономических последствий совершения на объекте террористического акта, антитеррористической защищенности объекта при проведении категорирования и составления паспорта безопасности объекта топливно-энергетического комплекса (утв. Минэнерго 10.10.2012)
Для служебного пользования
ГОСТы
- ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения
- Для служебного пользования
- ГОСТ РО 0043-002-2012 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов (утв. приказомPРосстандарта 1-СТ РО от 17.04.2012)
Для служебного пользования - ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения
Для служебного пользования - ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний
Для служебного пользования
КОМИССИЯ ПО ПРЕДУПРЕЖДЕНИЮ И ЛИКВИДАЦИИ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ И ОБЕСПЕЧЕНИЮ ПОЖАРНОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ ТАТАРСТАН
РЕШЕНИЕ
О ПОВЫШЕНИИ ЗАЩИЩЕННОСТИ КРИТИЧЕСКИ ВАЖНЫХ ДЛЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ФЕДЕРАЛЬНОГО УРОВНЯ ОТ УГРОЗ ПРИРОДНОГО И ТЕХНОГЕННОГО ХАРАКТЕРА, ТЕРРОРИСТИЧЕСКИХ ПРОЯВЛЕНИЙ
В соответствии с распоряжением Правительства Российской Федерации от 23.03.2006 N 411-рс на территории Республики Татарстан находятся 68 критически важных объектов 1 и 2 класса опасности. Аварии или прекращение функционирования данных объектов могут привести к возникновению чрезвычайных ситуаций федерального или межрегионального характера.
Согласно протоколу совместного заседания Совета безопасности Российской Федерации и президиума Государственного Совета Российской Федерации по вопросу "О мерах по обеспечению защищенности критически важных для национальной безопасности объектов инфраструктуры и населения страны от угроз техногенного, природного характера и террористических проявлений", утвержденному Президентом Российской Федерации В.Путиным 04.12.2003, критически важным объектам поручено обеспечить разработку и утверждение в установленном порядке планов повышения защищенности критически важных объектов регионального, территориального, местного и объектового уровней на 2004 - 2008 гг.
В ноябре 2007 г. Главным управлением МЧС России по Республике Татарстан, МЧС Республики Татарстан и Управлением ФСБ по Республике Татарстан проведены проверки критически важных объектов, расположенных на территории Республики Татарстан.
Результаты проверки выявили, что из 68 предприятий и организаций, являющихся критически важными объектами, планы повышения защищенности не разработали 30 объединений и предприятий, в собственности которых находятся 40 объектов.
Комиссия по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности Республики Татарстан РЕШИЛА:
1. Рекомендовать министерствам, ведомствам, объединениям и организациям, имеющим согласно распоряжению Правительства Российской Федерации от 23.03.2006 N 411-рс критически важные объекты федерального уровня, в срок до 20.03.2008:
разработать и согласовать План повышения защищенности критически важного объекта на 2005 - 2008 гг. (далее - План КВО);
копии Планов КВО представить в МЧС Республики Татарстан и Министерство внутренних дел по Республике Татарстан.
2. Министерству по делам гражданской обороны и чрезвычайным ситуациям Республики Татарстан:
до 20.12.2007 совместно с Министерством внутренних дел по Республике Татарстан создать экспертную рабочую группу для оказания практической и методической помощи министерствам, ведомствам и предприятиям в разработке и согласовании Планов КВО;
до 30.03.2008 представить доклад председателю КЧСПБ Республики Татарстан о завершении работ по разработке Планов КВО федерального уровня на территории Республики Татарстан.
3. Экспертной рабочей группе:
до 20.01.2008 разработать и направить в министерства, ведомства и предприятия макет Плана КВО с методическими рекомендациями по его оформлению;
проводить экспертизу и давать заключение по представляемым для согласования Планов КВО.
4. Контроль исполнения решения возложить на Министерство по делам гражданской обороны и чрезвычайным ситуациям Республики Татарстан.
