Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Анализ требований ФСТЭК по безопасности АСУ- ТП

Аватар пользователя kisttan
Автор: Колыбельников Александр, Код безопасности
(15)
()
Опубликовано в:

Недавно ФСТЭК опубликовал проект нового документа http://fstec.ru/component/attachments/download/670, требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

При прочтении этого документа возник ряд замечаний, которые в нем не учтены. Замечания были описаны и направлены во ФСТЭК, кроме того я решил поделиться ими с общественностью, возможно они натолкнут кого-нибудь на новые идеи.

Обобщенно замечания выглядят следующим образом:

1. В документе не учтены системы обработки информации в АСУ-ТП.

2. Не детализированы типы контроллеров, все требования прописаны для программируемых логических контроллеров (PLC), но кроме них существуют и другие типы контроллеров, на которые тоже можно оказать негативное воздействие.

3. Не рассмотрены вопросы сервисного обслуживания и ремонта оборудования, что чаще всего приводит к возникновению каналов проникновения в АСУ-ТП.

4. Возможно стоит отдельно указать угрозу изменения времени обработки информации и управляющих команд. Так как многие АСУ-ТП - это системы реального режима времени и ускорение или замедление процесса управления может привести к тяжелым последствиям. К примеру, если на химическом заводе подача реактивов будет производится с нарушением технологии и "рецептов" АСУ-ТП.

5. Во всем документе речь почему-то идет только о программных и программно-аппаратных модулях АСУ-ТП и полностью забыты аппаратные.

6. Нормативным актом не учтен вопрос взаимодействия и защиты этого взаимодействия между двумя АСУ-ТП, что встречается не редко в производственной практике.

7. Не рассмотрен детально вопрос взаимодействия АСУ-ТП с ИТ сегментом.

8. Пункт 18.2: "Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системе управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения." не всегда выполним, так как часто эта информация позволяет диагностировать поломку и понять причины произошедшего.

9. Не уточнен вопрос применения сертифицированных и несертифицированных средств защиты информации.

10. Самый больной практический вопрос не отражен в полной мере, так как АСУ-ТП часто работает в реальном режиме времени, то применение наложенных технических средств защиты далеко не всегда возможно.  Один из путей решения этой проблемы - использование оборудования и ПО для построения АСУ-ТП которые имеют уже встроенные средства защиты, и сертификация этих средств.

 

Оцените материал:
Total votes: 205
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Полезный анализ проекта документа, однако... Не готов согласиться с автором по ряду пунктов.
1. Из формулировки сложно понять, что значит "учесть системы обработки информации в АСУ ТП".
2.Вы уверены, что в документе, определяющем требования к АСУ ТП вцелом, нужно учитывать даже разные типы контроллеров и разрабатывать для них отдельные требования? Сложно написать нормативный правоой акт под конкретные типы элементов АСУ.
3 и 4. Эти вопросы прорабатываются при разработке модели угроз. В самом документе методики моделирования нет, она выйдет в виде отдельного методического документа.
6 и 7. Вопрос взаимодействия АСУ с другими ИС достаточно ясно оговорен в пункте 19.13 и в приложении (в таблице мер).
8. Вопросу стирания (на мой взгляд) не следует уделять столько внимания, поскольку в АСУ ТП чаще всего нет информации ограниченного доступа. Технологическую же информацию не имеет смысла скрывать, стирать и т.д. Конфиденциальность в данном случае не требуется (авторы документа перестраховались).
9. Вопрос оценки соответствия СЗИ как раз-таки оговорен очень ясно: дается ссылка на ФЗ "О техническом регулировании", т.о. оценка соответствия СЗИ может быть проведена в любой форме, и  их сертификация совсем не обязательна.
 

