Ответы на актуальные вопросы при проектировании проекта АСУ ТП
Виртуализация, облако Виртуализация, облако

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

Главная>Виртуализация, облако>Топ вопросов по ИБ АСУ ТП
Виртуализация, облако Тема номера

Топ вопросов по ИБ АСУ ТП

Дата публикации:
26.12.2016
Посетителей:
3972
Просмотров:
3639
Время просмотра:
2.3

Авторы

Автор
Валентина Старостина Старший инженер центра информационной безопасности «Инфосистемы Джет»
Когда находишься между двумя точками «все понятно» и «совсем ничего не ясно», появляются вопросы. И это нормально. Сегодня мы поговорим о вопросах, которые возникают или могут возникнуть при планировании проекта по обеспечению ИБ АСУ ТП. В данной статье мы рассмотрим только верхушку айсберга, однако это позволит представить, что же скрыто под водой.

 

 

Для начала предлагаю определиться со стандартным набором ролей на проекте (рис. 1).

Рис. 1. Роли в проекте по ИБ АСУ ТП

C чем можно столкнуться?

 

Наши заказчики спрашивают, с какими ситуациями на объектах АСУ ТП мы чаще всего сталкиваемся, чтобы заранее «знать врага в лицо». Каждый проект уникален, однако можно выделить некоторые моменты общие для всех.

 

Отношение к информационной безопасности

Важно, чтобы сотрудники понимали, зачем осуществляются те или иные действия, как в рамках проекта по ИБ АСУ ТП, так и для обеспечения ИБ в целом. Для этого исполнитель проекта должен разъяснять планируемые действия, а на объекте АСУ ТП должна быть реализована программа по повышению осведомленности работников по вопросам ИБ с учетом особенностей предприятия.

 

Наличие/отсутствие организационно-распорядительной документации

Часто складывается такая ситуация, когда документация разработана, но ее нужно актуализировать. Например, регламенты и положения разрабатывались достаточно давно, и созданные документы уже не соответствуют действительности. Иногда требуется не дорабатывать документацию, а унифицировать ее. Подобная ситуация складывается в том случае, если документы были разработаны различными подрядными организациями в разное время.

 

Особенности архитектуры

К особенностям архитектуры можно отнести используемое оборудование, взаимодействие технологической и корпоративных сетей, производственные процессы и т.п.

 

Наличие/отсутствие средств защиты информации

Например, на предприятии уже используются решения по ИБ, но они некорректно настроены. Нельзя отрицать, что на каждом предприятии и в каждой отрасли есть свои нюансы, они-то и выявляются в рамках проекта.

 

А делать-то что?..

 

– Скажите, пожалуйста, куда мне отсюда идти?
– А куда ты хочешь попасть? – ответил Кот.
– Мне все равно, – сказала Алиса.
– Тогда все равно, куда идти, – заметил Кот.
– …только бы попасть куда-нибудь, – пояснила Алиса.
– Куда-нибудь ты обязательно попадешь, – сказал Кот.
– Нужно только достаточно долго идти.

Льюис Кэрролл,
«Алиса в стране чудес». 
 

Этот отрывок как нельзя лучше демонстрирует важность того, что в самом начале нужно определиться куда идти, чтобы затратить меньше времени и ресурсов для достижения поставленной цели. Начиная проект, в том числе касающийся ИБ АСУ ТП, нужно ответить на следующие вопросы:

 

  • Что должно стать результатом проекта?
  • Как этого можно достичь?
  • Что будет входить в границы работ?

 

Казалось бы, простые вопросы, но каждый из них очень важен. Сейчас разберемся почему.

 

При ответе на вопрос «Что должно стать результатом проекта?» решается главная задача – для чего делается проект. Результат каждый определяет самостоятельно. Это может быть формальное соответствие требованиям, минимальный набор мер в рамках потенциально возможного бюджета, защита периметра, набор мер, достаточный для противодействия злоумышленнику, другие варианты.

 

Часто одним проектом не решить комплексную задачу, и мы рекомендуем закрывать вопросы поэтапно. Например, сначала провести аудит для определения дальнейших шагов и их стоимости. Полученный промежуточный результат очень важен, так как при ответе на следующие вопросы он позволит отсеивать лишние работы.

 

Один из возможных способов решения комплексной задачи, например, по созданию системы обеспечения информационной безопасности (СОИБ) на объектах АСУ ТП приведен ниже (табл. 1).

 

Таблица 1. Возможный вариант реализации программы проектов

Наименование работ

Цель проекта

Комментарий

1.

Аудит ИБ АСУ ТП и эскизное проектирование СОИБ АСУ ТП

Разработка типовых эскизных решений по ИБ для объектов АСУ ТП различного производственного назначения, сбор необходимых данных и подготовка детализированного технического задания на проектирование СОИБ АСУ ТП

Границы работ определяются совместно заказчиком и исполнителем

2.