Председатель Комиссии
по предупреждению и ликвидации
чрезвычайных ситуаций и обеспечению
пожарной безопасности
Республики Татарстан
Р.Ф.МУРАТОВ
О ПОВЫШЕНИИ ЗАЩИЩЕННОСТИ КРИТИЧЕСКИ ВАЖНЫХ ДЛЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ФЕДЕРАЛЬНОГО УРОВНЯ ОТ УГРОЗ ПРИРОДНОГО И ТЕХНОГЕННОГО ХАРАКТЕРА, ТЕРРОРИСТИЧЕСКИХ ПРОЯВЛЕНИЙ
| Название документа: | |
| Номер документа: | 18-07 |
| Вид документа: | Решение Комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности Республики Татарстан |
| Принявший орган: | Комиссия по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности Республики Татарстан |
| Статус: | Действующий |
| Дата принятия: | 24 декабря 2007 |
Недавние кибератаки Stuxnet, Duqu, Flame, Gauss и другие им аналогичные показали, насколько уязвимы ИТ-инфраструктуры топливно-энергетических, производственных, транспортных, инфотелекоммуникационных, коммунальных, финансовых и других систем жизнеобеспечения людей и насколько катастрофичными могут быть последствия вызванных подобными атаками сбоев и отказов в их работе.
Согласно данным аналитической компании Secunia, информационная безопасность (ИБ) программной составляющей АСУ ТП, которые представляют собой специфический компонент, присущий ИТ-инфраструктурам многих критически важных объектов (КВО), более чем на десять лет отстает от состояния ИБ наиболее распространенного современного ПО. Так, для ПО АСУ ТП нерегулярно выпускаются обновления, так что многие обнаруженные уязвимости остаются неисправленными дольше одного месяца.
В нашем обзоре мы постарались осветить реальное состояние дел в указанной области и перспективы решения сложностей с обеспечением ИБ информационных систем, поддерживающих технологические процессы КВО. Мы рассмотрели специфику организации защиты ИТ-инфраструктуры КВО, возникающие при этом проблемы и возможные пути их решения с учетом выполнения нормативных требований, особо обратив внимание на последние изменения в законодательстве.
Критерии защищенности ИТ-инфраструктур КВО
В соответствии с распоряжением Правительства РФ от 23.03.2006 № 411-рс, как напоминает Андрей Степаненко, директор по маркетингу компании “Код Безопасности”, к критически важным относятся совершенно разные по своему предназначению объекты — магистральные сети связи, системы телерадиовещания, заводы, электростанции, предприятия нефте- и газодобычи, транспортная инфраструктура и т. п. Столь различные объекты имеют слишком разные ИТ-системы, поэтому универсальных критериев защищенности ИТ-инфраструктур КВО, как полагает г-н Степаненко, скорее всего не существует — они должны определяться для КВО, сходных по назначению и архитектуре.
Тем не менее наши эксперты находят и общие черты в обеспечении ИБ ИТ-инфраструктуры КВО. Алексей Косихин, руководитель направления по работе с ТЭК Центра информационной безопасности компании “Инфосистемы Джет”, подходит к оценке уровня защищенности ИТ-инфраструктур КВО с позиции надежности и защищенности тех узлов, получив доступ к которым, злоумышленник может нанести наибольший вред. Поэтому наивысший приоритет в защите ИТ-инфраструктур КВО, как он считает, имеют: защита периметра; разграничение доступа к критичным серверам; защита серверов управления и рабочих станций, которые управляют АСУ ТП; защита критичных контроллеров АСУ ТП. Обеспечение их ИБ позволяет нивелировать последствия большинства угроз.
Владимир Бычек, руководитель направления сетевой безопасности IITD Group, рассматривает типовую топологию КВО как совокупность подсистем, сегментированных (в большинстве случаев) посредством межсетевых экранов. Это корпоративная сеть передачи данных и технологическая сеть (где проходят технологические процессы; из нее в ряде случаев выделяют как самостоятельную диспетчерскую сеть, служащую для управления технологическими процессами).
Критерии защищенности ИТ-инфраструктуры КВО г-н Бычек формулирует так:
- постоянный контроль соединений между подсистемами, исключение соединений и блокирование сервисов, которые не являются необходимыми для функционирования КВО в штатном режиме;
- обеспечение максимального уровня ИБ соединений, необходимых для функционирования КВО;
- регулярный технический аудит элементов, сетей КВО и подключенных сетей для выявления проблем ИБ;
- документирование инфраструктуры КВО, выделение элементов и подсистем, требующих дополнительных уровней защиты;
- строгий и непрерывный процесс управления рисками;
- наличие регламентов, описывающих процессы внесения изменений в инфраструктуру КВО и контроль их выполнения.
