Презентация к докладу на конференции «Информационная...
TRANSCRIPT
Опыт разработки и проведения курса повышения квалификации по направлению
«ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ
СИСТЕМ УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМИ И ПРОИЗВОДСТВЕННЫМИ ПРОЦЕССАМИ
КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ ТЭК»
Конуркин Валерий Алексеевич
Смирнов Михаил Борисович
Чучаев Сергей Викторович
Министерство энергетики Российской Федерации
Институт повышения квалификации руководящих работников и специалистов ТЭК
Замысел Разработка учебно-
методического комплекса
Согласование в Минэнерго и ФСТЭК
Разработка методических материалов
Проведение первого набора
Жизненный цикл проекта
мар 15 апр 15 май 15 июн 15 июл 15 авг 15 сен 15 окт 15 ноя 15
1. Федеральный закон от 21.07.2011 года №256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
Статья 11. Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса
В целях обеспечения безопасности объектов топливно-энергетического
комплекса субъекты ТЭК создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования
информации и иных неправомерных действий и обеспечивают функционирование таких систем.
2. Протокол заседания рабочей группы по противодействию терроризму на объектах топливно-энергетического комплекса от 05.03.2015 г №13-284пр, п. 11
Предпосылки создания курса
Название Автор Ориентирован Краткое содержание Прод.
дн. / ч.
Стратегия обеспечения
информационной
безопасности
индустриальных
решений
АИС /
А.Лукацкий
На руководителей СБ, ИБ, советников по
безопасности, экспертов по безопасности,
специалистов по индустриальным решениям
На интеграторов и консультантов, выполняющих
работы по информационной безопасности АСУ
ТП для своих заказчиков.
Обзор мировой законодательной и
нормативной практики по ИБ АСУ ТП,
Стратегия внедрения
2 / 16
Практические аспекты
защиты АСУ ТП и
промышленных сетей
АИС /
NGS
Distribution
На сотрудников компаний, участвующих в
процессах модернизации и/или защиты
производства – интеграции коммерческих и
производственных процессов
Законодательная база РФ (приказ 31),
практические аспекты внедрения СЗИ
АСУ ТП
5 / 40
Обеспечение
безопасности
информации в
ключевых системах
информационной
инфраструктуры (4
типовые программы
ФСТЭК РФ, 2011)
ФСТЭК РФ /
НПП «Гамма»
(Москва),
«Формула
защиты»
(СПб),
«СЗЦКЗ»
(СПб) и т.д.
На руководителей, главных специалистов,
начальников подразделений защиты
информации предприятий (организаций,
учреждений)
Нормативно-правовое и
организационное регулирование
вопросов защиты информации по ТК,
аттестация объектов информатизации,
практические методы защиты
4 курса
по 72
часа
Безопасность
автоматизированных
систем управления
технологическим
процессом (АСУ ТП)
ЩИТ
(Новилаб
Секьюрити,
НИЯУ МИФИ)
На сотрудников служб безопасности
предприятий всех уровней, руководители
высшего и среднего звена, студенты высших
учебных заведений, обучающиеся по
специальности «Кибербезопасность»,
«Информационная безопасность» и
аналогичным.
Нормативно-законодательная база,
практические аспекты внедрения СЗИ
АСУ ТП
- / 4*2,5
Существующие предложения на рынке ДПО по ИБ АСУ ТП
(по состоянию на апрель 2015 года)
Название Автор Ориентирован Краткое содержание Прод.
дн. / ч.
Техническая защита
информации в
автоматизированных
системах управления
производственными и
технологическими
процессами
АИС / NGS
Distribution На сотрудников компаний, участвующих в
процессах модернизации и/или защиты
производства – интеграции коммерческих
и производственных процессов
Обзор мировой законодательной и
нормативной практики по ИБ АСУ ТП,
Стратегия внедрения, практические
аспекты внедрения СЗИ АСУ ТП
5 / 80
Обеспечение безопасности
и антитеррористической
защищенности объектов
топливно-энергетического
комплекса
АИС получение слушателями теоретических
и практических знаний по вопросам
обеспечения безопасности и
антитеррористической защищенности
объектов топливно-энергетического
комплекса (ТЭК)
2 / 17
Обеспечение безопасности
автоматизированных
систем управления
технологическими и
производственными
процессами
критически важных
объектов ТЭК
ФГАОУ ДПО
ИПК ТЭК /
М.Б.Смирнов,
С.В.Чучаев
На руководителей и специалистов
подразделений АСУТП, ИБ и безопасности
(охраны) предприятий ТЭК
Обучение руководителей и специалистов
подразделений АСУТП предприятий ТЭК
организации и проведению
мероприятий по обеспечению
безопасности АСУТП КВО ТЭК во
взаимодействии с подразделениями ИБ
и безопасности (охраны) в соответствии
с требованиями законодательства РФ,
нормативных, руководящих и
методических документов
уполномоченных федеральных органов
исполнительной власти РФ, а также
международных стандартов и лучших
практик
10 / 82
Существующие предложения на рынке ДПО по ИБ АСУ ТП
(по состоянию на ноябрь 2015 года)
Разработка учебно-методического комплекса
Курс направлен на получение слушателями теоретических и
практических знаний по вопросам обеспечения безопасности автоматизированных систем КВО ТЭК в рамках требований
Федерального закона от 21 июля 2011 года №256-ФЗ «О безопасности
объектов топливно-энергетического комплекса», приказа ФСТЭК России от 14 марта 2014 года №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и
здоровья людей и для окружающей природной среды», а также других нормативно правовых актов Российской Федерации и лучших мировых практик управления.