Создание стенда информационной безопасности (при необходимости)

Разработка, натурные испытания (сравнительное тестирование) или адаптация средств защиты информации для функционирования в среде АСУ ТП заказчика

Границы работ определяются по результатам эскизного проекта СОИБ

3.

Рабочее проектирование

Разработка, тестирование и проверка на совместимость типовых решений по обеспечению ИБ для каждого типа производственных объектов

Границы проекта определяются по результатам эскизного проекта СОИБ АСУ ТП

4.

Ввод в действие СОИБ АСУ ТП

Внедрение СОИБ АСУ ТП на производственных объектах

Границы проекта определяются по результатам предыдущих этапов

 

Таким образом, каждый этап программы должен достигать конкретной цели, а также позволять формировать детализированные требования и исходные данные для оптимального достижения целей последующего этапа.

 

Отвечая на второй вопрос: «Как этого можно достичь?», вы определяете способы решения одной или нескольких задач, выполнение которых предполагается в рамках проекта.

 

Например:

 

  • Обследование позволит понять, что происходит на объекте АСУ ТП и куда двигаться дальше
  • Аудит имеет смысл проводить, если планируется проверить соответствие существующих систем нормативно-правовым актам и/или внутренним стандартам.
  • Основной целью создания стенда ИБ АСУ ТП является разработка технического решения по обеспечению ИБ конкретного вида/типа АСУ ТП от актуальных угроз информационной безопасности, а также возможность отрабатывать нештатные ситуации.
  • Разработка организационно-распорядительной документации – элемент «бумажной» безопасности, который позволяет выстраивать процессы ИБ.
  • Проведение работ по проектированию необходимо при внедрении ИБ-решений в дальнейшем.
  • Ввод в действие системы защиты информации.
  • Донастройка и/или сопровождение уже используемых решений ИБ.

 

И в каждом вышеперечисленном варианте есть подмножество решений. Для примера на рис. 2 приведены варианты реализации обследования. Этот список может быть сокращен или расширен в зависимости от возможных способов и необходимых сведений по результатам обследования.

 

Рис. 2. Возможные варианты реализации обследования

Третий, уточняющий, вопрос: «Что будет входить в границы работ?» Часто точно ответить на него можно только в ходе выполнения проекта. До выполнения работ он скорее является контрольным, и ответ на него зависит от понимания базовой задачи. Например, в рамках работ по аудиту ИБ на объектах АСУ ТП необходимо получить ответы на следующие вопросы:

 

  • Какие площадки будут входить в границы работ?
  • Количество обособленных АСУ ТП на площадках?
  • Назначение каждой АСУ ТП?
  • Решения каких производителей используются?
  • Общее количество АРМ диспетчеров, инженеров, промышленных компьютеров и серверов, обеспечивающих работу АСУ ТП?
  • Используются ли технологии беспроводной передачи данных в АСУ ТП?
  • Интегрирована ли АСУ ТП с корпоративными системами?
  • На соответствие каким нормативным документам планируется проводить аудит?

 

Приведенный перечень вопросов не является конечным или универсальным для любого проекта по аудиту ИБ АСУ ТП, однако ответы на приведенные выше вопросы позволяют определить границы работ, которые, в свою очередь, будут влиять на стоимость и сроки реализации проекта.

 

Кто за что отвечает?

 

Одна из ключевых особенностей проектирования и внедрения решений ИБ для объектов АСУ ТП – необходимость привлечения к проекту большого количества экспертов из различных сфер. Давайте разберемся, кого нужно привлекать к проекту на разных этапах: во время аудита, проектирования, внедрения решений ИБ АСУ ТП. За основу возьмем типовую модель АСУ ТП, представленную на рис. 3 (контрастность цветов показывает степень ответственности того или иного участника на различных уровнях).

Рис.
3. Зоны ответственности

 

Модель АСУ ТП, как правило, включает:

 

  • Уровень 0 (нижний (полевой) уровень, уровень ввода/вывода данных, исполнительных устройств): приборы, датчики, исполнительные механизмы, прочие средства контроля и управления, в том числе с установленными в них микропрограммами и машинными контроллерами.
  • Уровень 1 (средний уровень, уровень автоматического управления): программируемые логические контроллеры, модули удаленной связи с объектом, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний (диспетчерский) уровень для принятия решения по управлению технологическим процессом и обеспечивающие автоматическое управление (формирование команд) исполнительными устройствами на основе заданных алгоритмов управления, промышленная сеть передачи данных.
  • Уровень 2 (верхний уровень, уровень операторского (диспетчерского) управления): диспетчерские АРМ и АРМ специалистов, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование корпоративной сети (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), каналы связи и каналообразующее оборудование связи.
  • Уровень 3 (административный уровень): АРМ руководителей и административного персонала, а также подрядных организаций, выполняющих работы по договорам аутсорсинга, системы баз данных, в том числе истории технологических процессов, средства и ПО управления и администрирования SCADA и базами данных, средства ограничения и контроля доступа к системе, оборудование и ПО мониторинга работы систем, ПО интеграции SCADA, баз данных, систем верхнего уровня, MES-системы.
  • Уровень 4 (корпоративный уровень): корпоративная информационная система, АРМ руководителей и специалистов.