По мнению Руслана Стефанова, руководителя направления защиты АСУ ТП компании “Элвис Плюс”, для оценки защищенности КВО можно применять три критерия: соответствие уровня ИБ КВО некому целевому уровню ИБ (характеристика возможных уровней приведена ниже); выполнение принципа “чёрного ящика”, когда исключается любое внешнее воздействие на информационную систему и при этом информация об объекте не покидает её пределов информационной системы; количество инцидентов.
Характеризуя целевые уровни ИБ, г-н Стефанов ссылается на стандарт IEC 62443-1-1, предлагающий следующие варианты уровней:
- уровень ИБ 0 — требования к информационной безопасности отсутствуют;
- уровень ИБ 1 — для защиты от случайных или непреднамеренных нарушений (угроз);
- уровень ИБ 2 — для защиты от преднамеренных нарушений (угроз) с применением простых средств и минимальных ресурсов, требующих общих навыков и минимальной мотивации;
- уровень ИБ 3 — защита от преднамеренных нарушений (угроз) с применением сложных средств и умеренных ресурсов, требующих специфичных для объекта защиты навыков и умеренной мотивации;
- уровень ИБ 4 — защита от преднамеренных нарушений (угроз) с применением сложных средств и максимальных ресурсов, требующих специфичных для объекта защиты навыков и максимальной мотивации.
В качестве наиболее важных Аркадий Прокудин, заместитель руководителя отдела информационной безопасности компании “АйТи”, выделяет следующие меры обеспечения ИБ КВО (их принятие одновременно служит критериями ИБ КВО): наличие политики ИБ для персонала КВО и тех, кто сотрудничает с ним; идентификация и аутентификация пользователей в информационных системах КВО; регистрация и учет событий в ИТ- и ИБ-системах для мониторинга и расследования инцидентов; контроль корректности функционирования ИТ-сервисов; непрерывность защиты сервисов КВО.
ИБ-риски, специфичные для КВО
Главной особенностью КВО является использование специализированных АСУ ТП. В проекте закона “О безопасности критической информационной инфраструктуры Российской Федерации” АСУ ТП определяется как комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО. Именно на обеспечении ИБ АСУ ТП КВО и предлагают наши эксперты сосредотачивать главные усилия при организации ИБ ИТ-инфраструктуры КВО.
Как отмечает г-н Степаненко, ранжирование рисков по возможным последствиям — непростая задача, тем более в применении к столь разным по своему назначению КВО. В большинстве документов (например, в отчете Risk assessment methodologies for critical infrastructure protection. Part I: A state of the art, подготовленном по заданию Еврокомиссии в 2012 г., содержится краткий обзор 21 документа по управлению рисками КВО в разных странах) риски для КВО группируются по трём категориям: физические (связанные с природными катастрофами и т. п.), человеческие (ошибки персонала и пр.) и киберриски. Именно киберриски в последние годы рассматриваются как наиболее критичные для КВО, которые становятся объектами атак кибертеррористов и иностранных спецслужб.
Специфику ИТ-инфраструктуры КВО (и прежде всего АСУ ТП КВО) Андрей Духвалов, стратег по развитию технологий “Лаборатории Касперского”, видит в том, что она одновременно подвергается как обычным угрозам (например, заражению вирусами), так и целевым кибератакам (APT) и потому должна иметь защиту от распространенных вредоносов и при этом располагать специальными ИБ-средствами и ИБ-политиками для противодействия таргетированным атакам.
Наиболее опасные риски г-н Косихин связывает с проникновением внешнего нарушителя внутрь ИТ-периметра КВО, особенно когда дело касается APT-атак на системы управления АСУ ТП. По его мнению, риск проникновения злоумышленника в защищаемый периметр извне — один из немногих, которые можно считать самым распространенным и чья критичность высока для любого вида КВО.
К числу специфичных г-н Косихин относит риски, связанные с использованием неадаптированных ИБ-средств, что тоже может нарушить работу КВО. Например, большинство антивирусов опознают данные протоколов, по которым работают АСУ ТП, как вредоносный код и блокируют их.
Алексей Косихин отмечает, что существуют риски, связанные с архитектурными особенностями АСУ ТП. Например, риск взлома извне более вероятен для системы, реализованной на современной промышленной платформе, что он связывает с расширенным списком лиц, имеющих к ней доступ: наряду с персоналом владельца АСУ ТП это могут быть представители вендора (удаленно обновляющие и поддерживающие платформу) и специалисты интегратора (внедряющие платформу). Если же АСУ ТП работает на платформе, разработанной индивидуально, есть риск снижения её работоспособности, связанный с невозможностью оперативно устранять неполадки в силу отсутствия на рынке специалистов нужной квалификации.
