Обеспечение информационной безопасности АСУ ТП

Дмитрий Ильин, начальник отдела информационной безопасности компании «АйТи Таск»

Российская нормативная база

В России действуют не менее трех десятков документов, в той или в иной степени затрагивающих тему информационной защиты АСУ ТП. Среди всего этого многообразия можно выделить четыре документа ФСТЭК России, с выпуска которых в 2007 г., собственно, и началось предметное развитие нормативной базы в сфере защиты АСУ ТП: «Базовая модель угроз безопасности информации в КСИИ», «Методика определения актуальных угроз безопасности информации в КСИИ», «Общие требования по обеспечению безопасности информации в КСИИ», «Рекомендации по обеспечению безопасности информации в КСИИ». Эти документы распространялись под грифом ДСП, который до сих пор с них не снят.

Новый виток развития нормативной базы начался в 2011 г., когда был принят Федеральный закон №256-ФЗ «О безопасности объектов ТЭК», обязывающий проектировать и внедрять системы обеспечения безопасности объектов ТЭК. В соответствии с этим законом субъекты отрасли должны использовать системы защиты информации и информационно-телекоммуникационных сетей от неправомерного доступа, уничтожения, модифицирования, блокирования и иных неправомерных действий. Соответственно, требуется квалифицированный персонал, который обеспечивает функционирование таких систем. Процесс обеспечения безопасности информации на объектах ТЭК, как и в любой другой отрасли, включает в себя целый комплекс организационных и технических мер.

Очередная волна развития нормативной базы пришлась на 2014 г., когда был принят Приказ ФСТЭК России №31, содержащий требования к обеспечению защиты информации АСУ ТП на критически важных, потенциально опасных и представляющих собой повышенную опасность объектах. Сейчас именно этот документ является главенствующим с практической точки зрения.

Таким образом, у ИБ-специалистов промышленных предприятий имеется в распоряжении достаточно полная и применимая на практике база нормативных документов. Следование их требованиям вкупе со знанием лучших отраслевых практик, описанных в зарубежных документах, позволяет обеспечивать ИБ-защиту производственных и технологических процессов.

Особенности АСУ ТП с точки зрения ИБ

При разработке большинства автоматизированных систем управления технологическими процессами подразумевалось, что они не будут изменяться в будущем. Другими словами, системы, сконфигурированные 20 лет назад, до сих пор функционируют «в первозданном виде». Программное обеспечение, используемое в АСУ ТП, зачастую не обновлялось годами. Мало того, многие производители даже рекомендуют не обновлять ПО, если система работает исправно. Дело в том, что любое изменение может повлечь за собой сбои в работе системы управления, а для производства с непрерывным циклом (такого как металлургическое предприятие или объект топливно-энергетического комплекса) это означает возможность серьезных проблем, например отказа в обслуживании промышленного оборудования.

Кроме того, индустриальные сети зачастую создавались отдельно от корпоративного контура. С течением времени менялись системы, архитектуры, оборудование, и сегодня индустриальные сети либо напрямую связаны с другими информационными системами предприятий (в частности, интегрированы с системами SAP, с ERP-системами и т.п.), либо отделены от остальных контуров межсетевыми экранами и средствами обнаружения вторжений.

Принципиальное отличие АСУ ТП от привычных для специалистов по ИБ информационных систем заключается в том, что из триады «конфиденциальность – целостность – доступность» в данном случае наиболее критичной является доступность. В «классических» системах речь шла об обеспечении конфиденциальности информации, ее защите от перехвата и компрометации, а в индустриальных системах, в первую очередь, важно, чтобы управляющий сигнал был вовремя принят и оказал необходимое воздействие. Собственно, именно поэтому вопросам обеспечения информационной безопасности в индустриальных сетях не уделялось должного внимания даже на этапе проектирования архитектуры. Как правило, в них устанавливались стандартные пароли, которые, как и настройки оборудования, не изменялись годами.

Как бы то ни было, повторим, создание и работа подсистемы обеспечения безопасности АСУ ТП не должны мешать функционированию системы управления. Для обеспечения безопасности АСУ ТП крайне редко используются криптографические решения, поскольку они, как правило, порождают избыточность вычислений и могут замедлить или вовсе остановить отправку и получение управляющего сигнала. Стандартным механизмом, предлагаемым производителями решений для защиты АСУ ТП, является периметровая защита – разделение (логическое или физическое) сетей на сегменты, которое позволяет выделить или изолировать индустриальные решения. Большое распространение получили разработанные для АСУ ТП межсетевые экраны. В целом, подход к защите индустриальных систем во многом напоминает тот, который использовался 15 лет назад для обеспечения безопасности ИТ-систем.

Западный и российский подходы к защите АСУ ТП

Для того чтобы понять, в чем состоят сходства и различия западного и отечественного подходов к регулированию вопросов безопасности АСУ ТП, достаточно сравнить 31-й приказ ФСТЭК и стандарт NIST SP 800-82. Очевидно, что при разработке Приказа №31 специалисты ФСТЭК изучали зарубежные стандарты и рекомендации по обеспечению безопасности автоматизированных систем управления, поэтому российский документ хорошо согласован с международной нормативной базой. Тем не менее имеются и серьезные различия в подходах.

В нашем представлении NIST SP 800-82 является не стандартом, а набором рекомендаций по комплексному обеспечению безопасности индустриальных систем, содержащим методические наработки практиков. В свою очередь, Приказ ФСТЭК России №31 – формальный документ. Он создан по аналогии с Приказами ФСТЭК №17 и №21, и специалисты, которые знакомы этими двумя документами, легко в нем разберутся.

