1

Обеспечение информационной безопасности автоматизированных си-стем управления технологическими процессами (АСУ ТП) — сложная задача, требующая комплексного подхода, при решении которой необходимо учитывать специфику АСУ ТП (в том числе, использование устаревших и уязвимых компо-нентов, протоколов, повышенные требования к надежности и непрерывный ре-жим функционирования, климатические условия и др.), рекомендации между-народных стандартов и лучших мировых практик в области информационной безопасности (IEC 62443 (ISA 99), CIPNERC, NIST и др.), требования регулирующих органов Российской Федерации. В рамках комплексного подхода по обеспечению информационной безопасности АСУ ТП решаются задачи защиты обрабатывае-мой информации, обеспечения непрерывности функционирования технологиче-ских процессов, а также задачи противодействия мошенничествам и хищениям.

Компания УЦСБ накопила большой опыт реализации комплексных проектов в области информационной безопасности, ИТ, проектирования и создания инжи-ниринговых систем, что во многом определяет комплексный подход к задачам защиты АСУ ТП.

Преимущество подходаКомплексный подход УЦСБ к созданию систем защиты информации АСУ ТП

позволяет учитывать при проектировании множество значимых факторов и об-ладает следующими преимуществами:

Снижение проектных рисковСоздание системы защиты информации АСУ ТП производится поэтапно, в

рамках намеченной программы, в соответствии с целями и возможностями За-казчика.

Оптимальная и обоснованная архитектура системы защиты АСУ ТПВозможность масштабирования и модернизации системы защиты в будущем. Поддержание требуемого уровня защищенности информацииИспользование совместимых с АСУ ТП комплексов технических и программ-

ных средств системы защиты информации обеспечивает необходимый уровень защиты.

Снижение проектной стоимостиРациональное использование имеющегося оборудования и телекоммуника-

ционных сетей на объектах Заказчика позволяет оптимизировать затраты на вне-дрение и дальнейшее сопровождение системы защиты АСУ ТП.

УЦСБ является партнером крупнейших отечественных и международных компаний-лидеров в области ИБ и ИТ. Компания обладает большим штатом высококвалифицированных и сертифицированных специалистов. В своих решениях УЦСБ использует инновационные разработки мировых и отече-ственных производителей оборудования для построения комплексных си-стем безопасности АСУ ТП.

2

Одно из преимуществ УЦСБ — наличие специализированного направле-ния с высокой квалификацией и обширным опытом в создании комплекс-ных систем безопасности крупных предприятий топливно-энергетического комплекса, химической и металлургической промышленности, в том числе в создании систем защиты информации отдельных АСУ ТП.

Компания УЦСБ имеет опыт выполнения работы по защите информации:• систем автоматического управления газоперекачивающими агрегатами (САУ ГПА);• систем линейной телемеханики (СЛТМ);• автоматизированных систем управления энергоснабжением (АСУ Э);• автоматизированных систем комплексного учета энергоресурсов (АСКУ ЭР);• систем автоматического управления и регулирования компрессорным цехом (САУиР КЦ);• систем диагностики компрессорного оборудования (СДКО);• систем автоматического пожаротушения и контроля загазованности (САПКЗ);• автоматизированных систем диспетчерского контроля и управления (АСДКУ);• и других систем производственного назначения.Кроме того, сотрудники направления ведут научно-исследовательские

работы и разработку методов, средств и систем, цель которых — обеспече-ние информационной безопасности АСУ ТП

ОГЛАВЛЕНИЕ

ПРЕИМУЩЕСТВО ПОДХОДА ...........................................................1ОГЛАВЛЕНИЕ ...............................................................................2ВВЕДЕНИЕ ...................................................................................3ЗАКОНОДАТЕЛЬСТВО ....................................................................4РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ....5СТАДИЯ ОБСЛЕДОВАНИЕ АСУ ТП ...................................................6СТАДИЯ СОЗДАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ АСУ ТП ...................................................7

3

300

200

100

0

4

Таблица 1. Уровень финансовых потерь от инцидентов ИБ(RISI)