 

Количество уровней АСУ ТП и ее состав на каждом уровне и в каждом конкретном случае зависят от назначения автоматизированной системы управления и выполняемых ею целевых функций.

 

В зону ответственности заказчика должно входить, как минимум, предоставление исполнителю исчерпывающей информации для реализации проекта и согласования предложенных исполнителем решений (ПО и оборудования, параметров настройки).

 

Для предоставления необходимой информации со стороны заказчика мы рекомендуем привлекать для проекта специалистов из подразделений ИТ и ИБ и специалистов, обслуживающих АСУ ТП, в том числе представителей сервисных подрядных организаций. Окончательный состав участников определяется в ходе предварительного этапа работ.

 

В связи с тем, что обеспечение ИБ должно подразумевать комплекс защитных мер, охватывающих все уровни АСУ ТП с учетом особенностей предприятия, помимо исполнителя проекта уже на этапе проектирования целесообразно привлекать производителей решений АСУ ТП и ИБ.

 

В таком случае, в зону ответственности интегратора будут входить:

 

  • обследование АСУ ТП;
  • анализ уязвимостей и определение актуальных угроз ИБ АСУ ТП;
  • определение базового и адаптированного набора мер защиты информации для установленного класса защищенности АСУ ТП на всех ее уровнях;
  • определение параметров программирования и настройки ПО средств защиты информации, обеспечивающих реализацию мер защиты информации на уровне 4, а также средств защиты информации уровней 0–3, которые не устанавливаются на компоненты АСУ ТП. В данном случае для уровней 0–3 понимаются следующие средства:
  1. клиенты и сервер систем сбора и анализа информации (SIEM);
  2. межсетевые экраны (FW) и средства выявления/предотвращения вторжений (IPS), использующиеся на границах корпоративной и технологической сетей;
  3. средства контроля действий привилегированных пользователей;
  4. средства анализа сетевой активности;
  5. средства анализа защищенности;
  6. и другие.
  • разработка технорабочего проекта системы защиты информации АСУ ТП.

 

На этапе проектирования привлекается производитель АСУ ТП. В таком случае в зону его ответственности будут входить следующие вопросы:

 

  • участие в выборе программно-аппаратных средств для реализации мер защиты информации на уровнях 0–3;
  • определение параметров программирования и настройки штатного ПО АСУ ТП, а также ПО средств защиты информации, устанавливаемых на компоненты АСУ ТП (либо являющихся аппаратными или программными компонентами АСУ ТП); под ними понимаются:
  1. ПО АСУ ТП, реализующее функции ИБ: мониторинг работоспособности технических средств и ПО, управление конфигурацией механизмов защиты штатных средств, идентификация пользователей, ведение журнала действий пользователей и т.д.;
  2. антивирусное ПО;
  3. межсетевые экраны для уровней 1 или 2;
  • разработка проектной документации программного и информационного (настройки), а также организационного (инструкции, руководства) обеспечения для данных средств.

 

В связи с формированием рынка решений по ИБ для объектов АСУ ТП рекомендуется привлекать вендора ИБ для согласования проектной документации, проведения тестирования на совместимость, доработки решения под требования заказчика в случае необходимости.

 

В этот короткий список вошли самые популярные вопросы. Не бойтесь их задавать, так как правильно сформулированный вопрос содержит в себе половину ответа.

Уведомления об обновлении тем – в вашей почте

X неизвестных в защите критической информационной инфраструктуры

Как создать систему безопасности значимых объектов КИИ? Кто и как должен взаимодействовать с объектами КИИ? Что включает в себя план организации СБ для значимых объектов?

Информационно-аналитические системы, или Чем думает центр управления безопасностью

Мозгом любого ситуационного центра является ИАС, позволяющая управлять информационно-технической безопасностью

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях

Какие компании должны выполнить требования приказа Минэнерго № 1015? Светлая и темная стороны приказа. Пункты 14, 24 и 30? Наш подход к реализации норм приказа

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

Автоматизированные системы управления технологическими процессами. Вопросы безопасности

Системы технологического управления и родственные им системы диспетчерского управления, противоаварийной автоматики и т. д. прочно входят в нашу повседневную жизнь

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

Обеспечение ИБ АСУ ТП: взгляд изнутри

Роман Попов делится своим практическим опытом процесса построения информационной безопасности АСУ ТП в ПАО «Юнипро»

Криптография и защита информации

Какое место должны занимать средства криптографии в рамках защиты информации в цифровой подстанции

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня