Решение УЦСБ для обеспечения кибербезопасности промышленных систем автоматизации и управления

Алексей Комаров Менеджер по развитию решений

Региональный представитель в Москве Уральский Центр Систем Безопасности

Вебинар 24 марта 2016 года

• Жизненный цикл АСУ ТП и системы обеспечения ИБ • Факторы, влияющие на состояние ИБ АСУ ТП, и способы компенсации их влияния • Предпосылки к созданию DATAPK • Подсистемы и функции DATAPK

• Подсистема мониторинга состояния ИБ • Подсистема анализа и корреляции событий ИБ • Подсистема оценки соответствия требованиям по ИБ • Особенности функционирования подсистемы мониторинга

• Демонстрация DATAPK

Содержание

Жизненный цикл АСУ ТП и системы обеспечения ИБ• Основные этапы жизненного цикла • Особенности этапа эксплуатации

Жизненный цикл АСУ ТП

• Упрощённо жизненный цикл АСУ ТП можно представить в виде четырёх основных этапов:

• Отдельно нужно рассматривать этап модернизации, когда система фактически проходит упрощённый вариант подцикла Проектирование - Создание - Эксплуатация.

4

Жизненный цикл СОИБ

• Система обеспечения информационной безопасности (СОИБ) точно также проходит соответствующие этапы жизненного цикла:

• в идеальном случае этапы жизненного цикла СОИБ по времени совпадают с этапами жизненного цикла самой АСУ ТП

5

Особенности этапа эксплуатации АСУ ТП• Самая протяжённая во времени стадия жизненного цикла • АСУ ТП не является неизменной:

• изменение конфигураций компонентов АСУ ТП,

• обновление программного обеспечения, • замена компонентов, вышедших из строя и т.п.

• Может поменяться перечень актуальных угроз • выявления в компонентах АСУ ТП новых уязвимостей

• Могут модифицироваться сами требования обеспечения ИБ • изменения законодательных или отраслевых требований, • пересмотр корпоративной политики

6

Факторы, влияющие на состояние ИБ АСУ ТП, и способы компенсации их влияния• Источники: стандарты и рекомендации • Факторы и мероприятия • САМСИБ

Источники: стандарты и рекомендации• Международная Ассоциация Автоматизации (ISA - International

Society of Automation). • Западные аналитические компании. Например, Langner Group. • Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в АСУ производственными объектами и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды».

8

Факторы и мероприятия ИБ

9

Факторы Мероприятия ИБ

Изменение компонентов АСУ ТП и/или их конфигураций

• Инвентаризация компонентов АСУ ТП• Контроль конфигураций компонентов АСУ ТП

• Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП

Возникновение новых уязвимостей

• Контроль защищённости компонентов АСУ ТП

• Обнаружение компьютерных атакИзменение требований по обеспечению ИБ

• Контроль соответствия требованиям по обеспечению ИБ

САМСИБ и DATAPK

• Для автоматизации и выполнения мероприятий по обеспечению информационной безопасности АСУ ТП предназначены системы класса САМСИБ - система анализа и мониторинга состояния информационной безопасности. • Одним из вариантов реализации САМСИБ является использование ПАК DATAPK.

10

Программно-аппаратный комплекс DATAPK• УЦСБ и ИБ АСУ ТП • Что в основе DATAPK? • Функции DATAPK • Подсистемы DATAPK • Режимы функционирования подсистемы мониторинга DATAPK

УЦСБ и ИБ АСУ ТП

• Выделенное направление - более трёх лет функционирования • Исследования по теме ИБ АСУ ТП • Аудиты действующих АСУ ТП • Проектирование систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK • Обучающие семинары для заказчиков • Серия вебинаров ИБ АСУ ТП NON-STOP

12

Что в основе DATAPK?

• Проекты по защите «больших», действующих АСУ ТП • Работа с разработчиками АСУ ТП • Анализ рынка средств ИБ для АСУ ТП • Для действующих АСУ ТП нужна Система анализа и мониторинга состояния ИБ (САМСИБ) • Чтобы построить САМСИБ нужно разработать DATAPK

13

Функции DATAPK

• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ

14

Схема реализации функций DATAPK

15

Подсистемы DATAPK• Подсистема мониторинга состояния ИБ • Подсистема анализа и корреляции событий ИБ • Подсистема оценки соответствия требованиям по ИБ Такое функциональное разделение на несколько подсистем с чётко ограниченным перечнем функций для каждой из подсистем позволяет при проектировании использовать модульный подход, когда различные подсистемы и их функции могут быть реализованы на базе решения DATAPK, так и на базе решений других производителей.

16

Подсистема мониторинга состояния ИБ• Определение текущего состава компонентов АСУ ТП • Выявление изменений в составе компонентов АСУ ТП • Сбор конфигураций компонентов АСУ ТП • Проверка компонентов АСУ ТП на наличие уязвимостей • Обнаружение компьютерных атак • Выявление сетевых аномалий • Сбор событий информационной безопасности с компонентов АСУ ТП Данная подсистема является наиболее критичной с точки зрения степени её непосредственного влияния на АСУ ТП, поэтому реализуемым ей функциям при проектировании должно быть максимально пристальное внимание.

17

Подсистема анализа и корреляции событий ИБ

• Систематизация и анализ значимости событий ИБ • Выявление изменений конфигураций компонентов АСУ ТПМодули, реализующие данную подсистему могут быть вынесены во внешние по отношению к сети АСУ ТП сегменты и с компонентами АСУ ТП не взаимодействовать.

18

Подсистема оценки соответствия требованиям по ИБ

• Выявление инцидентов ИБ • Оценка выполнения требований безопасной конфигурации • Формирование отчётов • Интеграция с комплексной автоматизированной системой управления информационной безопасностью (при её наличии)Самая высокоуровневая подсистема, реализующая наиболее интеллектуальные функции.

19

Схема функциональной структуры DATAPK

20

АСУ ТП

Уровень филиала

Уровень объекта

Уровень предприятия

СДКУ, СППДР, ПЭМ, АСУ Э

СДКУ, СППДР, ПЭМ, АСУ Э,

СЛТМ

АСУ Э, САУиР КЦ,

СДКО, АСПСиПТ

Режимы функционирования подсистемы мониторинга DATAPK

21

Функции Подсистемы мониторинга состояния ИБ

Пассивный мониторинг

Активный мониторинг

Сканирование защищённости

Определение текущего состава компонентов АСУ ТП Нет Нет Да

Выявление изменений в составе компонентов АСУ ТП Да Да Да

Сбор конфигураций компонентов АСУ ТП Нет Да Да

Проверка компонентов АСУ ТП на наличие уязвимостей Нет Нет Да

Обнаружение компьютерных атак Да Да Да

Выявление сетевых аномалий Да Да Да

Сбор событий информационной безопасности с компонентов АСУ ТП Да/Нет Да Да

Демонстрация DATAPK• Примеры интерфейса • Демо-стенд

Безопасность–процесс,анепродукт

25

УправлениеИБ

Подготовка,планирование Проектирование

Вводвдействие,модернизация

Постояннаяэксплуатация

Аудит

Консалтинг

Моделирование,подборрешений Разработка

архитектуры

Разработкапроектнойдокументации

Обучение

РазработкапакетаОРД

Инсталляция

Оценкасоответствия

Сопровождение

Техническоеобслуживание

Спасибозавнимание!

АлексейКомаров

http://ZLONOV.ru @zlonov

КомпанияУЦСБТел.: +7 (343) 379-98-34

E-mail: info@ussc.ru www.USSC.ru