Информационная безопасность автоматизированных систем: что за профессия, кем работать?
Инженерия
Зачастую данную карьеру выбирают мужчины. Им больше подходит работа инженера. Только вот никаких «золотых гор» тут увидеть нельзя. Разумеется, если речь идет о России. Подыскать себе достойное место работы будет очень трудно. Только на некоторых предприятиях инженерам платят хорошую заработную плату. Плюс ко всему, данная работа не отличается стабильным рабочим графиком и отсутствием напряжения.
Средства связи
Но не обязательно выбирать такую карьеру. Многие выпускники, которые поступили на направление «Информационная безопасность автоматизированных систем, зачастую идут работать в разные службы обеспечения связи. И очень часто работодателями являются интернет-провайдеры.
Школа
Вы окончили направление «Информационная безопасность автоматизированных систем». Кем работать по выпуску, если перспектива монтажника или инженера вам не очень нравится? По правде говоря, таких выпускников можно встретить где угодно. Но зачастую они появляются в. школах.
Менеджер по продажам
Как правило, «информационники» продают технику и электронику. Особенно, компьютеры и комплектующие. Ведь такие выпускники знают о «железе» ПК довольно много. Достаточно, чтобы убедить покупателя приобрести тот или иной товар.
Система охраны
Как правило, рабочий график тут довольно лояльный, а доход очень хороший. Поэтому многие стараются проводить не обеспечение информационной безопасности автоматизированных систем, а просто следить за безопасностью того или иного предприятия. Это считается престижной профессией, к которой, как правило, многие стремятся. Но конкуренция здесь очень большая. Поэтому, придется изрядно постараться, чтобы устроить на такое «тепленькое» место.
Оператор
А вот женская половина выпускников, как правило, испытывает больше проблем с трудоустройством. Ведь тем, кто выбрал направление «Информационная безопасность автоматизированных систем» придется изрядно постараться, чтобы найти себе работу. Везде уже или есть сотрудники, или нужны мужчины.
Поэтому многие устраиваются работать самыми обычными операторами. В зависимости от деятельности фирмы придется или оказывать консультации, или продавать товары и услуги. Плюс ко всему, многие операторы обязаны обзванивать клиентов (в том числе потенциальных) с целью оповещения их о проводимых акциях и бонусах.
Свой бизнес
Если честно, то заниматься индивидуальный предприниматель-выпускник нашего направления может чем угодно. Но только есть самые популярные направления. Например, открытие собственного сервиса компьютерной помощи или специализированного магазина техники и комплектующих. Конкуренция здесь довольно высокая, зато есть много приемов, которые смогут сделать вас достойным бизнесменом.
Писательство
Если честно, то зачастую люди, которые не могут найти себе работу долгое время, устраиваются работать писателями. То есть они просто начинают писать тексты и книги, основанные на полученных знаниях. И информационная безопасность автоматизированных систем тут считается очень популярной тематикой.
Системный администратор
Вот такая многогранная для построения карьеры наша информационная безопасность автоматизированных систем. Колледжи, кстати говоря, как и многие вузы, помогают таким выпускникам стать самыми настоящими системными администраторами. Если честно, то многие абитуриенты и студенты очень любят данную профессию.
Вам придется подключать оборудование, следить за ним и настраивать. Плюс ко всему, на ваших плечах будет лежать ответственность за работоспособность компьютеров. А с этой задачей нынче может справиться даже школьник. Заработная плата системного администратора колеблется от среднего уровня до высокого, а график работы очень лоялен. Зачастую свободный. Это позволяет еще где-нибудь подрабатывать.
Альтернативы
К счастью, у выпускников информационной безопасности автоматизированных систем есть еще очень много альтернативных подходов к построению карьеры. Только думать об этом надо во время поступления в вуз или колледж. Ведь вам придется развивать какие-то дополнительные навыки.