Наименование отрасли

Количество инцидентов ИБ

< $ 10,000

$ 10,000-100,000

$ 100,000-1,000,000

>$ 10,000,000

Топливно-энергетический комплекс 13 6 2 8

Химической промышленность 3 2 — —

Металлургическая промышленность 1 — 1 —

Другие отрасли 12 9 7 3

ЗАКОНОДАТЕЛЬСТВО

Деятельность предприятий, эксплуатирующих АСУ ТП, регламентируется следую-щими основными нормативно-распорядительными документами:

1. Федеральный закон Российской Федерации от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»;

2. «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденная секретарем Совета Безопасности от 08.11.2005;

3. Распоряжение правительства Российской Федерации от 27.08.2005 г. №1314-р «Концепция федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов»;

4. Распоряжение правительства Российской Федерации от 23.03.2006 №411-рс «Об утверждении Перечня критически важных объектов Российской Федерации»;

5. Постановление Правительства Российской Федерации от 2 октября 2013 г. № 861 «Об утверждении Правил информирования субъектами топливно-энергетическо-го комплекса об угрозах совершения и о совершении актов незаконного вмешатель-ства на объектах топливно-энергетического комплекса».

6. Указ Президента РФ от 15.01.2013 №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на ин-формационные ресурсы Российской Федерации»;

5

7. Приказ ФСТЭК России №31 «Об утверждении Требований к обеспечению за-щиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опас-ных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды» (утв. ФСТЭК России 14.03.2014).

8. Нормативно-методические документы по ключевым системам информацион-ной инфраструктуры (КСИИ) ФСТЭК России:

• «Базовая модель угроз безопасности информации в КСИИ» (утв. ФСТЭК России 18.05.2007г.);

• «Методика определения актуальных угроз безопасности информации в КСИИ» (утв. ФСТЭК России 18.05.2007г.);

• «Общие требования по обеспечению безопасности информации в ключевых си-стемах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007г.);

• «Рекомендации по обеспечению безопасности информации в КСИИ» (утв. ФСТЭК России 19.11.2007г.).

РАЗРАБОТКА КОМПЛеКСнОЙ СИСТеМЫ ЗАЩИТЫ ИнФОРМАЦИИ

Компания УЦСБ предлагает полный спектр услуг по обеспечению информацион-ной безопасности АСУ ТП:

• Аудит АСУ ТП, включающий в себя идентификацию и классификацию активов, проведение тестов на проникновение, анализ истории инцидентов, оценку рисков, разработку стратегии развития системы информационной безопасности.

• Создание комплексной системы защиты информации АСУ ТП, включая работы по обследованию, построению модели угроз и оценки рисков, формированию требова-ний и защитных мер с учетом международных стандартов и лучших практик, разработ-ку проектной и рабочей документации, ввод системы защиты в действие.

• Приведение системы информационной безопасности АСУ ТП в соответствие с требованиями регулирующих органов РФ.

• Сервисная поддержка системы информационной безопасности.

6

В общем случае, проект создания комплексной системы защиты информа-ции АСУ ТП состоит из следующих стадий:

№ Название стадии Результат

1. Обследование АСУ ТП

1.1 Сбор и анализ исходных данных

1.2 Подготовка результатов обследования

Аналитический отчет

2. Создание комплексной системы защиты информации АСУ ТП

2.1 Разработка технического задания Техническое задание на создание системы

2.2 Разработку основных технических решений (эскизного проекта)

Эскизный проект создаваемой системы защиты информации

2.3 Разработка проектной документации

Технический проект создаваемой системы защиты информации

2.4 Ввод в действие Функционирующая система защиты информация

СТАДИЯ ОБСЛЕДОВАНИЕ АСУ ТП»

Обследование АСУ ТП состоит из этапов:• сбор и анализ исходных данных;• подготовка результатов обследования.

Сбор и анализ ИД (исходных данных)Цель — получить сводные данные, необходимых для описания АСУ ТП, выявить

источники угроз и уязвимости. В рамках данного этапа проводятся следующие ра-боты:

• заочное анкетирование;• анализ проектной и эксплуатационной документации АСУ ТП;• выезды в подразделения и филиалы для проведения очного интервьюирования и инструментального обследования. Проведение тестов на проникновение и ана-лиз конфигураций.• очное интервьюирование (взаимодействие) с разработчиками АСУ ТП;• проведение идентификации и классификации объектов защиты;

«

7

• анализ истории инцидентов;• выявление уязвимостей и определение актуальных угроз информационной без-опасности, последствий и вероятности реализации, оценка влияния на технологи-ческий процесс;• моделирование возможностей реализации угроз информационной безопасности;• расчет рисков.

