Анализ требований ФСТЭК по безопасности АСУ- ТП

Аватар пользователя kisttan
Автор: Колыбельников Александр, Код безопасности
(15)
()
Опубликовано в:

Недавно ФСТЭК опубликовал проект нового документа http://fstec.ru/component/attachments/download/670, требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

При прочтении этого документа возник ряд замечаний, которые в нем не учтены. Замечания были описаны и направлены во ФСТЭК, кроме того я решил поделиться ими с общественностью, возможно они натолкнут кого-нибудь на новые идеи.

Обобщенно замечания выглядят следующим образом:

1. В документе не учтены системы обработки информации в АСУ-ТП.

2. Не детализированы типы контроллеров, все требования прописаны для программируемых логических контроллеров (PLC), но кроме них существуют и другие типы контроллеров, на которые тоже можно оказать негативное воздействие.

3. Не рассмотрены вопросы сервисного обслуживания и ремонта оборудования, что чаще всего приводит к возникновению каналов проникновения в АСУ-ТП.

4. Возможно стоит отдельно указать угрозу изменения времени обработки информации и управляющих команд. Так как многие АСУ-ТП - это системы реального режима времени и ускорение или замедление процесса управления может привести к тяжелым последствиям. К примеру, если на химическом заводе подача реактивов будет производится с нарушением технологии и "рецептов" АСУ-ТП.

5. Во всем документе речь почему-то идет только о программных и программно-аппаратных модулях АСУ-ТП и полностью забыты аппаратные.

6. Нормативным актом не учтен вопрос взаимодействия и защиты этого взаимодействия между двумя АСУ-ТП, что встречается не редко в производственной практике.

7. Не рассмотрен детально вопрос взаимодействия АСУ-ТП с ИТ сегментом.

8. Пункт 18.2: "Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системе управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения." не всегда выполним, так как часто эта информация позволяет диагностировать поломку и понять причины произошедшего.

9. Не уточнен вопрос применения сертифицированных и несертифицированных средств защиты информации.

10. Самый больной практический вопрос не отражен в полной мере, так как АСУ-ТП часто работает в реальном режиме времени, то применение наложенных технических средств защиты далеко не всегда возможно.  Один из путей решения этой проблемы - использование оборудования и ПО для построения АСУ-ТП которые имеют уже встроенные средства защиты, и сертификация этих средств.

 

Оцените материал:
Total votes: 146
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Полезный анализ проекта документа, однако... Не готов согласиться с автором по ряду пунктов.
1. Из формулировки сложно понять, что значит "учесть системы обработки информации в АСУ ТП".
2.Вы уверены, что в документе, определяющем требования к АСУ ТП вцелом, нужно учитывать даже разные типы контроллеров и разрабатывать для них отдельные требования? Сложно написать нормативный правоой акт под конкретные типы элементов АСУ.
3 и 4. Эти вопросы прорабатываются при разработке модели угроз. В самом документе методики моделирования нет, она выйдет в виде отдельного методического документа.
6 и 7. Вопрос взаимодействия АСУ с другими ИС достаточно ясно оговорен в пункте 19.13 и в приложении (в таблице мер).
8. Вопросу стирания (на мой взгляд) не следует уделять столько внимания, поскольку в АСУ ТП чаще всего нет информации ограниченного доступа. Технологическую же информацию не имеет смысла скрывать, стирать и т.д. Конфиденциальность в данном случае не требуется (авторы документа перестраховались).
9. Вопрос оценки соответствия СЗИ как раз-таки оговорен очень ясно: дается ссылка на ФЗ "О техническом регулировании", т.о. оценка соответствия СЗИ может быть проведена в любой форме, и  их сертификация совсем не обязательна.
 

