Для начала предлагаю определиться со стандартным набором ролей на проекте (рис. 1).
Рис. 1. Роли в проекте по ИБ АСУ ТП
C чем можно столкнуться?
Наши заказчики спрашивают, с какими ситуациями на объектах АСУ ТП мы чаще всего сталкиваемся, чтобы заранее «знать врага в лицо». Каждый проект уникален, однако можно выделить некоторые моменты общие для всех.
Отношение к информационной безопасности
Важно, чтобы сотрудники понимали, зачем осуществляются те или иные действия, как в рамках проекта по ИБ АСУ ТП, так и для обеспечения ИБ в целом. Для этого исполнитель проекта должен разъяснять планируемые действия, а на объекте АСУ ТП должна быть реализована программа по повышению осведомленности работников по вопросам ИБ с учетом особенностей предприятия.
Наличие/отсутствие организационно-распорядительной документации
Часто складывается такая ситуация, когда документация разработана, но ее нужно актуализировать. Например, регламенты и положения разрабатывались достаточно давно, и созданные документы уже не соответствуют действительности. Иногда требуется не дорабатывать документацию, а унифицировать ее. Подобная ситуация складывается в том случае, если документы были разработаны различными подрядными организациями в разное время.
Особенности архитектуры
К особенностям архитектуры можно отнести используемое оборудование, взаимодействие технологической и корпоративных сетей, производственные процессы и т.п.
Наличие/отсутствие средств защиты информации
Например, на предприятии уже используются решения по ИБ, но они некорректно настроены. Нельзя отрицать, что на каждом предприятии и в каждой отрасли есть свои нюансы, они-то и выявляются в рамках проекта.
А делать-то что?..
Льюис Кэрролл, «Алиса в стране чудес».
Этот отрывок как нельзя лучше демонстрирует важность того, что в самом начале нужно определиться куда идти, чтобы затратить меньше времени и ресурсов для достижения поставленной цели. Начиная проект, в том числе касающийся ИБ АСУ ТП, нужно ответить на следующие вопросы:
- Что должно стать результатом проекта?
- Как этого можно достичь?
- Что будет входить в границы работ?
Казалось бы, простые вопросы, но каждый из них очень важен. Сейчас разберемся почему.
При ответе на вопрос «Что должно стать результатом проекта?» решается главная задача – для чего делается проект. Результат каждый определяет самостоятельно. Это может быть формальное соответствие требованиям, минимальный набор мер в рамках потенциально возможного бюджета, защита периметра, набор мер, достаточный для противодействия злоумышленнику, другие варианты.
Часто одним проектом не решить комплексную задачу, и мы рекомендуем закрывать вопросы поэтапно. Например, сначала провести аудит для определения дальнейших шагов и их стоимости. Полученный промежуточный результат очень важен, так как при ответе на следующие вопросы он позволит отсеивать лишние работы.
Один из возможных способов решения комплексной задачи, например, по созданию системы обеспечения информационной безопасности (СОИБ) на объектах АСУ ТП приведен ниже (табл. 1).
Таблица 1. Возможный вариант реализации программы проектов
№ | Наименование работ | Цель проекта | Комментарий |
1. | Аудит ИБ АСУ ТП и эскизное проектирование СОИБ АСУ ТП | Разработка типовых эскизных решений по ИБ для объектов АСУ ТП различного производственного назначения, сбор необходимых данных и подготовка детализированного технического задания на проектирование СОИБ АСУ ТП | Границы работ определяются совместно заказчиком и исполнителем |
2. | Создание стенда информационной безопасности (при необходимости) | Разработка, натурные испытания (сравнительное тестирование) или адаптация средств защиты информации для функционирования в среде АСУ ТП заказчика | Границы работ определяются по результатам эскизного проекта СОИБ |
3. | Рабочее проектирование | Разработка, тестирование и проверка на совместимость типовых решений по обеспечению ИБ для каждого типа производственных объектов | Границы проекта определяются по результатам эскизного проекта СОИБ АСУ ТП |
4. | Ввод в действие СОИБ АСУ ТП | Внедрение СОИБ АСУ ТП на производственных объектах | Границы проекта определяются по результатам предыдущих этапов |
Таким образом, каждый этап программы должен достигать конкретной цели, а также позволять формировать детализированные требования и исходные данные для оптимального достижения целей последующего этапа.