Руслан Стефанов предлагает разделять ИБ-риски для КВО на две группы: риски общие, присущие всем объектам, и специфичные для отрасли, к которой относится КВО. Кроме этих групп он разделяет риски, характерные для самого объекта защиты, и риски для его окружения. Например, при аварии на КВО могут пострадать не только люди, непосредственно работающие на нём, но и те, кто живёт рядом с объектом.
К наиболее критичным для АСУ ТП КВО Владимир Черкасов, старший консультант компании “Информзащита”, относит риски, связанные с нарушением целостности (модификацией) и доступности управляющей информации, что отличает АСУ ТП от корпоративных информационных систем, для которых на первом месте обычно стоит обеспечение конфиденциальности данных.
Наиболее уязвимые компоненты ИТ-инфраструктуры КВО
Наиболее уязвимым г-н Косихин признает внешний периметр ИТ-инфраструктуры КВО, так как на него приходится, как он считает, львиная доля атак, направленных на взлом АСУ ТП. И во вторую очередь уязвимы серверы управления как критичный элемент ИТ-инфраструктуры, отвечающий за работу всей АСУ.
Руслан Стефанов, в свою очередь, обращает внимание на защиту АРМ операторов технологических процессов. Ссылаясь на статистику, он утверждает, что именно эти рабочие места являются самыми уязвимыми, что связано прежде всего с режимом их функционирования. Они должны работать круглосуточно, не оставляя времени на обновление операционных систем, прикладного и защитного ПО, для чего зачастую требуется перезагрузка систем АРМ. Поэтому такие обновления осуществляются только во время технологических окон, которые могут появляться всего один-два раза в год. К распространённой уязвимости АРМ г-н Стефанов относит также низкую сложность или полное отсутствие паролей доступа. Аудиты и тесты на проникновение, в которых он принимал участие, показывают, что подобрать пароль для АРМ несложно. Да и записка с паролем, приклеенная под монитором, — дело весьма обычное.
Другим возможным вектором атаки является общая для корпоративных и технологических сервисов и информационных систем сетевая инфраструктура. Такая ситуация позволяет злоумышленнику атаковать технологическую сеть из корпоративной и наоборот. Уязвимости сетевого оборудования хорошо описаны, а ограничения на обновления ПО на нём такие же, как и на АРМ операторов ТП.
Виртуализация пока нешироко применяется на КВО, но тенденции в сфере ИТ говорят о том, что в скором времени и там станут актуальными угрозы, специфичные для виртуализированных сред: в случае использования технологических и прочих ИТ-ресурсов в единой виртуальной среде возникают угрозы проникновения из корпоративных сегментов в технологические через общую платформу виртуализации.
Негативно эксперты оценивают ситуацию с удалённым доступом и управлением. Некоторые операции по обслуживанию систем отдаются на аутсорсинг, и если систему “корпоративная сеть — аутсорсер” можно считать защищенной, то гарантировать защищённость ИТ-среды аутсорсера сложно. Это создает ещё один вектор атак на ИТ-инфраструктуру КВО. Да и сама точка входа для удалённого доступа (например, для управления или технической поддержки) уязвима с точки зрения злоумышленника.
Наиболее уязвимыми компонентами ИТ-инфраструктуры КВО г-н Духвалов признает программируемые логические контроллеры и АСУ ТП в целом. Типичной уязвимостью контроллеров являются их нестойкость к сетевым атакам вроде DoS/DDoS и обычно задаваемые их производителями и оставляемые без изменений владельцами (в целях удобства последующего обслуживания и поддержки) логин и пароль администратора. Только в открытых источниках указано около 650 уязвимостей в АСУ ТП, и их число неуклонно растет. Против АСУ ТП наиболее часто применяются отказ в обслуживании, переполнение буфера, SQL-инъекции, межсайтовый скриптинг, неавторизованное удаленное выполнение кода и некоторые другие.
Факторы, затрудняющие защиту ИТ-инфраструктур КВО
Согласно наблюдениям г-на Бычека, инфраструктуры КВО, как правило, представляют собой крупные распределенные сети, объединяющие сегменты различных типов. При этом не реализуется прозрачность — возможность увидеть инфраструктуру в целом, учитывая взаимное влияние всех сегментов друг на друга. Это затрудняет оценку защищенности КВО и разработку рекомендаций по ее укреплению.
