Стандарты безопасности АСУ ТП

© 2008 Cisco Systems, Inc. All rights reserved. Critical infrastructure Security 1/73 Cisco Confidential

Стандарты безопасности АСУ ТП

Алексей Лукацкий

Бизнес-консультант по безопасности

2/73 © 2008 Cisco Systems, Inc. All rights reserved. Critical infrastructure Security Cisco Confidential

Содержание

Что такое АСУ ТП

Безопасность АСУ ТП


ISA SP99

NERC

Guidance for Addressing Cyber Security in the Chemical Industry

NIST PCSRF Security Capabilities Profile for Industrial Control Systems

IEC 61784-4

Cisco SAFE for PCN

КСИИ ФСТЭК


Что такое АСУ ТП?


Исторически системы АСУ ТП это…

Закрытые разработки

Полные вертикализированные решения

Созданы по индивидуальному проекту

Используют специализированные средства связи

Проводные, оптические, беспроводные, синхронные и асинхронные и т.д.

Сотни различных протоколов

Низкая скорость работы приложений (например, 1200 бод)

Длительный срок эксплуатации: 15–20 лет

Спроектированы без учета требования обеспечения ИБ


Third Party

Controllers,

Servers, etc.

Serial, OPC

or Fieldbus

Engineering

Workplace

Уровень датчиков и

исп. механизмов

Firewall

Уровень АСУТП

верхнего уровня

Third Party

Application

Server

Application

Server

Historian

Server

Workplaces Enterprise

Optimization

Suite

Mobile

Operator

Connectivity

Server

Уровень ПЛК

Redundant

Корпоративная ЛВС

Serial RS485

Современная АСУ ТП

IP

Internet

Корпоративная

ЛВС


Тенденции в АСУ ТП

Использование широко распространенных технологий

Операционные системы – Windows, WinCE, Linux, различные встроенные ОС реального времени

Приложения – БД, web-сервера, web-браузеры и т.д.

Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP и т.д.

Подключение АСУ ТП к корпоративным сетям

Увеличение эффективности управления предприятием

Удаленный доступ

Распространение IP и Ethernet сетей

Общеприняты на верхнем уровне, и распространяются ниже

Много старых протоколов могут использовать TCP и UDP как транспорт

Большинство современных промышленных устройств имеют Ethernet порты


Новые компоненты АСУ ТП основанные на IP

ODVA (Rockwell)

Profinet

Foundation Fieldbus HSE

Telvent

ABB 800xA

Honeywell Experion

Emerson DeltaV

Yokogawa VNET/IP

Invensys Infusion

И т.д.

IP работает на уровне ЛВС АСУ ТП и даже доходит до уровня датчиков и исп. механизмов

Не все полностью совместимы с спецификациями IP протоколов


Проблемы обеспечения ИБ в АСУ ТП


Проблемы реализации мер ИБ

Защита от атак DoS и DDoS

Плохая реализация сетевых протоколов в устройства АСУ ТП

Не установленные обновления ОС и приложений

Отсутствие антивирусов

Плохая аутентификация и авторизация

Плохой аудит и регистрация событий

Не целевое использование ресурсов АСУ ТП

Требования по удаленному доступу/интеграции

Человеческий фактор


Другие ограничения

Экстремальные условия эксплуатации

Не типовые физические топологии

Много устройств специального назначения с ограниченной функциональностью

Статические сетевые конфигурации

Широковещательный и многоадресный трафик

Длительный срок эксплуатации

Большое кол-во устаревшего оборудования


Угрозы безопасности в современных АСУ ТП

Распространенные технологии + IP + Связность = существенные угрозы безопасности

Такие же угрозы, что и корпоративных сетях и даже больше

Worms and Viruses Legacy OSes and applications

DOS and DDOS impairing availability Inability to limit access

Unauthorized access Inability to revoke access

Unknown access Unexamined system logs

Unpatched systems Accidental misconfiguration

Little or no use of anti-virus Improperly secured devices

Limited use of host-based firewalls Improperly secured wireless

Improper use of ICS workstations Unencrypted links to remote sites

Unauthorized applications Disgruntled insiders

Unnecessary applications Organized crime

Open FTP, Telnet, SNMP, HTML ports Terrorists

Fragile IP stacks in control devices Hacktivists

Network scans by IT staff Eco-terrorists

Passwords sent in clear text Nation states

Default passwords Blended attacks

Password management problems Competitive espionage

Default OS security configurations Extortion


Вендорам требуется удаленный доступ для

• Обновлений системного и фирменного ПО

• Патчей ПО, обновлений функций

• Поддержки

Методы доступа включают

• Remote Dialup (незащищенные модемы)

• Незащищенный / неавторизованный беспроводной доступ внутри здания

• Лэптопы сотрудников вендоров, подключенные к Industrial Ethernet

• Инженерные корпоративные или собственные лэптопы, подключенные к сети АСУ ТП

Защищена ли «закрытая» АСУ ТП?