Подготовка результатов обследованияРезультатом обследования АСУ ТП является аналитический отчет, содержащий:• системное изложение результатов проведенных работ по обследованию АСУ ТП;• оценку текущего состояния защиты АСУ ТП;• обоснование необходимости создания комплексной системы защиты информа-ции АСУ ТП.Аналитический отчет об обследовании АСУ ТП является основой для выполнения

СТАДИЯ «СОЗДАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ

• разработку технического задания;• разработку основных технических решений (эскизного проекта);• разработку проектной документации;• ввод в действие.

Разработка технического заданияНа основании данных аналитического отчета об обследовании, проведенного ана-

лиза международных стандартов и лучших практик (IEC 62443 (ISA 99), CIP NERC, NIST и др.), требований регулирующих органов РФ разрабатывается техническое задание, включающее:

• общие сведения;• назначение и цели создания (развития) комплексной системы защиты информа-ции АСУ ТП;• характеристика объектов защиты АСУ ТП;• технические требования к комплексной системе защиты информации АСУ ТП;• требования к поставляемым средствам защиты информации;• состав и содержание работ по созданию комплексной системы защиты инфор-мации АСУ ТП;

работ по разработке технических проектов на создание комплексной системы защиты информации АСУ ТП.

ЗАЩИТЫ ИНФОРМАЦИИАСУ ТП»

Создание комплексной системы защиты информации АСУ ТП включает в себя:

8

• порядок контроля и приемки системы;• требования к составу и содержанию работ по подготовке системы к вводу в действие, требования к документированию.

Разработка основных технических решений (эскизного проекта) Осуществляется проработка основных технических решений, включая:• анализ и выбор средств защиты информации АСУ ТП, с учетом актуальных реше-ний производителей;• разработка основных технических решений;• апробация решений (проверка совместимости)по защите информации совмест-но с разработчиками АСУ ТП.Сформированный в рамках эскизного проекта комплекс технических решений

должен обеспечивать эффективную защиту от угроз информационной безопасности и не должен приводить к отклонениям режима функционирования и технических ха-рактеристик АСУ ТП от заданных. Комплекс мероприятий, проводимый в рамках испы-таний совместимости, позволяет проверить совместимость решений по защите инфор-мации и оборудования АСУ ТП, а также определить процедуры установки актуальных обновлений на стадии эксплуатации.

Разработка проектной документацииНа данном этапе детально прорабатываются решения по организации защиты АСУ

ТП с учетом результатов апробации решений (проверки совместимости) и учета суще-ствующих решений по защите информации АСУ ТП.

Ввод в действиеПорядок ввода в действие системы защиты информации:• подготовка персонала, включая обучение и тестирование готовности персонала к эксплуатации системы защиты информации;• разработка рабочей и организационно-распорядительной документации;• поставка комплектующих изделий системы защиты информации и предвари-тельная проверка;• проведение строительно-монтажных и пусконаладочных работ;• проведение предварительных испытаний системы защиты информации;• проведение опытной эксплуатации системы защиты информации, включая ана-лиз и, при необходимости, доработку и наладку системы защиты информации;• проведение приёмочных испытаний.

Результат внедрения — это работоспособная, экономически обоснованная, документированная, проверенная (совместимая) и полностью готовая к эксплу-атации комплексная система защиты информации АСУ ТП.

СТАДИИ ПРОЕКТА ПО СОЗДАНИЮ

Обследование АСУ ТП

Модель угрозбезопасности

Аналитиче-ский отчет об обследовании

АСУ ТП

Сбор и анализисходныхданных

• Заочное анкетирование• Анализ документации

АСУ ТП• Инструментальное

обследование• Классификация

объектов защиты• Выявление уяэвимости

и угроз ИБ• Расчет рисков

Подготовка результатов

• Изложение результатов работ

• Оценка состояния защиты АСУ ТП

• Обоснование необходимости создания комплексной системы защиты

Разработка технического

задания

Разработка основных

техническихрешений

• Анализ и выбор решений по защите информации АСУ ТП

• Разработка основных технических решений

Комплекс технических

решений

Техническое задание на создание

комплексной системы защиты

информации АСУ ТП

Техническое задание

Основные технические решения

(эскизный проект)

