Технико-коммерческое предложение на проведение работ по аудиту информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).
2. 2
11
-
ИНФОРМАЦИЯ ДЛЯ РУКОВОДСТВА
Настоящий документ содержит технико-коммерческое предложение на проведение
работ по аудиту информационной безопасности (далее – ИБ) автоматизированных си-
стем управления технологическими процессами (далее – АСУ ТП).
АСУ ТП являются основными компонентами инфраструктуры современных предпри-
ятий, принадлежащих к различным секторам экономики: топливно-энергетический
комплекс, металлургическая промышленность, химическая промышленность и др. Под
АСУ ТП в рамках данного документа понимается многоуровневая система
управления, которая может включать:
• системы оперативно-диспетчерского управления;
• интегрированные и локальные автоматизированные системы управления техно-
логическими процессами, а также системы автоматизации линейных (рассредото-
ченных) объектов;
• обслуживающие и смежные системы (инфраструктурные сервисы и системы кор-
поративной информационной системы, взаимодействующие с АСУ ТП).
• Обеспечение ИБ АСУ ТП, относящихся к критически важным элементам бизнес-
процессов, является неотъемлемой частью комплексного процесса обеспечения
безопасности предприятия в целом. До выбора и реализации дополнительных мер
защиты АСУ ТП, целесообразно проведение аудита ИБ, который позволит
определить текущий уровень обеспечения ИБ, выявить проблемные места,
оценить эффективность и достаточность имеющихся защитных мер, разработать
план работ по повышению уровня ИБ. Результатами аудита ИБ АСУ ТП являются:
• объективная и независимая оценка текущего уровня обеспечения ИБ АСУ ТП;
• рекомендации по реализации комплекса мер, направленных на повышение
уровня обеспечения ИБ АСУ ТП, и задание на проектирование и технические
требования к системе защиты информации (далее – СЗИ) АСУ ТП.
Оценка стоимости и длительности аудита ИБ АСУ ТП определяется специалистами
компании УЦСБ после заполнения опросного листа, который может áûòü получен по
запросу.
ООО «УЦСБ» предлагает полный спектр услуг по обеспечению безопасности
промышленных систем автоматизации и управления, включая проведение аудита ИБ
АСУ ТП, и имеет успешный опыт работ по обеспечению ИБ АСУ ТП (см. Приложение).
3. 3
1. Цели и задачи
Качественно проведенный аудит ИБ АСУ ТП позволит достичь следующих
целей:
• получить объективную и независимую оценку текущего уровня обеспечения ИБ АСУ ТП,
с учетом корпоративных и отраслевых документов, требований законодательства РФ и
опыта лучших мировых практик;
• запланировать реализацию комплекса мер, направленных на повышение уровня защи-
щенности АСУ ТП;
• выделить и обосновать актуальные технические требования к СЗИ АСУ ТП.
В число задач, решаемых при проведении аудита ИБ, входят:
• обследование организационных и технических мер обеспечения ИБ АСУ ТП;
• анализ защищенности АСУ ТП в виде тестирования эффективности принятых защитных
мер;
• оценка соответствия положениям корпоративных и отраслевых документов, требовани-
ям законодательства РФ и международных стандартов в области ИБ АСУ ТП;
• анализ угроз ИБ и уязвимостей ИБ АСУ ТП, разработка модели угроз ИБ АСУ ТП;
• разработка организационно-технических рекомендаций (плана) по повышению уровня
ИБ АСУ ТП;
• разработка задания на проектирование и технических требований к СЗИ АСУ ТП.
2. Характеристика объекта защиты
Под АСУ ТП понимается система, состоящая из персонала и комплекса средств автомати-
зации его деятельности, формирующая управляющее воздействие на технологические про-
цессы.
Для АСУ ТП характерно наличие следующих основных компонентов:
• управляющей подсистемы (анализ данных и принятие решение об управляющем воз-
действии);
• информационно-измерительной подсистемы (сбор и передачи информации от объекта
управления к системе управления);
• информационно-исполнительной подсистемы (передача управляющего воздействия от
системы управления к объекту управления);
• подсистемы внешнего контроля и управления (реализация административного воздей-
ствия путем обмена статусной информации о состоянии системы и корректирующего
воздействия на систему от внешних управляющих/контролирующих субъектов/процес-
сов).