Распространенной практикой сегодня стало совместное использование унаследованных систем и протоколов с современными системами, поддерживающими IP. ИТ-инфраструктура КВО чувствительна к ошибкам в конфигурировании, в том числе сетевого оборудования. В подавляющем большинстве случаев активное сканирование элементов КВО невозможно из-за риска вывода систем из строя.
Владимир Бычек отмечает также недостаточную для защиты КВО эффективность современных ИБ-систем, работающих в режиме реального времени: в АСУ ТП даже самой быстрой реакции на ИБ-инцидент может оказаться недостаточно для предотвращения вероятных последствий инцидентов. В большинстве случаев невозможно устранить известные уязвимости в настройках и ПО из-за строгих регламентов эксплуатации систем, требующих длительного согласования любых, особенно потенциально опасных действий над их элементами. Отсутствуют патчи для унаследованного (устаревшего) оборудования и ПО.
Алексею Косихину в своей практике чаще всего приходится сталкиваться с организационными трудностями в построении ИБ ИТ-инфраструктуры КВО: ИБ-специалистам не всегда предоставляется физический доступ к КВО, нередко необходимы специальные разрешения на допуск, что может быть связано с дополнительным инструктажем, обучением, экзаменами и т. п. Даже наличие контракта с заказчиком не всегда облегчает доступ экспертов на обследуемые площадки.
Из архитектурных сложностей г-н Косихин отмечает территориальную разнесенность КВО; в то же время для того чтобы понять архитектуру, необходимо оценку ситуации проводить именно на местах: как осуществляется допуск к элементам АСУ ТП с серверов и рабочих станций, как расположены контроллеры, как они друг с другом взаимодействуют...
Среди технологических проблем г-н Косихин выделяет использование ИБ-средств, не адаптированных к протоколам, по которым работает большинство АСУ ТП. В этом случае приходится продумывать общую архитектуру системы защиты таким образом, чтобы минимизировать возникающие риски иными средствами, например, разграничением физического доступа сотрудников, расширенным логированием и т. п.
Со своей стороны г-н Стефанов к технологическим проблемам относит ограничения, связанные с непрерывным функционированием АСУ ТП в круглосуточном режиме. Организационные ограничения, на его взгляд, связаны с тем, что службы ИТ и эксплуатации АСУ ТП имеют отличные от службы ИБ приоритеты. У одних это доступность информационных ресурсов и непрерывность работы, у других — обеспечение ИБ. Ещё одна сложность — длительная процедура согласования любых работ между многочисленными службами, включая обслуживающие компании-аутсорсеры.
К архитектурным факторам, затрудняющим защиту ИТ-инфраструктур КВО, Владимир Черкасов относит необходимость взаимодействия сетей АСУ ТП с корпоративными сетями передачи данных, что обусловлено все более тесной интеграцией процессов управления ТП и корпоративного управления. В связи с этим приходится дополнительно решать вопросы обеспечения ИБ межсетевого взаимодействия.
То, что заказчики отдают предпочтение готовым программно-аппаратным комплексам известных разработчиков, а не разрабатывают АСУ ТП под себя с нуля, делает общедоступной информацию об архитектуре АСУ ТП, о порядке обслуживания, о возможностях подключения, уязвимостях и т. д., что также отрицательно сказывается на ИБ ИТ-инфраструктуры КВО.
По мнению г-на Черкасова, на этапах разработки и внедрения АСУ ТП часто не обращают внимания на ИБ-проблемы, что существенно затрудняет реализацию ИБ на этапе эксплуатации. Иногда разработчики и интеграторы АСУ ТП побуждают владельцев систем использовать конкретные средства защиты, запрещая вносить какие-либо изменения в свои платформы под угрозой снятия заказчиков с сервисного обслуживания. Это также затрудняет внедрение эффективной комплексной системы защиты.