В результате освоения курса слушатель должен ЗНАТЬ
• основных участников системы обеспечения информационной безопасности КВО ТЭК и противодействия терроризму на объектах ТЭК, их функции и взаимодействие;
• требования федерального законодательства, нормативных и руководящих документов РФ по противодействию терроризму на объектах ТЭК;
• требования федерального законодательства, нормативных и руководящих документов РФ по обеспечению информационной безопасности АСУТП КВО ТЭК;
• основные компоненты и функции АСУТП КВО ТЭК, влияние их на безопасность функционирования АСУТП КВО ТЭК;
• основные уязвимости АСУТП КВО ТЭК, источники угроз безопасности информации и меры по их предотвращению в АСУТП КВО ТЭК, существующие риски в области безопасности информации, обрабатываемой в АСУТП КВО ТЭК;
• порядок формирования требований по обеспечению ИБ АСУТП КВО ТЭК;
• лучшие российские и зарубежные практики и методики обеспечения безопасности АСУТП КВО ТЭК;
• ответственность за невыполнение (нарушение) требований по обеспечению безопасности АСУТП КВО ТЭК;
• основные программные и технические решения, используемые для обеспечения информационной безопасности АСУТП КВО ТЭК.
В результате освоения курса слушатель должен УМЕТЬ
• формировать раздел по информационной безопасности в Паспорте безопасности объекта топливно-энергетического комплекса («раздел 9. Другие сведения»);
• определять и классифицировать основные угрозы безопасности информации, обрабатываемой в АСУТП КВО, и оценивать риски их реализации;
• разрабатывать проект раздела «Информационная безопасность» в техническом задании на создание АСУТП КВО ТЭК
• разрабатывать проекты основных организационно-распорядительных документов по обеспечению информационной безопасности АСУТП КВО ТЭК;
• планировать аудит АСУ объекта КВО ТЭК на соответствие требованиям нормативных и руководящих документов РФ по обеспечению ИБ в АСУТП КВО ТЭК;
• разрабатывать проекты планов мероприятий по обеспечению ИБ в АСУТП КВО ТЭК;
• устанавливать и настраивать основные программные и технические решения, используемые для обеспечения безопасности информации АСУТП КВО ТЭК.
Наименование модуля
Модуль 1. Государственная политика в области информационной безопасности критически важных
объектов топливно-энергетического комплекса
Модуль 2. Критически важные объекты топливно-энергетического комплекса. Автоматизированные
системы управления производственными и технологическими процессами КВО ТЭК
Модуль 3 Антитеррористическая безопасность КВО ТЭК
Модуль 4. Угрозы и уязвимости автоматизированных систем управления производственными и
технологическими процессами КВО ТЭК. Ключевые риски
Модуль 5. Мировой опыт обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами КВО ТЭК.