Объектами защиты в АСУ ТП являются:
• серверное оборудование, сетевое оборудование, автоматизированные рабочие места
(далее – АРМ) операторов и специалистов;
• системы локальной автоматики (системы автоматического управления, концентраторы,
контроллеры, пункты управления технологическими объектами);
• устройства сопряжения с объектами (оборудование датчиков и программируемые логи-
ческие контроллеры), каналы передачи данных;
12
4. 4
• общесистемное и прикладное программное обеспечение (далее – ПО);
• технологическая информация (в том числе сигналы, команды управления, данные о параме-
трах (состоянии) управляемого технологического объекта (процесса)).
3. Нормативные требования к обеспечению ИБ АСУ ТП
11
-
Год Наименование
2007 Федеральный закон от 9.02.2007 №16-ФЗ «О транспортной безопасности»
Руководящий документ «Базовая модель угроз безопасности информации
в ключевых системах информационной инфраструктуры (далее – КСИИ)»
(утв. ФСТЭК России 18.05.2007)
Руководящий документ «Общие требования по обеспечению безопасности
информации в КСИИ» (утв. ФСТЭК России 18.05.2007)
Руководящий документ «Методика определения актуальных угроз безопасности
информации в КСИИ» (утв. ФСТЭК России 18.05.2007)
Руководящий документ «Рекомендации по обеспечению безопасности информации
в КСИИ» (утв. ФСТЭК России 19.11.2007)
2011
Федеральный закон Российской Федерации от 21.07.2011 №256-ФЗ
«О безопасности объектов топливно-энергетического комплекса»
2013 Указ Президента Российской Федерации №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации последствий компьютерных
атак на информационные ресурсы Российской Федерации» от 15.01.2013
«Основные направления государственной политики в области обеспечения
безопасности АСУ производственными и технологическими процессами
критически важных объектов инфраструктуры Российской Федерации»
(утв. Советом Безопасности РФ 8.08.2013)
В настоящее время государственные органы формируют единую политику обеспечения
ИБ АСУ ТП критически важных объектов РФ и выпускают нормативные акты,
устанавливающие требования ИБ к АСУ ТП на различных уровнях и стадиях их создания и
эксплуатации.
Характеристика существующей нормативной базы по обеспечению ИБ АСУ ТП приведе-
на в таблице 1.
Помимо документов, приведенных на рисунке, требования к обеспечению ИБ АСУ ТП
могут устанавливаться в отраслевых документах.
Таблица 1 – Существующая нормативная база по обеспечению ИБ АСУ ТП
2014 Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении требований к обеспечению
защиты информации в АСУ производственными объектами и технологическими процес-
сами на критически важных объектах, потенциально опасных объектах, а также объектах,
представляющих повышенную опасность для жизни и здоровья людей и для окружающей
среды»
5. 512
4. Актуальность проблемы обеспечения ИБ АСУ ТП
Современный уровень развития информационных технологий и их проникновение в АСУ ТП
несет не только новые возможности, но и новые угрозы ИБ. В последние годы злоумышленни-
ками разрабатываются технологии кибернетических атак, которые отличаются скрытностью и
эффективностью, позволяя нарушать работу критически важных систем – от АСУ производствен-
ными и технологическими процессами предприятий до систем жизнеобеспечения городов.
В настоящее время АСУ ТП с точки зрения обеспечения ИБ обладает рядом особенностей, ко-
торые приводят к снижению уровня доверия к средствам автоматизации и современным систе-
мам, используемым при управлении технологическими процессами, что в целом снижает эффек-
тивность работы предприятия (характеристика таких особенностей на примере типовой АСУ ТП
приведена на рисунке 1).
Указанные особенности должны быть выявлены в ходе аудита ИБ АСУ ТП и учитываться в даль-
нейшем при проектировании СЗИ АСУ ТП.