Подключение к офисной сети в 50% случаев

Подключение АСУ ТП к Интернет в 17% случаев

Менее чем 2% объявляют об инцидентах

Удар по репутации и стоимости акций

Источник: Eric Byres, BCIT

3% беспроводные системы

7% VPN

7% Dial-up

7% Сети операторов

10% Доверенные третьи стороны

(включая инфицированные

лэптопы)

17% прямое подключение к Интернет

49% через корпоративную WAN или офисную

сеть

Насколько велик риск?


Возможные последствия

Потеря производительности

Штрафы

Судебные иски

Потеря общественного доверия

Потеря капитализации

Выход из строя оборудования

Нанесение ущерба окружающей среде

Ущерб здоровью

Человеческие жертвы

Взрыв газопровода СССР, 1982

Нефтепровод в Bellingham США, 1999

Очистные сооружения Австралия, 2000

АЭС Davis Besse США, 2003

Сеть электроэнергии США, 2003

АЭС Browns Ferry США, 2006

$$$.$$


Почему мы об этом говорим?


Ограниченная информация о инцидентах

Минимум информации находиться в свободном доступе о реальных атаках

База BCIT пополняется 30 инцидентами в год, в то время как база CERT – сотнями тысяч инцидентов в год

Были обнародованы детали только нескольких атак на АСУ ТП

Трудно оценить риск

Трудно продемонстрировать возврат инвестиций в средства ИБ

Но… большое кол-во данных говорят о значительных финансовых потерях при взломе корпоративных сетей

Почему же АСУ ТП должна обладать иммунитетом?


Испытания на взлом систем АСУ ТП

Idaho National Labs, Sandia National Labs, и другие частные организации регулярно участвуют в испытаниях на проникновения в системы АСУ ТП

Они всегда получают доступ

Не вопрос «да» или «нет», вопрос в том, сколько времени на это потребуется



ISA SP99

NERC


NIST PCSRF Security Capabilities Profile for Industrial Control Systems

IEC 61784-4

Cisco SAFE for PCN

КСИИ ФСТЭК

Стандарты Газпрома


Стандарты безопасности North American Electric Reliability Corporation (NERC)


Рекомендации NERC CIP


Стандарты безопасности NERC CIP

CIP-002-1 –Cyber Security –Critical Cyber Asset Identification

R1 – Critical Asset Identification Method

R2 – Critical Asset Identification

R3 – Critical Cyber Asset Identification

R4 – Annual Approval



CIP-003-1 –Cyber Security –Security Management Controls

R1 – Cyber Security Policy (NERC Top 10)

R2 – Leadership

R3 – Exceptions

R4 – Information Protection

R5 – Access Control

R6 – Change Control and Configuration Management



CIP-004-1 –Cyber Security –Personnel and Training

R1 – Awareness

R2 – Training

R3 – Personnel Risk Assessment

R4 – Access

CIP-005-1 –Cyber Security –Electronic Security Perimeters

R1 – Electronic Security Perimeter

R2 – Electronic Access Control

R3 – Monitoring Electronic Access

R4 – Cyber Vulnerability Assessment

R5 – Documentation Review



CIP-006-1 –Cyber Security –Physical Security of Critical Cyber Assets

R1 – Physical security Plan

R2 – Physical Access Controls

R3 – Monitoring Physical Access

R4 – Logging Physical Access

R5 – Access Log Retention

R6 – Maintenance and Testing



CIP-007-1 –Cyber Security –Systems Security Management

R1 – Test Procedures

R2 – Ports and Services

R3 – Security Patch Management

R4 – Malicious Software Prevention

R5 – Account Management

R6 – Security Status Monitoring

R7 – Disposal or Redeployment

R8 – Cyber vulnerability Assessment

R9 – Documentation Review and Maintenance



CIP-008-1 –Cyber Security –Incident Reporting and Response Planning

R1 –Cyber Security Incident Response Plan

R2 –Cyber Security Incident Documentation

CIP-009-1 –Cyber Security –Recovery Plans for Critical Cyber Assets

R1 –Recovery Plans

R2 –Exercises

R3 –Change Control

R4 –Backup and Restore

R5 –Testing Backup Media


Стандарт NERC 1300


Стандарт безопасности ChemITC

В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-TR99


IEC 61784-4


Стандарты IEC 65C WG13

International Electro-technical Commission (IEC)