Отвечая на второй вопрос: «Как этого можно достичь?», вы определяете способы решения одной или нескольких задач, выполнение которых предполагается в рамках проекта.
Например:
- Обследование позволит понять, что происходит на объекте АСУ ТП и куда двигаться дальше
- Аудит имеет смысл проводить, если планируется проверить соответствие существующих систем нормативно-правовым актам и/или внутренним стандартам.
- Основной целью создания стенда ИБ АСУ ТП является разработка технического решения по обеспечению ИБ конкретного вида/типа АСУ ТП от актуальных угроз информационной безопасности, а также возможность отрабатывать нештатные ситуации.
- Разработка организационно-распорядительной документации – элемент «бумажной» безопасности, который позволяет выстраивать процессы ИБ.
- Проведение работ по проектированию необходимо при внедрении ИБ-решений в дальнейшем.
- Ввод в действие системы защиты информации.
- Донастройка и/или сопровождение уже используемых решений ИБ.
И в каждом вышеперечисленном варианте есть подмножество решений. Для примера на рис. 2 приведены варианты реализации обследования. Этот список может быть сокращен или расширен в зависимости от возможных способов и необходимых сведений по результатам обследования.
Рис. 2. Возможные варианты реализации обследования
Третий, уточняющий, вопрос: «Что будет входить в границы работ?» Часто точно ответить на него можно только в ходе выполнения проекта. До выполнения работ он скорее является контрольным, и ответ на него зависит от понимания базовой задачи. Например, в рамках работ по аудиту ИБ на объектах АСУ ТП необходимо получить ответы на следующие вопросы:
- Какие площадки будут входить в границы работ?
- Количество обособленных АСУ ТП на площадках?
- Назначение каждой АСУ ТП?
- Решения каких производителей используются?
- Общее количество АРМ диспетчеров, инженеров, промышленных компьютеров и серверов, обеспечивающих работу АСУ ТП?
- Используются ли технологии беспроводной передачи данных в АСУ ТП?
- Интегрирована ли АСУ ТП с корпоративными системами?
- На соответствие каким нормативным документам планируется проводить аудит?
Приведенный перечень вопросов не является конечным или универсальным для любого проекта по аудиту ИБ АСУ ТП, однако ответы на приведенные выше вопросы позволяют определить границы работ, которые, в свою очередь, будут влиять на стоимость и сроки реализации проекта.
Кто за что отвечает?
Одна из ключевых особенностей проектирования и внедрения решений ИБ для объектов АСУ ТП – необходимость привлечения к проекту большого количества экспертов из различных сфер. Давайте разберемся, кого нужно привлекать к проекту на разных этапах: во время аудита, проектирования, внедрения решений ИБ АСУ ТП. За основу возьмем типовую модель АСУ ТП, представленную на рис. 3 (контрастность цветов показывает степень ответственности того или иного участника на различных уровнях).
Рис. 3. Зоны ответственности
Модель АСУ ТП, как правило, включает:
- Уровень 0 (нижний (полевой) уровень, уровень ввода/вывода данных, исполнительных устройств): приборы, датчики, исполнительные механизмы, прочие средства контроля и управления, в том числе с установленными в них микропрограммами и машинными контроллерами.
- Уровень 1 (средний уровень, уровень автоматического управления): программируемые логические контроллеры, модули удаленной связи с объектом, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний (диспетчерский) уровень для принятия решения по управлению технологическим процессом и обеспечивающие автоматическое управление (формирование команд) исполнительными устройствами на основе заданных алгоритмов управления, промышленная сеть передачи данных.