Использование широко распространенных технологий:
• операционных систем (ОС) общего назначения
(Windows, WinCE, Linux и пр.);
• приложений (систем управления базами данных
общего назначения, web-приложений и т.п.);
• открытых протоколов (http, rpc, snmp и т.д.)
Реализация возможности удаленного до-
ступа с использованием IP-протоколов, ко-
торые применяются не только на уровне ло-
кальной вычислительной сети (ЛВС) АСУ ТП,
но и на уровне датчиков и исполнительных
механизмов (при этом реализация стека
протоколов может оказаться не полной)
Исторически при создании АСУ ТП ис-
пользовались разработки, сделанные
по индивидуальному заказу с приме-
нением специализированных прото-
колов и средств связи без каких-либо
встроенных механизмов защиты
Наличие объективных проблем реализации мер ИБ, в частности:
• отсутствие защиты от атак на отказ в обслуживании;
• отсутствие встроенных механизмов обновления ОС и прикладного ПО АСУ ТП;
• слабая реализация методов аутентификации и авторизации, учета событий ИБ;
• влияние человеческого фактора
Периферийное
оборудование
АРМы АСУ ТП Серверы АСУ ТП
Инженерные станции
Графическая панель
оператора АСУ ТП
Программируемый логический
контроллер (ПЛК) системы управления
ПЛК противоаварийной
защиты
Датчики,
индикаторы и т.д.
Специализированные
контроллеры
Счетчики, регистраторы,
преобразователи и пр.
ПериферийноеПериферийное
Датчики,
Программируемый логическийПрограммируемый логический
контроллер (ПЛК) системы управления
ПЛК противоаварийнойПЛК противоаварийной
защитызащиты
TCP/IP
TCP/IP (Modbus TCP, Frofinet, S7, OPC и пр.)
Промышленная полевая шина (RS-232, RS-485, Profibus и пр.)
АРМы операторов АСУ ТП Серверы АСУ ТП
Рисунок 1 – Особенности АСУ ТП с точки зрения обеспечения ИБ
Реализация возможности удаленного до-
Инженерные станции
открытых протоколов (http, rpc, snmp и т.д.)
индикаторы и т.д.
колов и средств связи без каких-либо
6. 6
11
-
Усложнение применяемых технологий и процессов функционирования АСУ ТП
приводит к тому, что потенциальные нарушители получают значительно более широкий
спектр возможностей по воздействию на АСУ ТП путем использования ошибок и
недекларированных возможностей аппаратно-программных средств, применяемых в
составе АСУ ТП.
Угрозы ИБ АСУ ТП привносят крайне высокие техногенные риски, потенциальными по-
следствиями реализации которых могут являться:
• возникновение аварий и катастроф, что может повлечь нанесение ущерба
различного рода тяжести жизни и здоровью людей, окружающей среде,
технологическому оборудованию, зданиям и сооружениям предприятия;
• нарушение технологических и производственных процессов предприятия, что
может повлечь нанесение экономического ущерба предприятию за счет выпуска
некачественной продукции и ее повторной переработки, невыполнения производ-
ственных планов предприятия, увеличения стоимости переработки продукции;
• совершение мошеннических действий и хищение сырья через использование
АСУ ТП, в том числе хищение продукции, а также сокрытие фактов мошеннических
действий.
5. Описание предлагаемых работ
Работы по аудиту ИБ АСУ ТП включают в себя стадии, представленные на рисунке
2. Развернутое описание содержания работ может быть получено по запросу
(контактная информация указана в разделе «Информация для руководства»).
8. 8
11
-
ПРИЛОЖЕНИЕ. ОПИСАНИЕ ОПЫТА ООО «УЦСБ» ПО НАПРАВЛЕНИЮ
ОБЕСПЕЧЕНИЯ ИБ АСУ ТП
ООО «УЦСБ» предлагает полный спектр услуг по обеспечению ИБ АСУ ТП, в том числе:
• проведение аудита ИБ АСУ ТП;
• создание комплексной СЗИ АСУ ТП;
• приведение существующей СЗИ АСУ ТП в соответствие с требованиями регулирующих
органов Российской Федерации;
• сервисная поддержка СЗИ АСУ ТП.
