Формирование требований для обеспечения безопасности сложных промышленных объектов

топливно-энергетического комплекса

И.И. Лившиц, к.т.н., СПИИРАН, Санкт-Петербург Livshitz.il@yandex.ru

В.В. Маликов, к.т.н., доцент, Департамента охраны МВД Республики Беларусь,

malvvv104@mail.ru

IV конференция “Информационная безопасность АСУ ТП КВО”

Постановка задачи

В настоящее время проблема формирования требований для обеспечения безопасности сложных промышленных объектов (СлПО) для топливно-энергетического комплекса (ТЭК) является актуальной для специалистов в области обеспечения ИБ. Для лиц, принимающих решения (ЛПР) важно унифицировать совокупность требований, принятых на законодательном уровне: Федеральные законы, постановления Правительства, приказ ФСТЭК № 31 и дополнительно применять современные стандарты ISO, прежде всего ISO серии 27001 и «целевой» стандарт для энергетики ISO 50001, которые совместно формируют методологическую основу обеспечения ИБ для СлПО ТЭК

Методологическая основа обеспечения ИБ

Основное внимание – защите активов!

В любой системе менеджмента одним из важнейших вопросов является вопрос корректного выявления перечня активов (в системе менеджмента информационной безопасности (СМИБ) в нотации ISO 27000 – asset), для которых требуется обеспечить защиту от актов незаконного вмешательства. Для ТЭК проблему выявления и защиты критически важных объектов, возможно сопоставить с общей проблемой выявления и защиты ценных для бизнеса активов СлПО в СМИБ и/или ИСМ. В стандартах ISO изложена четкая логика данного процесса – выделенная совокупность ценных (критичных) активов, намеченных ЛПР к защите в составе СМИБ объектов ТЭК, требует определенных ресурсов (временных, технических, персонал) для оценки уязвимостей, анализа соответствующих угроз, формирования файла рисков и плана обработки рисков.

Выявление критичных (ценных для бизнеса) активов

Сколько стоит защита действительно ценных активов?

КСМИБ =И тек.И баз. ∙ ∑ ∑ 𝑴𝑴𝟑𝟑

𝒌𝒌 = 𝟏𝟏 ИБ 𝒊𝒊𝒌𝒌 ∙ 𝜶𝜶𝒊𝒊𝒌𝒌 𝒎𝒎𝒊𝒊 = 𝟏𝟏

∑ А𝒋𝒋𝒏𝒏𝒋𝒋=𝟏𝟏 ∙ 𝑽𝑽𝒋𝒋

Итек – кол-во выявленных инцидентов ИБ за текущий период; Ибаз – кол-во инцидентов ИБ за предыдущий период; i (1, m) – перечень мер и средств контроля и управления ИБ; k (1, 3) – виды аудитов (первой, второй и третьей стороной); М ИБ ik – стоимость i-меры и средств контроля и управления ИБ; αik – оценка результативности i-меры (средства) контроля и управления ИБ по итогам k-аудита; j (1, n) – перечень защищаемых активов; Аj – стоимость защищаемого актива; Vj – оценка значимости для бизнеса защищаемого актива.

Выбор мер и средств обеспечения безопасности

На основании сформированного перечня активов, подлежащих защите, на следующем шаге определяется перечень уязвимостей и угроз, для противодействия применяются определенные меры (средства) обеспечения ИБ (в нотации ISO 27000 – control). Конечной целью применения мер (средств) обеспечения ИБ является снижение потенциального ущерба (потерь) в отношении выбранных активов СлПО ТЭК до приемлемой меры (уровня риска), установленной ЛПР. Для формирования перечня угроз рекомендуется использовать совместно Приложение «В» стандарта ISO 27005 и Приказ ФСТЭК № 31. В качестве возможных критериев, используемых для определения ценности актива, могут быть выбраны: исходная (балансовая) стоимость, стоимость замены (воссоздания) актива в случае реализации неблагоприятного сценария акта незаконного вмешательства (события риска ИБ), или дополнительная ценность (например, ценность репутации и политических рисков).