- Уровень 2 (верхний уровень, уровень операторского (диспетчерского) управления): диспетчерские АРМ и АРМ специалистов, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование корпоративной сети (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), каналы связи и каналообразующее оборудование связи.
- Уровень 3 (административный уровень): АРМ руководителей и административного персонала, а также подрядных организаций, выполняющих работы по договорам аутсорсинга, системы баз данных, в том числе истории технологических процессов, средства и ПО управления и администрирования SCADA и базами данных, средства ограничения и контроля доступа к системе, оборудование и ПО мониторинга работы систем, ПО интеграции SCADA, баз данных, систем верхнего уровня, MES-системы.
- Уровень 4 (корпоративный уровень): корпоративная информационная система, АРМ руководителей и специалистов.
Количество уровней АСУ ТП и ее состав на каждом уровне и в каждом конкретном случае зависят от назначения автоматизированной системы управления и выполняемых ею целевых функций.
В зону ответственности заказчика должно входить, как минимум, предоставление исполнителю исчерпывающей информации для реализации проекта и согласования предложенных исполнителем решений (ПО и оборудования, параметров настройки).
Для предоставления необходимой информации со стороны заказчика мы рекомендуем привлекать для проекта специалистов из подразделений ИТ и ИБ и специалистов, обслуживающих АСУ ТП, в том числе представителей сервисных подрядных организаций. Окончательный состав участников определяется в ходе предварительного этапа работ.
В связи с тем, что обеспечение ИБ должно подразумевать комплекс защитных мер, охватывающих все уровни АСУ ТП с учетом особенностей предприятия, помимо исполнителя проекта уже на этапе проектирования целесообразно привлекать производителей решений АСУ ТП и ИБ.
В таком случае, в зону ответственности интегратора будут входить:
- обследование АСУ ТП;
- анализ уязвимостей и определение актуальных угроз ИБ АСУ ТП;
- определение базового и адаптированного набора мер защиты информации для установленного класса защищенности АСУ ТП на всех ее уровнях;
- определение параметров программирования и настройки ПО средств защиты информации, обеспечивающих реализацию мер защиты информации на уровне 4, а также средств защиты информации уровней 0–3, которые не устанавливаются на компоненты АСУ ТП. В данном случае для уровней 0–3 понимаются следующие средства:
- клиенты и сервер систем сбора и анализа информации (SIEM);
- межсетевые экраны (FW) и средства выявления/предотвращения вторжений (IPS), использующиеся на границах корпоративной и технологической сетей;
- средства контроля действий привилегированных пользователей;
- средства анализа сетевой активности;
- средства анализа защищенности;
- и другие.
- разработка технорабочего проекта системы защиты информации АСУ ТП.
На этапе проектирования привлекается производитель АСУ ТП. В таком случае в зону его ответственности будут входить следующие вопросы:
- участие в выборе программно-аппаратных средств для реализации мер защиты информации на уровнях 0–3;
- определение параметров программирования и настройки штатного ПО АСУ ТП, а также ПО средств защиты информации, устанавливаемых на компоненты АСУ ТП (либо являющихся аппаратными или программными компонентами АСУ ТП); под ними понимаются:
- ПО АСУ ТП, реализующее функции ИБ: мониторинг работоспособности технических средств и ПО, управление конфигурацией механизмов защиты штатных средств, идентификация пользователей, ведение журнала действий пользователей и т.д.;
- антивирусное ПО;
- межсетевые экраны для уровней 1 или 2;
- разработка проектной документации программного и информационного (настройки), а также организационного (инструкции, руководства) обеспечения для данных средств.
В связи с формированием рынка решений по ИБ для объектов АСУ ТП рекомендуется привлекать вендора ИБ для согласования проектной документации, проведения тестирования на совместимость, доработки решения под требования заказчика в случае необходимости.
В этот короткий список вошли самые популярные вопросы. Не бойтесь их задавать, так как правильно сформулированный вопрос содержит в себе половину ответа.