Защита информации в автоматизированных системах
При организации автоматизированных информационных систем (АИС) должны строго соблюдаться требования по защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна предотвратить воздействие угроз различного происхождения, включая техногенные аварии, воздействие вредоносного ПО или хакеров, похищение данных инсайдерами с целью продажи или шпионажа. Снизить уровень таких рисков позволяет реализация комплекса мер защиты аппаратного и программного уровня.
Задачи по защите информации
Информация имеет определенную ценность. При этом изменение ряда свойств информации может приводить к потере такой ценности. К числу таких свойств по действующему законодательству об охране данных относятся:
Методы защиты информации в автоматизированных системах должны применяться ко всему массиву данных, которые обрабатываются в компании, а также по отношению к отдельным блокам повышенной важности.
Объекты защиты
Для применяемых способов защиты информации в автоматизированных системах характерна определенная стоимость. Поэтому важно дифференцировать объекты защиты, чтобы наиболее дорогостоящие и сложные способы использовались по отношению к объектам повышенной ценности. Это разграничение выполняется еще на этапе разработки требований к архитектуре АИС.
В том числе информационные массивы делят на такие виды:
Все информационные массивы, кроме вспомогательных данных, могут содержать коммерческую тайну. Поэтому они выступают в качестве объектов защиты информации в автоматизированных системах, которая должна выполняться с максимальной эффективностью.
Планирование и реализация систем защиты
Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.
Можно выделить такие этапы:
На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.
Методы защиты информации
При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:
Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.
Организационные
Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование. По этому параметру организации делятся на такие категории:
Выделяют две категории организационных методов защиты информации — системные и административные.
К числу системных методов принадлежат:
За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.
Среди административных методов защиты информации можно назвать такие способы:
Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.
Аппаратно-программные
Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.
Основные группы задач, которые выполняются аппаратно-программными методами:
Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.
Методы контроля доступа
Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.
Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.
Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.
Методы идентификации пользователей
Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:
Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.
Средства разграничения доступа
Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:
Минусом этих методов является слабый уровень эффективности против инсайдеров, которые могут присвоить признаки идентификации других пользователей. Для защиты от них должна быть реализована система протоколирования.
Протоколирование
Система протоколирования предусматривает создание учетного журнала, в который автоматически заносятся сведения о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих самостоятельно или в составе системы DLP. Протоколирование обеспечивает контроль использования информации, подлежащей защите, фиксируют безуспешные и успешные попытки доступа к ней, осуществляют запись действий. Это позволяет накапливать статистическую базу для последующего аудита.
SIEM-системы
SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной информационной защиты. Они не защищают напрямую от инцидентов, а обеспечивают оперативное информирование о сбоях и нарушениях в работе ПО и оборудования.
SIEM с установленной периодичностью выполняет опрос программ, включая антивирусы и DLP, маршрутизаторов, другого оборудования. Полученные данные сопоставляются с заданными значениями. При обнаружении отклонений SIEM отправляет уведомление, на основании которого соответствующие службы принимают необходимые меры.
К дополнительным функциям таких систем относится протоколирование и ведение журналов учета, что позволяет сформировать доказательную базу для расследования преступлений и нарушений в сфере информационной безопасности. Кроме того, SIEM обеспечивают аудит готовности системы к исполнению своих функций. Данные, получаемые от SIEM, дают основания для внедрения нового ПО или изменения технологических параметров АИС.
DLP-системы
DLP-системы призваны поддерживать максимальную защиту от несанкционированных действий пользователей, обеспечивая полную целостность и конфиденциальность защищаемых данных. Действие такой системы строится на способности отличать открытую информацию от конфиденциальной. Она осуществляет мониторинг внутреннего и внешнего трафика и фиксируется события, связанные с копированием, передачей наружу или выводом на печать конфиденциальной информации. В таких случаях применяется блокировка и с предупреждением пользователя.