Специальные средства защиты ИТ-инфраструктур КВО
Как считает г-н Бычек, для эффективной защиты ИТ-инфраструктуры КВО нужны дополнительные специальные ИБ-средства, в которых должны быть учтены критерии их защищенности и факторы, затрудняющие процесс их защиты. Это проактивные аналитические системы, позволяющие неинтрузивными методами анализировать инфраструктуру КВО и иметь средства для построения ее виртуальной модели, учитывающей конфигурацию сетеобразующих устройств (маршрутизаторов, балансировщиков нагрузки и т. д.), сегментирующих устройств и ИБ-систем (межсетевых экранов, IPS и т. д.), хостов, контроллеров и других элементов КВО. Они должны поставлять информацию об угрозах и уязвимостях, иметь средства автоматизации процесса анализа рисков, приоритизации уязвимостей, составления эффективного плана минимизации рисков до приемлемого уровня, построения рабочего процесса таким образом, чтобы выполнялись установленные регламенты по внесению изменений в инфраструктуру КВО и устройства, обеспечивающие информационный ее обмен с другими сетями (бизнес-сетями, Интернетом, сетями партнеров и т. д.).
По мнению г-на Косихина, для ИТ-инфраструктуры КВО можно эффективно использовать и системы защиты, применяемые для стандартных ИТ-инфраструктур, хотя некоторых функциональных возможностей в них не хватает, а некоторые, наоборот, избыточны применительно к АСУ ТП. Так, и в ИТ-инфраструктуре КВО необходимо разграничивать доступ к ее элементам, вести контроль целостности ПО, обеспечивать защиту от использования съемных носителей и т. п., но при этом совершенно не нужно, допустим, контролировать утечки конфиденциальной информации. В то же время применяемые ИБ-средства должны распознавать специфичные для АСУ ТП сетевые протоколы.
Большинство представленных на российском рынке ИБ-продуктов адаптированы для защиты зарубежных АСУ ТП, но не сертифицированы по требованиям нашего законодательства, поскольку зарубежные вендоры не всегда готовы предоставлять исходные программные коды своих продуктов, что необходимо для сертификации. Отечественных же ИБ-решений требуемого уровня, как считает г-н Косихин, пока нет.
Руслан Стефанов отмечает две основные тенденции в НИОКР в сфере ИБ АСУ ТП. Первая — встраивание средств обеспечения ИБ непосредственно в технологическую среду (контроллеры, исполняющие устройства, пункты технологического и диспетчерского управления, специализированное ПО) на стадии проектирования и производства. Это позволяет учесть специфику функционирования АСУ ТП и отказаться от использования наложенных ИБ-средств.
Вторая тенденция — исследования в области “умных” обновлений ПО. Такие обновления должны вести себя предсказуемо при установке, корректно наследовать настройки и устанавливаться без остановки технологического процесса. Согласно наблюдениям г-на Стефанова, уже есть проекты АСУ ТП, которые сами следят за корректностью установки обновлений ПО.
История с вирусом Stuxnet показала, что гарантированно защититься от целенаправленных кибератак невозможно. Поэтому, по мнению Владимира Вакациенко, технического эксперта RSA компании “ЕМС Россия и СНГ”, нужно внедрять стандартные организационно-технические методы обеспечения ИБ. Необходимы также средства, которые позволят контролировать события во всей ИТ-инфраструктуре КВО, а не только в АСУ ТП, и своевременно выявлять аномалии.
Владимир Черкасов отмечает, что на рынке есть ИБ-средства, “заточенные” под особенности АСУ ТП, — специализированные межсетевые экраны, средства защиты межсетевого взаимодействия типа “диодов данных” (Data diode), обеспечивающие на физическом уровне однонаправленную передачу данных между технологическим сегментом и остальной корпоративной сетью. При этом, напоминает он, нельзя категорично утверждать, что обычные средства защиты межсетевого взаимодействия, настроенные должным образом, не могут применяться в сетях АСУ ТП в тех же целях. По его наблюдениям, базами уязвимостей компонентов АСУ ТП, а также необходимой поддержкой промышленных протоколов сегодня обзавелись системы обнаружения и предотвращения вторжений и анализа защищенности.
Состояние защищенности ИТ-инфраструктуры КВО в России
Готова ли ИБ-индустрия обеспечить полноценную защиту инфраструктуры российских КВО? Главную проблему здесь г-н Степаненко видит в том, что потенциальный для объектов КВО злоумышленник скорее всего обладает высоким профессионализмом и использует целевые атаки, а наработанной практики противодействия таким атакам в нашей стране практически нет. Именно поэтому для многих КВО их АСУ ТП проектируются изолированно от внешних систем.