На основании выбранных критичных активов следует выбирать меры и средства обеспечения безопасности

Статистика роста интереса к стандартам ИСО 27001

ИСО/МЭК 27001

Учет угроз на объектах ТЭК (Постановление № 861)

Представляется полезным сопоставить требования постановления Правительства РФ № 861 (Приложение 1) с перечнем типовых угроз стандарта ISO 27005 (Приложение «С»), специально адаптированный для СлПО ТЭК и целям данной публикации (см. Табл. 1). Также важно, что все упомянутые стандарты ISO 27001 и ISO 50001 реализуют замкнутый цикл PDCA, который обеспечивает многовариантные обратные связи в режиме, близком к РРВ для обеспечения ЛПР в необходимой мере достаточным объемом количественных данных (например – метрик ИБ). Дополнительно важно отметить техническую задачу, реализация которой, как правило, отражена только в стандартах ISO (соответственно, п. 7.5.3 в ISO 27001 и п. 4.6.5 в ISO 50001) – задаче управления записями в СлПО ТЭК. В частности, должны выполняться требования для обеспечения защиты важных записей при предоставлении информации об угрозе, в зависимости от способа (средств): телефонной связи, радиосвязи, электронной или факсимильной связи (п.п. 9 и 10).

«Субъект ТЭК обязан представлять информацию об угрозе совершения и о совершении акта незаконного

вмешательства на объекте…».

Учет угроз на объектах ТЭК (ПП 861 + ИСО 27001)

Анализ уязвимостей в СлПО (Приказ ФСТЭК № 31)

Анализ уязвимостей включает анализ уязвимостей средств защиты информации, технических средств и ПО. Среди методов оценки технических уязвимостей можно отметить методы тестирования ИС, которые применяются для эффективного выявления уязвимостей. Эти методы тестирования включают, например:

Автоматизированные инструментальные средства поиска уязвимостей; Тестирование и оценка безопасности; Тестирование на проникновение; Проверка кодов.

В ст. 9 Приказа ФСТЭК № 31 определено, что паспорт, признанный по результатам актуализации подлежащим замене и утратившим силу, хранится в порядке, установленном субъектом ТЭК, в течение 25 лет. Это требование также соответствует требованиям, соответственно, п. 9.3 в ISO 27001 и п. 4.7 в ISO 50001 по анализу со стороны руководства (“Management Review”).

«Анализ уязвимостей в СлПО проводится в целях оценки возможности преодоления нарушителем системы защиты и

нарушения безопасного функционирования за счет реализации угроз безопасности информации»

Анализ уязвимостей АСУ ТП (как есть на практике…)

Кто действительно выполняет анализ уязвимостей в СлПО

в Вашей практике?

Некоторые недостатки походов ФСТЭК

Необходимость реализации «замкнутого цикла» управления рисками на объектах ТЭК

В тоже время, к сожалению, в постановлениях Правительства не отражены в явном виде требования к обеспечению полного цикла управления рисками для организаций ТЭК. Также практически не предусмотрена оценка остаточного риска (“Residual risk”), которая позволяет дополнительно оценить уровень оценки защищенности активов СлПО ТЭК после применения выбранных мер (средств) обеспечения ИБ и определенного перечня рисков. Это обстоятельство может быть компенсировано применением стандартов ISO, например, в РФ – ГОСТ Р ИСО серии 27001, где требование менеджмента рисков установлено в явном виде и созданием ИСМ – с теми же требованиям и/или дополнительным внедрением «целевого стандарта» ГОСТ Р ИСО серии 31000.

Вы провели проверку на нефтебазе год назад…

Требования по выполнению проверок (аудитов) ТЭК

Требования по выполнению проверок (аудитов) активов СлПО ТЭК установлены, соответственно, в п. 9.2 в ISO 27001 и п. 4.6.3 ISO 50001. Наиболее важные проверки на объектах ТЭК установлены Приказом ФСТЭК № 31 и, дополнительно ISO 27001 (см. Табл. 2). Отметим, что в Приказе ФСТЭК № 31 многократно отмечается важная роль ISO 27001 (даны прямые ссылки, соответственно, на п.п. 13.4 и 15.2).

Требования по выполнению проверок (аудитов) СлПО ТЭК

Требования по выполнению проверок (аудитов) ТЭК

Спасибо за внимание!

И.И. Лившиц, к.т.н., СПИИРАН, Санкт-Петербург Livshitz.il@yandex.ru

В.В. Маликов, к.т.н., доцент, Департамента охраны МВД Республики Беларусь,

malvvv104@mail.ru