Преимуществом ООО «УЦСБ» является наличие специализированного направления,
работники которого обладают высокой квалификацией и обширным опытом в создании
комплексных систем безопасности крупных предприятий топливно-энергетического ком-
плекса, химической и металлургической промышленности, в том числе в создании систем
защиты информации для реконструируемых или вновь создаваемых АСУ ТП:
• систем автоматического управления газоперекачивающими агрегатами;
• систем линейной телемеханики;
• автоматизированных систем управления энергоснабжением;
• автоматизированных систем комплексного учета энергоресурсов;
• систем автоматического управления и регулирования компрессорным цехом;
• систем диагностики компрессорного оборудования;
• систем автоматического пожаротушения и контроля загазованности;
• автоматизированных систем диспетчерского контроля и управления и др.
Кроме того, работники направления ведут научно-исследовательские работы и разра-
ботку методов, средств и систем, цель которых – обеспечение ИБ АСУ ТП. Для проведения
исследований в ООО «УЦСБ» создан специализированный демонстрационный стенд АСУ
ТП.
ООО «УЦСБ»– партнер крупнейших отечественных и международных компаний-лидеров
ИБ и ИТ. В своих решениях компания использует инновационные разработки мировых и
отечественных производителей оборудования для построения комплексных систем
безопасности АСУ ТП.
В период с 2009-2014 годы силами ООО «УЦСБ» выполнены более 100 проектов по соз-
данию систем защиты информации АСУ ТП. Описание опыта ООО «УЦСБ» в области обе-
спечения ИБ АСУ ТП на примере реализации наиболее крупных проектов представлено в
таблице 2.
9. 912
Таблица 2 – Описание опыта ООО «УЦСБ» в области обеспечения ИБ АСУ ТП
Год Наименование
Создание ком-
плексной системы
защиты информа-
ции АСУ ТП
Проведение аудита защищенности АСУ ТП и предпроектного обследования АСУ ТП
производственных объектов предприятия.
Выявление уязвимостей и разработка моделей нарушителя и угроз ИБ АСУ ТП.
Проведение оценки рисков ИБ АСУ ТП. Проведение классификации объектов защиты и
обоснование состава комплексной СЗИ АСУ ТП.
Разработка проектной документации на создание комплексной СЗИ АСУ ТП
Аудит информа-
ционной безопас-
ности АСУ ТП
Внедрение
системы защиты
информации АСУ
ТП
Создание ком-
плексной системы
защиты информа-
ции АСУ ТП
ТЭК
ТЭК
Проведение аудита защищенности АСУ ТП производственных объектов предприятия.
Выявление уязвимостей и разработка моделей нарушителя и угроз информационной
безопасности АСУ ТП.
Разработка плана защиты АСУ ТП
ТЭК
Выполнение работ по внедрению СрЗИ АСУ ТП
ТЭК Проведение работ по обследованию АСУ ТП газоперерабатывающих заводов
предприятия.
Формирование технических требований и задания на проектирование комплексной
СЗИ АСУ ТП
Внедрение систе-
мы защиты инфор-
мации АСУ ТП
ТЭК
Выполнение работ по внедрению СрЗИ АСУ ТП
Аудит ИБ АСУ ТП,
проектирование и
внедрение под-
системы защиты
информации АСУ
ТП
Металлургия
Проведение аудита защищенности АСУ ТП производственных объектов предприятия, по-
строенном на оборудовании Siemens. Выявление уязвимостей и разработка моделей
на-рушителя и угроз ИБ АСУ ТП. Классификация АСУ ТП и оценка соответствия
требованиям КСИИ третьего уровня важности.
Разработка плана защиты АСУ ТП. Создание подсистемы обеспечения ИБ системы
автоматизации и управления производственной деятельности предприятия, включая
системы мониторинга технологическими процессами и сбора данных о качестве
продукции и ее идентификации
ТЭК
Создание под-
системы защиты
информации АСУ
ТП предприятия
Проведение предпроектного обследования производственных объектов предприятия.
