КВО ТЭК - Обоснованные требования регулятора
TRANSCRIPT
«Мониторинг критически важных информационных систем: обоснованные требования регуляторов»
Алексей КачалинЗАО «Перспективный Мониторинг»
ЗАО «ПМ» - о нас
О ЗАО «ПМ»
Аналитический и инструментальный анализ ПО и ИС
С 2012 года – работаем по направлению повышения безопасности разработки
В 2014 запустили ЦМПринимаем участие в работе с регуляторами ИБ – ТК26, ТК362
ИБ КВО – вызовы новой эпохи
Априорная безопасность
Вероятностная безопасность
Безопасность по построению
Глобальная проблема «революционного» развития:
Потребности и сценарии «на острие прогресса», при этом ИБ отстает на годы
http://www.dlg.org/fileadmin/downloads/food/Expertenwissen/e_2015_5_Expertenwissen.pdf
ЕСЛИ вас «сломают»
КОГДА вас «сломают»
ИБ-наложенные-периметр
встроенная ИБ
Новые(?) требования
31 ФСТЭК
БР СЗИ
СОПКА База УБИ
Основания для безопасности
Требования по обеспечению ЗИ – 31 п. ФСТЭК
Разработка (СЗИ) - ФСТЭК
Безопасная разработка (СЗИ)
Сертификация СЗИ
Эксплуатация - уязвимости (СЗИ) - ФСТЭК
База уязвимостей и процесс их устранения
Мониторинг ИБ – СОПКА ФСБ
Пункт 13.3 приказа ФСТЭК России от 14 февраля 2014 г. № 31
«Угрозы безопасности информации определяются на каждом из уровней автоматизированной
системы управления по результатам: анализа возможных уязвимостей автоматизированной системы управления».
Пункт 15.7 приказа ФСТЭК России от 14 февраля 2014 г. № 31
«По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) автоматизированной системы управления.
В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей»
Приказ ФСТЭК России № 31 от 14 марта 2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
ГосСОПКА: нормативная база
Указ Президента Российской Федерации от 15 января 2013 г. №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» http://www.rg.ru/2013/01/18/komp-ataki-site-dok.html
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утверждённая Президентом Российской Федерации 12 декабря 2014 г. (№ К 1274, далее – Концепция и система ГосСОПКА соответственно) http://www.scrf.gov.ru/documents/6/131.html
СОПКА: О чём и для чего?(простыми словами)
Указ определяет:основные задачи системы ГосСОПКАФСБ России – полномочным ведомством по её созданиюдополнительные полномочия ФСБ России в части создания системы ГосСОПКА
Концепция определяет и детализирует:назначение, функции и принципы создания системы ГосСОПКА а также виды обеспечения, необходимые для этогоорганизационные основы системы ГосСОПКАнормативно-правовое, научно-техническое, информационно-аналитическое, кадровое и организационно-штатное обеспечение создания и функционирования системы ГосСОПКА
Центры мониторинга - основная организационно-технической составляющая системы ГосСОПКА
Эволюция требований контроля ИБ
СОПКА и Центры Мониторинга
Идея создания центров мониторинга имеет не только директивный характер, но и является результатом эволюции понимания того, как должна выглядеть система защиты, адекватная актуальным угрозам информационной безопасности
В соответствии с Концепцией Центры мониторинга являются ядром ГосСОПКА, без создания и развёртывания которых указанная система не состоится
Создание ЦМ и ГосСОПКА в целом предполагает активное участие предприятий промышленности, работающих в области ИБ (лицензиаты ФСБ России)
Основная техническая задача: обеспечение взаимоувязанной работы СЗИ различного назначения и создание единой консоли анализа и управления для них, как ключевого элемента центра мониторинга
Центры Мониторинга• Территориальные• Ведомственные• Корпоративные ЦМ• Коммерческие ЦМ
(лицензиаты, сертифицированные СЗИ)
Основные задачи Центров мониторинга
Обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы
Проведение мероприятий по оценке защищенности контролируемых информационных ресурсов
Проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы
Сбор и анализ данных о состоянии информационной безопасности в контролируемых информационных ресурсах
Осуществление взаимодействия между Центрами
Информирование заинтересованных лиц и субъектов Системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак
Наш опыт: мониторинг и аудит
Регулярный аудит ИБ ИС
Центр Мониторинга
«Воронка» обработки информации*
События ИС 106-107
События сенсоров ИБ
500 000Важные ИБ-
события
150 000ИБ-
критичные
1000<<10
* Дневная статистика для организации ~500РС, 50 Серв
Инциденты
Дополнительные источники информации
Взаимосвязь СЗИ и процессов ИБ
: Безопасная разработка ГОСТ SDL
Обоснование для включения в проекты доп. работ по безопасной разработке
«Инструкция» по выполнению требований п. 18.14 31 приказа
«Безопасность по построению» – надежнее и дешевле
18.14. Меры по обеспечению безопасной разработки прикладного и специального программного обеспечения должны обеспечивать выявление, анализ и устранение разработчиком уязвимостей программного обеспечения автоматизированной системы управления, определенного заказчиком, на всех этапах (стадиях) его разработки, а также контроль принимаемых мер по выявлению, анализу и устранению уязвимостей со стороны заказчика и (или) оператора автоматизированной системы управления.