up
72 users have voted.
Аватар пользователя kisttan

Александр,
Спасибо за замечания, постараюсь ответить на них:
1. Такой термин отсутствует в документе, а значит эту часть системы АСУ ТП можно не защищать, согласно документа.
2. Да, уверен, так как указан только PLC, надо или обобщать или перечислять все.
3 и 4 согласен.
6 и 7 частично согласен, по ИС. По АСУ ТП надо рассматривать вопрос отдельно, там много технической специфики.
8. согласен, пункт лишний, хотя информация из некоторых систем управления радио-химическим заводом может представлять ГТ.
9. Слишком важные системы что бы их защищать не сертифицированными средствами, на мой взгляд.

up
7 users have voted.
Аватар пользователя Александр Германович

Белых пятен много, не буду спорить. Вряд ли и авторы, и регулятор ставили задачу "объять необъятное". Получилась бы толстая книга, мало похожая на нормативный акт. 
8. Если в АСУ есть ГТ, то никакой приказ по АСУ ТП на нее распространяться не будет. Это оговорено, да, в общем, и так понятно.
9. Запрета применять сертифицированные СЗИ в документе нет. Кто сочтет нужным - пожалуйста, вплоть до 1-го класса (в новой классификации).

up
8 users have voted.
Аватар пользователя kisttan

Да,
в такой трактовке с 8. согласен по 9 - можно предположить, что пойдут по самому простому пути. К чему он приведет, мы пока не знаем, но страшно, хотелось бы быть уверенным в 100% совместимости АСУ-ТП с системой безопасности, у нас ведь даже на безобидных пищевых производствах то аммиак, то хлор применяется. Не хочется наблюдать аварии.
 

up
8 users have voted.
Аватар пользователя Александр Германович

Ну, я Вам скажу, что и аммиак, и хлор там применяются испокон веков, и, судя по количеству утечек, с ними вполне можно справиться без нового приказа: просто строго соблюдая технологическую дисциплину и традиционные меры безопасности.
С другой стороны, если взять систему управления воздушным движением, то она, будучи на порядок сложнее упомянутых производств, тоже пока (ттт) обходилась без предлагаемых мер. Но развитие технологий приводит к возникновению новых угроз, отсюда и новые меры защиты, к сожалению, придуманные в тиши кабинета. Пока сложно судить, насколько новый подход, первоначально апробированный на персональных данных (и пока не подкрепленный статистикой) сработает в АСУ ТП.

up
7 users have voted.
Аватар пользователя kisttan

Александр,
 
Если бы сами заводчане не трогали бы АСУ-ТП, я бы согласился. Но лично знаю один завод в Зеленограде, который просил в 2008 сделать им проект по ФЗ-152 и заодно защитить подключение НИИ к интернету, при том, что само НИИ собиралось подключаться к АСУ-ТП напрямую. Честно признаюсь, от этого проекта я убежал очень быстро, у них минимальный остаток синильной кислоты на производстве - 80 тонн, в сети бардак, ответственности ни у кого нет, не дай бог взломали бы потом эту сеть брать на душу весь город Зеленоград...
 

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Ознакомился с обсуждаемым здесь документом. Вы обратили больше внимания на технические и технологические аспекты, я - на стилистические и методологические. С этих точек зрения данный документ является очередным образчиком абсурдизма. Он не будет работать в направлении повышения уровня безопасности АСУ ТП, как не работают в направлении повышения уровня безопасности чего бы то ни было все предыдущие НПА. Либо у них другие цели и задачи, либо их разработчики отстали от жизни (в плане подходов) лет на двадцать. Правда, в плане потери грамотности они развиваются опережающими темпами. Квазинаучный, "навороченный"  стиль изложения и сленг стали нормой. И менять они, как показывает опыт, ничего либо не хотят, либо не могут. Создаётся впечатление, что на обсуждение такие документы выставляются для галочки. 

up
9 users have voted.
Аватар пользователя Александр Германович

Позиция "Автор дурак и документы у него дурацкие" не совсем конструктивна. Документ не идеален, согласен. А Вы можете назвать идеальный документ по ИБ "чего бы то ни было"? Какой подход к защите Вам кажется более разумным? Или задача не имеет решения и браться за нее не стоит?

