Стандарты безопасности АСУ ТП и их применимость в...

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/39

Обзор мировых стандартов ИБ АСУ ТП и советы по их применимости в российских условиях

Алексей Лукацкий

Бизнес-консультант по безопасности, Cisco

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/39

3 подхода в разработке стандартов по безопасности АСУ ТП

Стандарт

Из общих требований

Нишевый стандарт

С нуля

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/39

Обзор стандартов

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/39

Рекомендации NERC CIP

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/39

Стандарт ISA SP99

ISA 99.00.01 Security for Industrial Automation and Control Systems: Concepts, Models and Terminology

ISA 99.00.02 Establishing an Industrial Automation and Control Systems Security Program

ISA 99.00.03 Operating an Industrial Automation and Control Systems Security Program

ISA 99.00.04 Specific Security Requirements for Industrial Automation and Control Systems

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/39

American Petroleum Institute

API Security Guidelines for the Petroleum Industry

API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries

API 1164 «SCADA Security»

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/39

American Gas Association (AGA 12)

AGA 12-1 Background, Policies and Test Plan

AGA 12-2 Retrofit Link Encryption for Asynchronous Serial Communications

AGA 12-3 Protection of Networked Systems

AGA 12-4 Protection Embedded in SCADA Components.

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/39

Стандарты IEC

International Electrotechnical Commission

IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»

IEC 61784-4 «Digital data communications for measurement and control – Profiles for secure communications in industrial networks»

IEC 62443 «Security for industrial process measurement and control – Network and system security»

IEC 62351 «Data and Communication Security»

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/39

IEC 62351

IEC 62351 «Data and Communication Security»

IEC 62351-1: Data and Communication Security – Introduction

IEC 62351-2: Data and Communication Security – Glossary of Terms

IEC 62351-3: Data and Communication Security – Profiles Including TCP/IP

IEC 62351-4: Data and Communication Security – Profiles Including MMS

IEC 62351-5: Data and Communication Security – Security for IEC 60870-5 and Derivatives (i.e. DNP 3.0)

IEC 62351-6: Data and Communication Security – Security for IEC 61850 Profiles

IEC 62351-7: Data and Communication Security – Security Through Network and System Management

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/39

Связь стандартов IEC по PCN с IEC62351

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/39

Другие стандарты для энергетики

Проект ISO 27009. Information security management guidelines for process control systems used in the energy utility industry on the basis of ISO/IEC 27002

Advanced Metering Infrastructure(AMI) System Security Requirements

Security Profile for Advanced Metering Infrastructure

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12/39

Стандарты IEEE

IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»

IEEE 1686-2007, IEEE Standard for Substation Intelligent Electronic Devices(IED) Cyber Security Capabilities

IEEE P1711 - Trial Use Standard for a Cryptographic Protocol for Cyber Security of Substation Serial Links

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/39

Стандарты NIST

NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»

NIST SP800-53 «Security and Privacy Controls for Federal Information Systems and Organizations»

NISTIR 7628 Guidelines for Smart Grid Cyber Security

NIST PCSRF Security Capabilities Profile for Industrial Control Systems

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/39

Сертификация по «Общим критериям»

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/39

Другие стандарты

Guidance for Addressing Cyber Security in the Chemical Industry

FERC Security Standards for Electric Market Participants Security Guidelines for the Natural Gas Industry

Cisco SAFE for PCN

GB/T 22239-2008 “Baseline for classified protection of information system security”

China National Information Technology Standardization

Good Practice Guide, Process Control and SCADA Security (UK)

Centre for the Protection of National Infrastructure(CPNI)

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/39

Краткое резюме

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/39

Краткое резюме (продолжение)

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/39

Краткое резюме (продолжение)

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/39

Краткое резюме (окончание)

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/39

Но проще почитать NIST SP800-82

Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82

Выпущен в июне 2011 года

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/39

Стандарты РФ

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/39

Нормативные документы ФСТЭК

Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах

Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/39

Требования по защите КСИИ 1-го типа

Группы требований Уровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого

взаимодействия в КСИИ 4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/39

Требования по защите КСИИ 2-го типа

Группы требований Уровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/39

Стандарты Газпрома

Стандарты Газпрома по ИБ

СТО Газпром 4.2-0-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Базовая модель угроз информационной безопасности корпоративным информационно-управляющим системам

СТО Газпром 4.2-3-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Руководство по разработке требований к объектам защиты

СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Правила оценки рисков

СТО Газпром 4.2-3-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Правила классификации объектов защиты

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/39

Стандарты Газпрома

Стандарты Газпрома по безопасности АСУ ТП

Р Газпром 4.2-0-003. Типовая политика информационной безопасности автоматизированных систем управления технологическими процессами

СТО Газпром 4.2-2-002. Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/39

Можно ли применять в России международные стандарты?

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/39

Что включено в международные стандарты по ИБ АСУ ТП?

Источник: SCADA System Cyber Security – A Comparison of Standards

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/39

От каких угроз защищаемся?

Источник: SCADA System Cyber Security – A Comparison of Standards

Актуальна ли тема поддержки

ГОСТа?

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/39

Как построен NIST SP800-82?

FIPS PUB 2000

Определяет 17 областей с минимальным набором требований по ИБ

NIST SP800-53

Определяет порядок выбора нужных защитных мер

Все государственные ИС (включая и АСУ ТП) должны строиться на базе этих требований

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/39

Можно ли на базе ISO27001/27002?

Источник: SCADA System Cyber Security – A Comparison of Standards

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/39

Надо комбинировать

В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-SP99

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/39

Общие требования по обеспечению безопасности КСИИ

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/39

Рецепт хорошего стандарта

Чтобы разрабатывать стандарт по безопасности АСУ ТП на базе какого-либо имеющегося документа необходимо чтобы этот документ включал в себя все основные требования по безопасности

Примером является FIPS PUB 200 / NIST SP800-53 в США или ISO 27001-27005 в мире

В России таких целостных и всесторонних нормативных документов пока нет

Добавить специфику АСУ ТП

Лучше ориентироваться на NERC CIP, ISA SP99, NISTIR 7628

Добавить отраслевую специфику

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/39

Где взять специфику АСУ ТП?

Cyber Security Procurement Language for Control Systems

Документ (145 стр.) аккумулирует принципы ИБ, которые должны учитываться при разработке и приобретении АСУ ТП и сервисов с ней связанных

Это рекомендация – не стандарт

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/39

Отраслевая специфика

В России еще ГАС «Выборы», кадастры и все, что влияет на национальную безопасность

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/39

Кулинарная книга разработчика

Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/39

Опыт в России есть! Надо только начать!

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/39