Опубликована вторая версия рекомендаций по защите SCADA

Институт стандартов США (National Institute of Standards and Technology – NIST) опубликовал вторую версию рекомендаций по защите информационных систем АСУ ТП – NIST-800-82 Rev. 2. В ней собраны сведения об угрозах и уязвимостях, присущих ИС АСУ ТП, и даны довольно подробные советы о том, как от них защититься. Это – своего рода лучшие практики, связанные с разграничением доступа к таким системами и методами организации их защиты. По словам Николая Домуховского, главного инженер департамента системной интеграции УЦСБ, российская база уязвимостей и угроз ФСТЭК основана на рекомендациях NIST с добавлением особенностей российских ИС.

Собственно, в NIST-800-82 Rev. 2 даны рекомендации по организации процесса управления рисками в промышленных системах (Industrial Control Systems – ICS), который предполагает выделение такой системы в отдельный сегмент корпоративной сети с чёткими правилами контроля над доступом. В документе есть несколько рекомендаций по обеспечению взаимодействия промышленной сети с другими сетями предприятия (с перечислением настроек по каждому конкретному протоколу). Описаны методы аутентификации, защиты от атак типа «человек посередине», архитектура резервирования, мониторинга, обнаружения и расследования инцидентов. Есть и рекомендации по построению процесса управления рисками с перечислением возможных видов контроля для обеспечения ИБ промышленной сети.

Как отмечает старший консультант отдела консалтинга компании «Информзащита» Владимир Черкасов, «NIST-800-82 – это не совсем руководство по защите. Его нельзя сравнивать с NIST-800-53, в котором прописаны четкие требования к защите систем трёх уровней критичности. Данный документ содержит лишь рекомендации по защите АСУ ТП. Использовать его в общеобразовательных целях следует всем специалистам в области ИБ АСУ ТП, в том числе российским». А поскольку наши руководящие органы тоже обращают внимание на международный опыт, новая версия стандарта может  подсказать дальнейшее развитие законодательной базы в области АСУ ТП.

Альберт Алиев, исполнительный директор Fun-box, считает, что разработки NIST стоит адаптировать к российским реалиям. «NIST, прежде всего, – Институт стандартизации, – напоминает он. – Основные его функции заключаются в изучении имеющихся технологий, выявлении наиболее популярных, описании этих технологий и закреплении лучших практик в качестве стандартов. В нашем случае происходило то же самое. Специалисты NIST не придумывали технологии обеспечения ИБ, а исследовали уже существующие, изучали их применение, а потом описали, указав, какие технологии и когда нужно применять. Подвох, видимо, заключается в том, что это – институт США, а значит, рекомендации могут быть направлены на достижение глобального контроля над всеми ИС мира. Я в теорию заговора не верю, но если мы хотим быть уверены в безопасности отечественных АСУ ТП, нам следует «вырастить» столь же компетентный институт в нашей стране.»

Впрочем, по-прежнему сохраняется мнение об отсталости российских АСУ ТП. В частности, Александр Холмогоров, начальник отдела рекламы и PR группы компаний «Ростехэкспертиза», жалуется: «Рекомендации NIST для сферы, называемой на Западе utilities (у нас это – ЖКХ, городское освещение, энергетика), на некоторых российских производствах неприменимы, поскольку на них АСУ ТП нет. Вернее, есть, но их относительно немного, они малофункциональны, а в энергетике ещё и не имеют выходов наружу (т. е. защищать их не от чего – попасть в них из Интернета физически невозможно). Значит, новые рекомендации не окажут заметного влияния на АСУ ТП в России. Возможно, они применимы для корпоративных систем. Но если, например, филиал ОАО «ФСК ЕЭС» сидит на SAP, а NIST рекомендует что-то, интегрируемое в SAP за большие деньги, то будут ли такие рекомендации выполняться?».

Понятно, что соблюдаться напрямую рекомендации NIST вряд ли будут, но разработчики средств защиты уже начинают выпускать решения для сетей АСУ ТП. Например, компания Check Point предложила на российском рынке специализированное решение Check Point 1200R, которое выполнено на базе промышленного компьютера с поддержкой протоколов, используемых для управления контроллерами PLC. Такие решения изначально разрабатываются с учётом требований NIST, поэтому при их эксплуатации стоит обращать внимание на рекомендации этого Института.

Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.