up
7 users have voted.
Аватар пользователя kisttan

Александр,
 
Если вопрос адресован мне, то я считаю что необходимо формулировать требования в первую очередь к производству и производителям АСУ-ТП, возможно инициировать разработку защищенного и открытого протокола АСУ-ТП. Увы, если не вставить защиту на нижнем уровне, то на верхнем уровне останутся одни только орг.меры. Такая моя позиция.

up
9 users have voted.
Аватар пользователя Александр Германович

Вопрос был Геннадию, как ответ на его коммент.
Ваша же позиция вряд ли выполнима на практике. Производителей АСУ ТП в мире много, да и типов самих АСУ великое множество. Не понятно, как можно сформулировать требования по защите для систем, разрабатываемых в разных странах мира. Конечно, неплохо было бы предъявлять свои требования к  АСУ на стадии ее проектирования, но согласится ли с этим проектировщик (скажем, Сименс)?

up
5 users have voted.
Аватар пользователя kisttan

При таком подходе у ФСТЭКа есть шанс стать действительно "впереди планеты всей", но объем работ огромный. Но иметь 15 -20 проприетарных протоколов, из которых хоть как-то защищен только OPS US, не очень хорошо на мой взгляд.
 

up
7 users have voted.
Аватар пользователя kisttan

Мы к сожалению не Китай, по объему заводов и производителям АСУ ТП навязать свою волю не сможем, но разработать такой протокол для российских разработчиков и ставить его использование как обязательное условия на сверхкритичных объектах типа АЭС, вполне возможно. Крупные производители неплохо идут навстречу когда речь заходит о безопасности, тот же Сименс активно сотрудничает с российской компанией Positive Technologies в части устранения уязвимостей (где я имел честь работать ранее), так что и со ФСТЭКом вполне могут пообщатся. В принципе, будет достаточно если 3-5 крупных производителей будут поддерживать этот протокол. Им это может быть интересным тем, что оборудование станет наконец совместимым. Повторюсь, у них у каждого  свой проприетарный протокол работы, что часто приводит к проблемам.
 

up
30 users have voted.
Аватар пользователя Атаманов Геннадий

Александру Германович
Мне показалось, что Вы умеете читать то, что написано, а не то, что Вы думаете по поводу написанного. Я ведь про дураков ничего не писал и не намекал. Дурак - категория онтологическая, характеризует способность индивида к мыслительной деятельности, а я о грамоте и грамотности, а это категория гносеологическая. Разные уровни. Дурака как не старайся не исправишь, а грамоту при желании всегда можно приобрести. При желании! 
Идеальных документов нет и по вполне понятным причинам быть не может. Но вот приличные были, правда, давно, и есть , правда, не у нас. 
Что касается моего взгляда на решение вопросов ЗИ, то они известны и изложены в моих статьях и постах. В двух словах не изложишь. 
Почему-то у нас принято конструктивной считать конформистскую позицию. Уверяю Вас это далеко не так. Не нужно путать понятия. Моя позиция самая что ни на есть конструктивная - необходима полная реконструкция существующей парадигмы ЗИ. 

up
6 users have voted.
Аватар пользователя Александр Германович

Геннадию Атаманову
Обычно грамотность относят к лингвистике, а не к гносеологии. Однако, я не специалист ни в той, ни в другой сфере, поэтому пытаюсь быть ближе к практике.
Философские аспекты ИБ перекликаются с  Доктриной информационной безопасности РФ. Можно, конечно, поговорить, насколько она хороша, но надо ли? Ваш подход неизбежно приведет к выводу о необходимости смены всего общественно-политического строя РФ ("всю систему надо менять"). Я не хотел бы спорить здесь о политике.

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Опять двадцать пять! Я о парадигме, а Вы про строй. И политика  здесь ни при чём. Это из серии "я про Фому, а ты про Ерёму". И лингвистика - это наука о языке, а не о знаниях. И в Доктрине нет ни философии, ни науки, ни здравого смысла. Но обсуждать это, тем более здесь, действительно нет смысла. 

up
55 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.