Владимир Бычек оптимистично смотрит на перспективы российского ИБ-рынка с точки зрения его потенциальной способности обеспечить ИБ АСУ ТП. По его наблюдениям, практически все российские ИБ-интеграторы испытывают большой интерес к защите инфраструктур КВО, наращивают компетенции в этой области, изучают рынок подходящих решений. Разработчики средств борьбы с вредоносным кодом, как и вендоры сканеров безопасности, работают над выявлением уязвимостей в специфических элементах инфраструктуры КВО, пробуют свои силы в аудите их ИБ. На рынке появились и быстрыми темпами совершенствуются новые системы обеспечения ИБ инфраструктур КВО.
ИБ-интеграторы, считает и г-н Косихин, уже сейчас могут обеспечить необходимый для КВО уровень защиты, даже применяя для этого ИБ-средства, не адаптированные под их специфику. Однако отечественных продуктов, ориентированных на защиту промышленных АСУ, по его наблюдениям, крайне мало. Хотя в последние два года многие российские разработчики озаботились выпуском ИБ-продуктов такого класса, способных конкурировать с зарубежными аналогами, большинство из них пока находятся в стадии разработки или пилотных испытаний, а на рынке появятся года через два-три.
Состояние российской регулятивной базы для области ИБ КВО
Андрей Степаненко с сожалением констатирует, что готовой нормативной базы в нашей стране для этой области нет. Наши регуляторы хотя и прилагают усилия в данном направлении, но все еще существенно отстают от своих зарубежных коллег, например, из США и стран Европы, где уже действует ряд нормативных документов, причем привязанных к конкретным отраслям, в то время как у нас только обсуждается проект закона “О безопасности критической информационной инфраструктуры Российской Федерации”, для исполнения которого еще потребуется разрабатывать дополнительные нормативные акты.
Руслан Стефанов считает, что российскому ИБ-рынку сегодня понятно, куда двигаться в области обеспечения ИБ КВО. Он отмечает, что почти готовы документы верхнего уровня, которые определяют общие положения организации ИБ АСУ ТП. Но остается много вопросов по нормативным документам нижнего уровня, определяющим, как достигать указанных целей. В такой ситуации специалистам приходится полагаться на собственный опыт.
Алексей Косихин отмечает, что в настоящее время специалисты руководствуются рекомендациями ФСТЭК РФ от 2005 — 2007 гг., рассчитанными на ключевые системы информационной инфраструктуры, которые, по его мнению, в принципе и являются КВО. Однако обязательность исполнения этих рекомендаций законодательно не закреплена.
Непосредственно в области регулирования ИБ КВО г-н Черкасов (отмечая в целом нехватку методических материалов, согласованных российскими регуляторами) выделяет несколько нормативных документов:
- “Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утвержден Президентом РФ 12.02. 2012);
- федеральный закон № 256-ФЗ от 21.06.2011 “О безопасности топливно-энергетического комплекса” (частный случай КВО);
- “Система признаков КВО и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий” (Совет безопасности, 08.11.2005);
- проект ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”;
- методические документы ФСТЭК РФ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (2007 г.).
Первые четыре документа г-н Черкасов относит к высокоуровневым, определяющим государственную политику, основные принципы и методы государственного регулирования в данной сфере. Методические документы ФСТЭК по обеспечению безопасности информации в ключевых системах информационной инфраструктуры содержат, на его взгляд, конкретные детализированные требования и методы обеспечения ИБ КВО, а также рекомендации по их выполнению. Но и они уже требуют актуализации, поскольку существуют пять лет, а в ИТ и ИБ это большой срок.
Аркадий Прокудин оценивает состояние нормативной базы, относящейся к области ИБ КВО, как сформированной частично. Есть, например, документы Совета безопасности РФ и ФСТЭК, трактующие подходы к организации защиты КВО, но неясно, как обстоят дела с выполнением плана, опубликованного в документе “Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами…”. В нем выделены следующие этапы:
- 2012—2013 гг. — первичное планирование и определение бюджета;
- 2014—2016 гг. — выпуск основных нормативных документов, проведение первоочередных мероприятий, разработка комплексных систем защиты, ввод первой очереди ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак, создание сил и средств ликвидации последствий инцидентов;
- 2017 г. — основные внедрения систем и их поддержка.
Таким образом, в том, что касается совершенствования нормативной базы ИБ КВО, предстоит еще большая работа, но это вполне типичная для ИТ-индустрии ситуация, обусловленная свойственными ей быстрыми темпами технологических изменений.