Разработка проектной документации на создание подсистемы защиты информации АСУ
ТП
ТЭК
Создание под-
системы защиты
информации АСУ
ТП предприятия
В рамках проекта были проведены работы по предпроектному обследованию
производственных объектов предприятия.
В результате работ был разработан комплект проектной документации на создание
подсистемы защиты информации АСУ ТП
ТЭК
Создание под-
системы защиты
информации АСУ
ТП предприятия
В рамках проекта были проведены работы по предпроектному обследованию производ-
ственных объектов предприятия.
В результате работ был разработан комплект проектной документации на создание под-
системы защиты информации АСУ ТП
10. 10
11
-
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
АРМ – Автоматизированное рабочее место.
АСУ ТП – Автоматизированная система управления технологическими процессами.
ИБ – Информационная безопасность.
КСИИ – Ключевая система информационной инфраструктуры.
ЛВС – Локальная вычислительная сеть.
ПО – Программное обеспечение.
ОС – Операционная система.
ПЛК – Программируемый логический контроллер.
РФ – Российская Федерация.
СЗИ – Система защиты информации АСУ ТП.
СрЗИ – Средство защиты информации.
ФСТЭК России – Федеральная служба по техническому и экспортному контролю
IP –
HTTP –
OPC –
RPC –
SNMP –
TCP –
России.
Internet Protocol.
Hypertext Transfer Protocol.
OLE for Process Control.
Remote Procedure Call.
Simple Network Management Protocol.
Transmission Control Protocol.
11. 1112
О КОМПАНИИ «УЦСБ»
ООО «УЦСБ» – Уральский центр систем безопасности – межрегиональная специализи-
рованная компания, оказывающая услуги в области проектирования, разработки, внедре-
ния и сервисной поддержки решений по обеспечению информационной безопасности
современных информационных систем, инженерно-технических систем охраны, центров
обработки данных и корпоративных сетей связи для банковских структур, операторов свя-
зи, государственных организаций, предприятий промышленного сектора и других отраслей
экономики.
В штате УЦСБ – более 200 аудиторов, аналитиков и инженеров, имеющих подтвержден-
ную соответствующими статусами и сертификатами квалификацию в области информаци-
онных технологий и безопасности. Мы являемся крупнейшим в УрФО центром компетенций
по информационной безопасности и всегда готовы оказать консалтинговую поддержку,
помощь в выборе и внедрении комплексных решений.
УЦСБ является членом Некоммерческого партнерства «Сообщество пользователей стан-
дартов по информационной безопасности АБИСС» (www.abiss.ru), аккредитован государ-
ственной корпорацией «Ростех» (www.rostec.ru).
В своей работе мы руководствуемся как передовыми мировыми практиками, так и отече-
ственным опытом проектирования и создания систем в соответствии с нормативно-мето-
дической базой Российской Федерации. Основополагающим принципом нашей компании
является тесное взаимодействие с Заказчиком для создания высокоэффективных и раци-
ональных решений по обеспечению безопасности, удовлетворяющих потребностям кон-
кретного бизнеса.
Большое внимание мы уделяем качеству предлагаемых решений и услуг, уровню компе-
тенций наших специалистов, а также исследованиям методов и средств защиты бизнеса
наших Заказчиков.
Уральский центр систем безопасности является партнером ведущих мировых и отече-
ственных компаний – лидеров в сфере создания средств защиты информации. Сведения о
партнерских статусах и лицензиях представлены на сайте компании (http://www.ussc.ru/
sertificates/).
12. Россия, 620100,
г. Екатеринбург,
ул. Ткачей, 6
Менеджер по развитию решений -
Комаров Алексей
Электронная почта: akomarov@ussc.ru
тел.: +7(343)379-98-34 (вн. 1375)
info@USSC.ru
www.USSC.ru
МЫ НАДЕЕМСЯ, ЧТО ДАННАЯ ИНФОРМАЦИЯ БУДЕТ
ПОЛЕЗНА И ИНТЕРЕСНА ДЛЯ ВАС!
Задать вопрос эксперту Вы можете
на сайте www.USSC.ru или воспользовавшись
контактными данными в нижней части листа