Industrial-Process Measurement and Control (TC65)

Digital Communications (SC65C)

Cyber Security (WG13)

Планируется сделать ISA SP99 публичной спецификацией

На текущий момент разработан стандарт IEC 61784-4 “Profiles for secure communications in industrial networks”

Ориентация на безопасность коммуникаций в АСУ ТП


Стандарт IEC 61784-4


NIST PCSRF SCP-IPC


Стандарт безопасности NIST PCSRF

Process Control Securities Requirements Forum (PCSRF) подготовил специальный профиль защиты по безопасности АСУ ТП

Базируется на «Общих критериях»

Может использоваться как базис для написания собственных заданий по безопасности для конкретных АСУ ТП

Спонсируется NIST

Текущая версия - 1.0

Общая для всех индустриальных систем

Планируется разработка профилей для отдельных типов АСУ ТП


Стандарт безопасности NIST PCSRF


ISA SP99


Комитет ISA SP99

Комитет ISA SP99 отвечает за разработку стандарта по безопасности АСУ ТП, признанный во всем мире, как стандарт де-факто в данной области

На базе данного стандарта создаются многие отраслевые и национальные стандарты

Изначально было выпущено 2 технических отчета

ISA-TR99.00.01-2004 - Security Technologies of Manufacturing and Control Systems

ISA-TR99.00.02-2004 - Integrating Electronic Security into the Manufacturing and Control System Environment


Технический отчет ISA TR99-01

ISA-TR99.00.01-2004 - Security Technologies of Manufacturing and Control Systems

Что покрывает:

Authentication, Authorization

Filtering/Blocking/Access Ctrl

Encryption & Validation

Audit, Measure, Mon, Detect

Software

Physical

для каждой технологии

Уязвимости

Типичные сценарии

Известные проблемы и слабости

Использование в АСУ ТП

Направление развития

Рекомендации


Технический отчет ISA TR99-02

ISA-TR99.00.02-2004 - Integrating Electronic Security into the Manufacturing and Control System Environment

Разработка программы

Определение целей по рискам

Определение и оценка существующих систем

Разработка или выбор контрмер

Приобретение или построение контрмер

Оценка рисков и оценка разрыва

Тестирования

Финализация контрмер

Репортинг безопасности

Аудит и соответствие

Переоценка контрмер


Стандарт ISA SP99

На базе двух отчетов в данный момент создается стандарт ISA SP99, состоящий из 4 частей

ISA 99.00.01 Security for Industrial Automation and Control Systems: Concepts, Models and Terminology

ISA 99.00.02 Establishing an Industrial Automation and Control Systems Security Program

ISA 99.00.03 Operating an Industrial Automation and Control Systems Security Program

ISA 99.00.04 Specific Security Requirements for Industrial Automation and Control Systems



Содержание 4-х частей

Часть 1 Активы

Политики

Риски

Концептуальная модель

Домены безопасности

Физическая модель

Функциональная модель

Часть 2 Разработка программы ИБ

На базе ISA-TR99.00.02-2004

Новые особенности

Часть 3 (сейчас проект) Внедрение и поддержка

программы ИБ

Часть 4 (в будущем) Связь между требованиями и

контрмерами безопасности


Cisco SAFE for PCN


Critical Infrastructure Assurance Group

Assured

Service

Delivery

Водоснабжение

Транспорт

Нефтегаз

Банки и финансы

ЕЭС

МЧС

Государство

Операторы

связи

Миссия

Обеспечение эффективной, надежной и безопасной работы критичных инфраструктур

Участие в WG

• AGA-12, ISA SP 99, DNP,

ODVA

• Process Control Security

Requirements Forum

• IEC TC 57 WG 15

• NCMS Manufacturing

Trust


Архитектура безопасности предприятия Управление технологическими процессами

Уровень 5 SiSiSiSiSiSi

SiSiSiSiSiSiКорпоративная

ЛВС

LAN/WAN

Internet/

Intranet/

ТФОП/WAN

Уровень 2

Уровень 0

Уровень 1

Уровень 3

Уровень 4

DMZ

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47


Требования ФСТЭК к ключевым системам информационной инфраструктуры (КСИИ)


Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от

30.03.2002

№Пр-578

Проект

закона (снят)

№411-рс от

23.03.2006

4 «закрытых»

документа

ФСТЭК

Указы

Президента

Иные

документы

Распоряжения

Правительства

Отраслевые

документы

Секретарь

СовБеза РФ

от 08.11.2005

«Основы» от 28.09.2006

№1314-р от

27.08.2005


Нормативные документы ФСТЭК

Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах

Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года


Защищаемая информация

Основной защищаемой информацией в КСИИ является технологическая информация (программно-техническая, командная, измерительная), которая не относится к информации ограниченного доступа

Информация ограниченного доступа в КСИИ защищается в соответствии с действующими требованиями и нормами (СТР-К)


Общие требования по обеспечению безопасности КСИИ


Основные положения

Область применения – КСИИ с открытой информацией (неограниченного доступа)

Описывает мероприятия по обеспечению безопасности информации в КСИИ

Отнесение систем к КСИИ

Организация обеспечения ИБ в КСИИ

Программное и аппаратное обеспечение ИБ в КСИИ

Обеспечение ИБ при взаимодействии КСИИ с открытыми сетями и системами

Обеспечение ИБ при защите от вредоносных программ

Действия, связанные с обслуживанием и модернизацией КСИИ, а также аттестация организаций на право деятельности в области защиты КСИИ, надзор в этой области и оценка соответствия установленным требованиям



В документе определяются признаки отнесения объектов к критически важным

Но финальная классификация отсутствует

Критически важные объекты делятся на 3 типа в зависимости назначения, функционирующих в их составе ИТКС

Перечень критически важных объектов определен в секретном Распоряжении Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации»

Реестр КСИИ ведется ФСТЭК



КСИИ делятся на группы

Системы сбора открытой информации, на основании которой принимаются управленческие решения

Системы хранения открытой информации

Системы управления СМИ

Системы управления критически важным объектом

Уровень важности КСИИ определяется в соответствии с «Системой признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденной Секретарем Совета Безопасности 08.11.2005


Требования по безопасности

Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!)

1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ

2-й тип – системы управления критически важными объектами

Требования по обеспечению безопасности информации в КСИИ различных уровней важности соответствуют требованиям для различных классов защищенности АС и МСЭ или уровней контроля отсутствия НДВ

Исключение составляют требования, для которых у ФСТЭК отсутствуют руководящие документы – антивирусная защита, анализ защищенности, обнаружение вторжений и требования доверия к безопасности


Требования по защите КСИИ 1-го типа

Группы требований Уровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого

взаимодействия в КСИИ 4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +


Требования по защите КСИИ 2-го типа

Группы требований Уровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +



Стандарты Газпрома по ИБ

СТО Газпром 4.2-0-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Базовая модель угроз информационной безопасности корпоративным информационно-управляющим системам

СТО Газпром 4.2-3-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Руководство по разработке требований к объектам защиты

СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Правила оценки рисков

СТО Газпром 4.2-3-004-2009 Система обеспечения информационной безопасности ОАО «Газпром». Правила классификации объектов защиты



Стандарты Газпрома по безопасности АСУ ТП

Р Газпром 4.2-0-003. Типовая политика информационной безопасности автоматизированных систем управления технологическими процессами

СТО Газпром 4.2-2-002. Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами


Другие стандарты


Что осталось за кадром?

IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»

IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»

IEC 62351 «Data and Communication Security»

FERC Security Standards for Electric Market Participants (SSEMP)

American Petroleum Institute (API) 1164 «SCADA Security»

Security Guidelines for the Natural Gas Industry


Что осталось за кадром?

API Security Guidelines for the Petroleum Industry

API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries

American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)

NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security» (проект)


Заключение


Краткое резюме


Краткое резюме (продолжение)


Краткое резюме (окончание)


Что же выбрать?

Общим руководством по защите АСУ ТП и выбору необходимого стандарта является проект руководства NIST SP800-82

Выпущен в сентябре 2008 года


Как разработать свой стандарт?

Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

Презентация выложена на сайте http://lukatsky.blogspot.com/

Стандарты безопасности АСУ ТП

Technology

nerc cip cip

integrating electronic security

addressing cyber security

control systems

security technologies

rights reserved

industrial automation

nist sp800