Модуль 6. Мероприятия по обеспечению безопасности автоматизированных систем управления
производственными и технологическими процессами КВО ТЭК
Модуль 7. Основные программные и технические решения, используемые для обеспечения
безопасности информации, обрабатываемой в автоматизированных системах КВО ТЭК
Программа курса
Курс согласован с Минэнерго и ФСТЭК РФ
ФГАОУ ДПО ТЭК выражает благодарность за оказанное
содействие в разработке: Сентюрину Юрию Петровичу Cтатс-секретарю – заместителю Министра энергетики Российской Федерации Талалуеву Федору Михайловичу Заместителю Директора Департамента Министерства энергетики Российской Федерации Хамчичеву Юрию Ивановичу Начальнику отдела Министерства энергетики Российской Федерации
Курс согласован с Минэнерго и ФСТЭК РФ
ФГАОУ ДПО ТЭК выражает благодарность за оказанное
содействие в разработке: Лютикову Виталию Сергеевичу Начальнику управления ФСТЭК России Мартинцу Николаю Михайловичу Начальнику управления ФСТЭК России
Первый набор 9-20 ноября 2015 года
УЧ
ЕБ
НЫ
Й К
УР
С 9
-20
но
яб
ря
20
15
го
да
УЧ
ЕБ
НА
Я П
РО
ГР
АМ
МА
Минэнерго России, ФСТЭК РФ
Продолжительность курса – 82 часа
14 преподавателей 3 инженера
2 куратора
ИБ/СБ АСУ ТП
12 слушателей
Представители
Согласован:
Первый в России курс повышения
квалификации по ИБ АСУ ТП
Наши преподаватели
Смирнов Михаил Борисович,
руководитель направления ИБ АСУ ТП ФГАОУ ДПО ТЭК
член Правления АРСИБ
Руководитель команды проекта по разработке Курса
Юршев Андрей Юрьевич, к.т.н,
профессор ФГАОУ ДПО ИПК ТЭК
Петренко Сергей Анатольевич, д.т.н., профессор,
Руководитель центра систем кибербезопасности,
член Правления АРСИБ
Чучаев Сергей Викторович, к.т.н, доцент
Эксперт ГОСТ Р по сертификации систем менеджмента
информационной безопасности, член АРСИБ
Член команды проекта по разработке Курса
Наши преподаватели
Юсупов Ренат Рафаэлевич,
первый вице-президент Kraftway
Жижкин Александр Викторович,
Исполнительный директор Иновентика-технолоджес
Комаров Алексей,
Ведущий блога по информационной безопасности
автоматизированных систем управления (zlonov.ru)
А также преподаватели ФГАОУ ДПО ИПК ТЭК,
и представители Kraftway, Digital Security,
NGS Distribution, Infotecs
Результаты?
Слушатели, успешно сдавшие итоговый экзамен, получили Удостоверение установленного образца
Результаты! (отзывы, пожелания слушателей)
Курс достаточно глубоко и всесторонне подготовлен, полезен как для специалистов службы безопасности, так и для АСУ ТП.
(ОАО «НК «Роснефть», руководитель группы)
Оценка проведенного курса положительная. Получены крайне интересные и полезные знания.
(ОАО «НК «Роснефть», заместитель начальника управления)
Технология и достаточность изложения материала впечатляет.
(ООО «Газпром энергохолдинг», заместитель начальника отдела)
Результаты! (вопросы, возникшие после курса)
Практика применения на объектах ТЭК приказа №31 ФСТЭК. Согласование требований и рекомендаций серии стандартов ISA 62443 и приказа №31 ФСТЭК.
(ОАО «НК «Роснефть», руководитель группы)
Увидеть функционал на практически внедренных системах, не со стороны «проводов», а со стороны «эксплуатации».
(ООО «Газпром переработка, заместитель начальника отдела)
Правомерность привлечения нарушителей ИБ на основе результатов работы DLP систем. Особенности формирования политики ИБ предприятия.
(ООО «Газпром переработка, ведущий инженер)
Сформулировать разделение обязанностей между специальными службами ИБ и АСУ ТП при создании и сопровождении АСУ ТП в ЗИ (ПОИБ).
(АО «Черноморсктранснефть», Начальник отдела)
АНОНС ВТОРОГО НАБОРА
С 11 по 22 АПРЕЛЯ 2016 ГОДА пройдет второй набор
курса повышения квалификации
Обеспечение безопасности автоматизированных систем управления технологическими и производственными процессами критически
важных объектов топливно-энергетического комплекса
По вопросам участия обращаться в ФГАОУ ДПО ИПК ТЭК тел. (800) 700-91-31 тел. (496) 461-50-52
[email protected] 140103, Россия, Московская область,
г. Раменское, Донинское шоссе, 4 км., ИПК ТЭК
Чучаев Сергей Викторович [email protected] [email protected]
ПО ВОПРОСАМ СОТРУДНИЧЕСТВА
Смирнов Михаил Борисович [email protected] [email protected]
WWW.IPKTEK.RU
Лицензия Федеральной службы по надзору в сфере образования и науки, серия АА №002682 регистрационный № 2560 от 07.03.2012г. на право ведения образовательной деятельности;
Лицензия УФСБ России по городу Москве и Московской области Серия ГТ №0079548, регистрационный номер 25670 от 31.12.2014 г. на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны;
Лицензия Управления ФСБ России по г. Москве и Московской области ГТ №0049393 регистрационный номер 20356 от
23.11.2011г. на осуществление работ, связанных с использованием сведений, составляющих государственную тайну.
140103, Россия, Московская область, г. Раменское, Донинское шоссе, 4 км., ИПК ТЭК
тел. (800) 700-91-31 тел. (496) 461-50-52
НАШИ КООРДИНАТЫ