up
88 users have voted.
Аватар пользователя kisttan

Александр,
Спасибо за замечания, постараюсь ответить на них:
1. Такой термин отсутствует в документе, а значит эту часть системы АСУ ТП можно не защищать, согласно документа.
2. Да, уверен, так как указан только PLC, надо или обобщать или перечислять все.
3 и 4 согласен.
6 и 7 частично согласен, по ИС. По АСУ ТП надо рассматривать вопрос отдельно, там много технической специфики.
8. согласен, пункт лишний, хотя информация из некоторых систем управления радио-химическим заводом может представлять ГТ.
9. Слишком важные системы что бы их защищать не сертифицированными средствами, на мой взгляд.

up
14 users have voted.
Аватар пользователя Александр Германович

Белых пятен много, не буду спорить. Вряд ли и авторы, и регулятор ставили задачу "объять необъятное". Получилась бы толстая книга, мало похожая на нормативный акт. 
8. Если в АСУ есть ГТ, то никакой приказ по АСУ ТП на нее распространяться не будет. Это оговорено, да, в общем, и так понятно.
9. Запрета применять сертифицированные СЗИ в документе нет. Кто сочтет нужным - пожалуйста, вплоть до 1-го класса (в новой классификации).

up
19 users have voted.
Аватар пользователя kisttan

Да,
в такой трактовке с 8. согласен по 9 - можно предположить, что пойдут по самому простому пути. К чему он приведет, мы пока не знаем, но страшно, хотелось бы быть уверенным в 100% совместимости АСУ-ТП с системой безопасности, у нас ведь даже на безобидных пищевых производствах то аммиак, то хлор применяется. Не хочется наблюдать аварии.
 

up
22 users have voted.
Аватар пользователя Александр Германович

Ну, я Вам скажу, что и аммиак, и хлор там применяются испокон веков, и, судя по количеству утечек, с ними вполне можно справиться без нового приказа: просто строго соблюдая технологическую дисциплину и традиционные меры безопасности.
С другой стороны, если взять систему управления воздушным движением, то она, будучи на порядок сложнее упомянутых производств, тоже пока (ттт) обходилась без предлагаемых мер. Но развитие технологий приводит к возникновению новых угроз, отсюда и новые меры защиты, к сожалению, придуманные в тиши кабинета. Пока сложно судить, насколько новый подход, первоначально апробированный на персональных данных (и пока не подкрепленный статистикой) сработает в АСУ ТП.

up
16 users have voted.
Аватар пользователя kisttan

Александр,
 
Если бы сами заводчане не трогали бы АСУ-ТП, я бы согласился. Но лично знаю один завод в Зеленограде, который просил в 2008 сделать им проект по ФЗ-152 и заодно защитить подключение НИИ к интернету, при том, что само НИИ собиралось подключаться к АСУ-ТП напрямую. Честно признаюсь, от этого проекта я убежал очень быстро, у них минимальный остаток синильной кислоты на производстве - 80 тонн, в сети бардак, ответственности ни у кого нет, не дай бог взломали бы потом эту сеть брать на душу весь город Зеленоград...
 

up
18 users have voted.
Аватар пользователя Атаманов Геннадий

Ознакомился с обсуждаемым здесь документом. Вы обратили больше внимания на технические и технологические аспекты, я - на стилистические и методологические. С этих точек зрения данный документ является очередным образчиком абсурдизма. Он не будет работать в направлении повышения уровня безопасности АСУ ТП, как не работают в направлении повышения уровня безопасности чего бы то ни было все предыдущие НПА. Либо у них другие цели и задачи, либо их разработчики отстали от жизни (в плане подходов) лет на двадцать. Правда, в плане потери грамотности они развиваются опережающими темпами. Квазинаучный, "навороченный"  стиль изложения и сленг стали нормой. И менять они, как показывает опыт, ничего либо не хотят, либо не могут. Создаётся впечатление, что на обсуждение такие документы выставляются для галочки. 

up
17 users have voted.
Аватар пользователя Александр Германович

Позиция "Автор дурак и документы у него дурацкие" не совсем конструктивна. Документ не идеален, согласен. А Вы можете назвать идеальный документ по ИБ "чего бы то ни было"? Какой подход к защите Вам кажется более разумным? Или задача не имеет решения и браться за нее не стоит?