В Приказе ФСТЭК №31 вся работа по обеспечению защиты информации АСУ ТП делится на пять больших этапов:

  • формирование требований (в том числе определение уровня значимости системы, необходимого класса защищенности, возможных угроз и требований к системе защиты);
  • разработка системы защиты на основе сформулированных требований;
  • ее внедрение;
  • обеспечение защиты в процессе эксплуатации системы;
  • обеспечение защиты при выводе системы из эксплуатации.

Стандарт NIST не выдвигает каких-либо формальных требований, а лишь предлагает набор методик и рекомендаций. Он содержит:

  • предметные рекомендации, дающие представление о том, с чего следует начать и как наиболее эффективно построить систему защиты в целом;
  • упрощенные модели злоумышленника и угроз АСУ ТП;
  • большой раздел по типовым угрозам и уязвимостям АСУ ТП;
  • рекомендации по созданию и реализации программы обеспечения безопасности АСУ ТП;
  • подробное описание архитектуры АСУ ТП и общее описание подсистемы безопасности;
  • всеобъемлющий раздел, посвященный всем классическим подсистемам информационной безопасности (контроль над доступом, идентификация и аутентификация, антивирусная защита, сети, аудиты, криптография и пр.).

Подчеркнем, что NIST SP 800-82 и Приказ ФСТЭК №31 не противоречат друг другу. И хотя стандарт NIST является не единственным документом, которым целесообразно пользоваться, он содержит все необходимые разделы и может применяться наряду с Приказом ФСТЭК при построении системы защиты автоматизированных систем управления (в России стало распространенной практикой одновременное использование этих документов и, соответственно, подходов).

ИБ-решения для АСУ ТП

Перечислим подсистемы обеспечения информационной безопасности АСУ ТП:

  • подсистема сетевой безопасности. Иногда ее делят на две системы – межсетевого экранирования и обнаружения вторжений. В таких случаях подразумевается, что в АСУ ТП будет внедрено дополнительное оборудование – межсетевые экраны и система обнаружения вторжений;
  • подсистема двухфакторной (многофакторной) аутентификации;
  • подсистема обеспечения целостности;
  • подсистема быстрого восстановления конфигураций и данных;
  • подсистема предотвращения утечек конфиденциальной информации;
  • подсистема управления патчами;
  • подсистема управления мобильными устройствами;
  • подсистема управления неструктурированными данными;
  • подсистема анализа защищенности;
  • подсистема криптографической защиты.

Первые три ИБ-подсистемы являются ключевыми в АСУ ТП, поскольку позволяют наиболее эффективно сохранять доступность автоматизированной системы управления. Чаще всего построение комплексной системы безопасности начинается с обеспечения целостности – соответствующие задачи регламентируются дополнительными стандартами и руководствами, в частности NIST SP 800-12, 800-40 и 800-94.

Нужно отметить, что российский рынок решений для информационной защиты автоматизированных систем управления и индустриальных сетей находится в зачаточном состоянии. Каждый конкретный проект подразумевает сугубо индивидуальное решение. Кроме того, обеспечить безопасность АСУ ТП исключительно с помощью серийных технических средств крайне сложно. Добиться максимального «эффекта» позволяет поиск уязвимостей путем построчного анализа кода.

Дело в том, что специфика АСУ ТП (приоритет доступности) не позволяет использовать ИБ-решения с большой интеллектуальной составляющей. Если для стандартной ИТ-системы приостановка какого-то процесса в случае подозрения на вредоносную активность является нормальной мерой, то в промышленных систем это может стать причиной техногенной катастрофы.

Приоритету доступности соответствует логика работы серийных ИБ-решений для АСУ ТП, которая принципиально отличается от логики соответствующих решений для ИТ-систем. Например, межсетевой экран для АСУ ТП, по сути, играет роль обычного ключа. В нем нет интеллектуальной составляющей, и он работает по заранее определенным правилам, которые настраиваются при внедрении. Так, можно настроить межсетевой экран на блокирование сигнала с неподходящими параметрами – скажем, при повышении температуры в котле более чем на 100 град. Однако межсетевой экран легко пропустит команду злоумышленника на повышение температуры до 99 град., ведь он не «умеет» отличать сигналы администратора от сфальсифицированных сигналов.

Одним из распространенных подходов к построению ИБ-системы АСУ ТП является эшелонированная защита, которая включает в себя следующие уровни:

  • физической безопасности (ограничение физического доступа к панелям управления, диспетчерским и другим помещениям, устройствам, кабелям);
  • сетевой безопасности – в него входят сетевая инфраструктура (например, межсетевые экраны со встроенными сенсорами систем предотвращения вторжения) и средства защиты, интегрированные в сетевое оборудование (коммутаторы и маршрутизаторы);
  • безопасности рабочих станций и серверов (управление обновлениями ПО, применение антивирусного ПО, удаление неиспользуемых приложений, протоколов и сервисов);
  • безопасности приложений (аутентификация, авторизация и аудит при доступе к приложениям);
  • безопасности устройств (контроль над изменениями и ограничение доступа).

Особое внимание следует уделять сетевому уровню. Многие компоненты АСУ ТП подключены к сетевой инфраструктуре IP/Ethernet, но для них не всегда возможна установка средств обеспечения ИБ, таких как антивирусы или системы предотвращения вторжений на уровне хоста.

Total votes: 0

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.