9

Ю КОМПЛЕКСНОЙ ЗАЩИТЫ АСУ ТП

Проектнаядокументация

на комплекснуюсистему защиты

информации АСУ ТП

Поставка комплектующих

изделий

Акт-сдачии приёмки

в эксплуатацию

Предваритель-ные

испытания, опытная

эксплуатация,приемочные испытания

Пусконаладочные работы

Проведение испытаний

совместимостина стендах АСУ ТП

Детальнаяпроработка

решенийиспользуемыхв комплекснойсистеме защиты

информации АСУ ТП, с учетом

испытаний совместимости

Подготовкаперсонала

Разработкарабочей

и организаци-онно распоряди-

тельной докумен-тации (ОРД)

Рабочая документация

и ОРДна комплексную систему защиты

информации АСУ ТП

Протоколысовместимости

Проведение испытаний

совместимости

Разработкапроектной

документации

Ввод комплекснойсистемы защиты

информации в действии

10

11

ДАННЫЕ ОБ ИССЛЕДОВАНИЯХ УЯЗВИМОСТЕЙ И ИНЦИДЕНТОВ ИБ АСУ ТП

Согласно статистике инцидентов, угроз и уязвимостей ИБ в критически важных объектах и АСУ ТП, представленной ICS-CERT США,[1], за период с 2011 года по 2014 год количество обнаруженных уязвимостей АСУ ТП возросло со 138 до 159. Динамика изменения количества выявленных уязвимостей АСУ ТП представлена на рисунке 2.

Рисунок 2 – Динамика количества выявленных уязвимостей АСУ ТП

Увеличение количества уязвимостей объясняется тем, что безопасность АСУ ТП ранее практически не рассматривалась, т.к. считалось, что АСУ ТП изолированы от внешних сетей. В действительности это предположение являлось заблуждением. После атак компьютерных вирусов StuxNet, Duqu, Flame на промышленные объекты, стало очевидным, что АСУ ТП не являются изолированными системами.

По данным исследования SANS от февраля 2013 года [2] 20% респондентов îïðîñà зàÿâèëè ÷òî их системы АСУТП были скомпрометированы (ðåçóëüòàòû îïðîñà î çàôèêñèðîâàííûõ èíöèäåíòàõ, ñâÿçàííûõ ñ íåñàíêöèîíèðîâàííûì äîñòóïîì ê ñèñòåìàì ÀÑÓ ÒÏ, ïðåäñòàâëåíû íà ðèñóíêå 3).

2011

138 137

187

159

2012 2013 20140

20

40

60

80

100

120

140

160

180

200

12

Регистрировали вы случаи проникновения в вашу АСУ ТП?

Рисунок 3 – Результаты опроса о зафиксированных инцидентах, связанных с несанкцио-нированным доступом к системам АСУ ТП

Вместе с тем, по данным экспертов ICS-CERT [1], в 2014 году в энергетическом и про-изводственном секторах экономики США зарегистрировано наибольшее количество ин-цидентов ИБ в АСУ ТП – 32% и 27% соответственно (распределение зафиксированных инцидентов ИБ по секторам экономики США приведено на рисунке 4.)

Рисунок 4 – Распределение зафиксированных инцидентов ИБ по секторам экономики США, 2014 г.

Список использованных информационных источников:

[1] INCIDENT RESPONSE/VULNERABILITY COORDINATION IN 2014. https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Sep2014-Feb2015.pdf[2] SANS SCADA and Process Control Security Survey. A SANS Whitepaper February 2013, https://www.sans.org/reading-room/whitepapers/analyst/results-scada-security-survey-35135

13%

20%

20%

8%

59%

нет, или не осведомлены о таковых

да

неизвестно

неизвестно, были подозрения,но не установлено наверняка

27%

32%

6%6%

5%

18%

6%

энергетика

производство

транспорт

водоснабжение

здравоохранение

коммуникации

прочее

11

info@USSC.ruwww.ussc.ru

Россия, 117420, г. Москва,ул. Намёткина, 10а, к. 406

Региональный представитель-Комаров АлексейЭлектронная почта:akomarov@ussc.ruТел.: +7(343)379-98-34(вн1375)