up
13 users have voted.
Аватар пользователя kisttan

Александр,
 
Если вопрос адресован мне, то я считаю что необходимо формулировать требования в первую очередь к производству и производителям АСУ-ТП, возможно инициировать разработку защищенного и открытого протокола АСУ-ТП. Увы, если не вставить защиту на нижнем уровне, то на верхнем уровне останутся одни только орг.меры. Такая моя позиция.

up
22 users have voted.
Аватар пользователя Александр Германович

Вопрос был Геннадию, как ответ на его коммент.
Ваша же позиция вряд ли выполнима на практике. Производителей АСУ ТП в мире много, да и типов самих АСУ великое множество. Не понятно, как можно сформулировать требования по защите для систем, разрабатываемых в разных странах мира. Конечно, неплохо было бы предъявлять свои требования к  АСУ на стадии ее проектирования, но согласится ли с этим проектировщик (скажем, Сименс)?

up
23 users have voted.
Аватар пользователя kisttan

При таком подходе у ФСТЭКа есть шанс стать действительно "впереди планеты всей", но объем работ огромный. Но иметь 15 -20 проприетарных протоколов, из которых хоть как-то защищен только OPS US, не очень хорошо на мой взгляд.
 

up
16 users have voted.
Аватар пользователя kisttan

Мы к сожалению не Китай, по объему заводов и производителям АСУ ТП навязать свою волю не сможем, но разработать такой протокол для российских разработчиков и ставить его использование как обязательное условия на сверхкритичных объектах типа АЭС, вполне возможно. Крупные производители неплохо идут навстречу когда речь заходит о безопасности, тот же Сименс активно сотрудничает с российской компанией Positive Technologies в части устранения уязвимостей (где я имел честь работать ранее), так что и со ФСТЭКом вполне могут пообщатся. В принципе, будет достаточно если 3-5 крупных производителей будут поддерживать этот протокол. Им это может быть интересным тем, что оборудование станет наконец совместимым. Повторюсь, у них у каждого  свой проприетарный протокол работы, что часто приводит к проблемам.
 

up
42 users have voted.
Аватар пользователя Атаманов Геннадий

Александру Германович
Мне показалось, что Вы умеете читать то, что написано, а не то, что Вы думаете по поводу написанного. Я ведь про дураков ничего не писал и не намекал. Дурак - категория онтологическая, характеризует способность индивида к мыслительной деятельности, а я о грамоте и грамотности, а это категория гносеологическая. Разные уровни. Дурака как не старайся не исправишь, а грамоту при желании всегда можно приобрести. При желании! 
Идеальных документов нет и по вполне понятным причинам быть не может. Но вот приличные были, правда, давно, и есть , правда, не у нас. 
Что касается моего взгляда на решение вопросов ЗИ, то они известны и изложены в моих статьях и постах. В двух словах не изложишь. 
Почему-то у нас принято конструктивной считать конформистскую позицию. Уверяю Вас это далеко не так. Не нужно путать понятия. Моя позиция самая что ни на есть конструктивная - необходима полная реконструкция существующей парадигмы ЗИ. 

up
18 users have voted.
Аватар пользователя Александр Германович

Геннадию Атаманову
Обычно грамотность относят к лингвистике, а не к гносеологии. Однако, я не специалист ни в той, ни в другой сфере, поэтому пытаюсь быть ближе к практике.
Философские аспекты ИБ перекликаются с  Доктриной информационной безопасности РФ. Можно, конечно, поговорить, насколько она хороша, но надо ли? Ваш подход неизбежно приведет к выводу о необходимости смены всего общественно-политического строя РФ ("всю систему надо менять"). Я не хотел бы спорить здесь о политике.

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

Опять двадцать пять! Я о парадигме, а Вы про строй. И политика  здесь ни при чём. Это из серии "я про Фому, а ты про Ерёму". И лингвистика - это наука о языке, а не о знаниях. И в Доктрине нет ни философии, ни науки, ни здравого смысла. Но обсуждать это, тем более здесь, действительно нет смысла. 

up
63 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.