: Безопасная разработка базауязвимостей
Регулируемые правила
ЖЦ уязвимости
Мониторинг уязвимостей продуктов и компонентов
Единая база фактов и понятий
Устранение «пробелов» в процессе безопасной разработки (эксплуатации)
Пересечение требований: 31-й приказ + СОПКА + безопасная разработка
идентификацию и аутентификацию субъектов доступа и объектов доступа;управление доступом субъектов доступа к объектам доступа;ограничение программной среды;защиту машинных носителей информации;регистрацию событий безопасности;антивирусную защиту;обнаружение (предотвращение) вторжений;контроль (анализ) защищенности информации;целостность автоматизированной системы управления и информации;доступность технических средств и информации;защиту среды виртуализации;защиту технических средств и оборудования;защиту автоматизированной системы и ее компонентов;
безопасную разработку прикладного и специального программного обеспечения;управление обновлениями программного обеспечения;планирование мероприятий по обеспечению защиты информации;обеспечение действий в нештатных (непредвиденных) ситуациях;информирование и обучение персонала;анализ угроз безопасности информации и рисков от их реализации;выявление инцидентов и реагирование на них (управление инцидентами);управление конфигурацией автоматизированной системы управления и ее системы защиты.
В соответствии с 31-м приказом необходимо обеспечить
Новая Информационная БезопасностьЗафиксировать проблему
Технический анализ – большие данныеНесистематизированные данные - публикация информации об уязвимости Сети обмена информацией об уязвимостяхОбращения пользователей
Анализ, интерпретацияСкорость реакции - сократить «окно уязвимости»Анализ с учётом контекста
Локализовать и ограничить В пространстве – свои и чужие ИСВо времени - ретроспективный анализ
Устранение причинФундаментальное, надежное
Устранение аналогичных проблемАнализ предпосылок
Безопасность создаваемых ИСДоверие к продуктам и компонентамДоверие к процессу разработкиВстроенная ИБ
Безопасность – общее дело: обмен информацией
С пользователямиС ИБ сообществомС ЦМ/CERT
Концептуальная безопасностьПрактичные требования регуляторовКонцепция ИБ Industry 4.0
Потенциал совокупности требований
Соответствует актуальным угрозам
Замкнутая и полная система требований
Требования и проектирование
Разработка и тестирование
Эксплуатация
Мониторинг и реагирование
Акцент на практическую защищённость
Определены практические меры по реализации положений
Обратная связь (аудит, инциденты)
Актуализация требований
Взаимосвязь СЗИ, автоматизация процессов ИБ
Качалин АлексейДиректор ЗАО «ПМ»
@kchln [email protected]
Аналитический и инструментальный анализ ПО и ИС
Внедрение практик безопасной разработки
Центр Мониторинга ИБ
ЗАО «Перспективный Мониторинг»
ФЗ РФ от 21 июля 2011 г. N 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
Статья 11. Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса
1. В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.
2. Информация о системах, указанных в части 1 настоящей статьи, является информацией, доступ к которой ограничен федеральными законами. Указанная информация вносится в паспорта безопасности объектов топливно-энергетического комплекса.