Система DLP может дорабатываться под индивидуальные потребности организации и обеспечивает комплексную защиту информации. Необходимым условием для внедрения таких систем является наличие сертификата ФСТЭК, подтверждающего отсутствие незадекларированных возможностей.
Основные понятия в области безопасности автоматизированных систем
Вторая статья первого цикла информационной безопасности будет посвящена краткому обзору основных понятий, касающихся безопасности АСУ. Постараюсь сделать её краткой и изложить весь представленный материал максимально лаконично. Первоначальных вопросов будет 6, в дальнейшем их количество может измениться. Погнали!
Начиная работать в области защиты информации, вам как специалисту в этой области необходимо ориентироваться в руководящей документации, а этой в основном различные стандарты, которые помогут вам уяснять все тонкости вашей профессии. Да, порой это не так интересно, да, хочется не обращать на это внимание, но без ГОСТ’ов, к сожалению, никуда. В них содержится почти вся информация, необходимая для организации безопасности, а также при расследовании инцидентов, связанных с нарушением политики безопасности организации.
Первый стандарт с которым нам придется столкнуться расположен по данной ссылке (Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.). В данном документе представлены основные понятия безопасности и их взаимосвязь. Приступим к рассмотрению наших вопросов.
1. Определение безопасности
Безопасность. Как часто вам приходится слышать данное слово? Самым простым определением безопасности можно предположить как отсутствие опасностей. Однако, такое определение не совсем корректно отображает текущую реальность. Более точно определение безопасности можно дать следующим образом.
Причём субъектом ущерба в конечном счёте всё равно станет человек. Даже если вред был нанесен непосредственно не человеку, то косвенный ущерб прилетит сотруднику организации.
2. Понятия автоматизированной системы и безопасности автоматизированной системы
С самого начала мы оперируем понятием автоматизированная система. При этом мы ни разу не раскрывали данное понятие. Дадим наконец определение данному термину.
Раскрыв понятие автоматизированной системы можно дать понятие безопасности автоматизированной системы.
3. Определение информации и информационных ресурсов
При выполнении мероприятий по защите автоматизированной системы мы сталкиваемся с таким понятием как информация, которая является одним из главных компонентов автоматизированной системы. Дадим определение понятию информация и информационные ресурсы
На основе информации принимаются те или иные решения, которые помогают оптимизировать процесс управления автоматизированной системой. Информация может иметь различные свойства (о некоторых из них мы поговорим позже), при этом этими свойствами можно управлять для того чтобы получить необходимый нам результат в принятии решений.
4. Категории субъектов информационных отношений
Каждый из субъектов информационного взаимодействия по отношению к определенной информации может выступать как источником информации, так и потребителем информации, а в некоторых моментах одновременно принимать обе стороны.
При рассмотрении свойств информации каждый уважающий себя специалист по защите информации должен помнить 3 главных кита на которых держится безопасность. В английском языке данной тройке даже выделено специальное определение CIA Triad.
если говорить кратко, то это сохранение в тайне определенной части информации
Целостность. Свойство информации, позволяющее существовать данной информации в неискаженном виде (по отношению к некоторому фиксированную состоянию).
Доступность. Свойство информации, позволяющее обеспечить своевременный доступ субъектов к интересующей их информации, когда в этом возникает необходимость.
при этом субъекты как вы понимаете должны удовлетворять свойству конфиденциальности, т.е. иметь право на доступ к требуемой информации
6. Цели защиты автоматизированной системы и информации, циркулирующей в АС
Крайний вопрос, который сегодня рассмотрим, касается целей защиты АС и информации, которая находится в АС.
Статья получилась небольшой, да и затрагивает в основном теоретические сведения, касающиеся защиты информации в автоматизированной системе. Для себя уже выделил данный материал и понял, что практику придется рассмотривать иным способом. В скором времени буду выкладывать наработки того, что прохожу сам и как отрабатываю практические навыки в этом.
Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия
В данной статье проведена систематизация требований к информационной безопасности (ИБ) АСУ ТП. Требования выбраны из доступных на настоящий момент стандартов, в первую очередь, из NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» и разрабатываемой новой редакции серии ISA/IEC 62443 «Security for Industrial Automation and Control Systems».
АСУ ТП взаимодействуют с объектами физического мира и обеспечивают защиту от аварий и катастроф. В англоязычной литературе АСУ ТП называют Industrial Control Systems (ICS) или Industrial Automation and Control Systems (IACS). В мире IT технологий их можно сравнить с Дон Кихотом, который остался верен простым, но не очень модным принципам в уже давно изменившемся мире.
Поэтому, была проведена параллель с функциональной безопасностью и рассмотрен комплекс требований, позволяющих обеспечить обе стороны безопасности АСУ ТП, и функциональную, и информационную.
Похожие проблемы следует решать и для других кибер-физических систем, включая IoT и встроенные управляющие системы.
В чем отличие АСУ ТП от других информационных (IT) систем?
Прежде чем рассматривать вопрос ИБ, хорошо бы сначала разобраться, а что, собственно говоря, такого в АСУ ТП, что вопросы их защиты и безопасности необходимо рассматривать отдельно от всего мира других IT?
Хороший сравнительный анализ, отвечающий на данный вопрос, содержится в уже упомянутом NIST SP 800-82. Ниже приводится фрагмент этого документа со сравнительными характеристиками АСУ ТП и абстрактной информационной системы (IT системы). С некоторыми моментами можно спорить, однако, надо при этом помнить, что в таблице сделана попытка максимально сконцентрироваться на возможных различиях, которые, тем не менее, могут не быть присущими для отдельно взятой информационной системы (например, в банковских система критична готовность и скорость доступа).
Сравнительный анализ информационных (IT) систем и АСУ ТП
Так в чем же все-таки проблема с информационной безопасность АСУ ТП?
Кроме того, что ИБ является проблемой сама по себе, в области АСУ ТП ситуация имеет свою специфику по причине наличия нескольких факторов.
Часто все обеспечение ИБ сводится к рассмотрению системы менеджмента ИБ (СМИБ), хотя СМИБ является необходимым, но не достаточным условием обеспечения ИБ для АСУ ТП. К тому же, в управлении ИБ АСУ ТП необходимо рассматривать три уровня: 1) предприятие, 2) программа по разработке и эксплуатации серии АСУ ТП, 3) единичная АСУ ТП. Об этом помнят не всегда, и происходит подмена понятий, когда для АСУ ТП, как технического объекта, пытаются выполнить все требования к СМИБ и упускают функциональные и технические характеристики.
Еще бывает так, что ИБ рассматривают только с точки зрения high-tech, как поток «черных» инноваций (Stuxnet, BlackEnergy, etc.) и, соответственно, набор тех или иных мер по защите от них.
Тем не менее, разумным является системный подход, включающий организационные и технические меры (триада «Люди – Процессы – Технологии»).
Еще одним моментом является лавинообразное увеличение за последние 5-10 лет количества стандартов в области ИБ. Многие стандарты активно перерабатываются и расширяются, что порождает некоторый хаос в требованиях.
Я постарался учесть стандарты и техдоки по АСУ ТП, а также те источники, на которые они ссылаются. Получился следующий обширный перечень:
– серия ISO/IEC 27000 “Information technology – Security techniques – Information security management systems” всем известна, и на хабре обсуждалась многократно, стандарты переводятся на русский язык и принимаются в качестве ГОСТ Р;
– три части ISO/IEC 15408 “Information technology – Security techniques –Evaluation criteria for IT security” или так называемые «Общие критерии» (Common Criteria) также переведены на русский язык и приняты в качестве ГОСТ Р;
– серия стандартов ISA/IEC 62443 “Security for Industrial Automation and Control Systems”; эти стандарты требуют самого тщательного внимания, поскольку представляют собой «энциклопедию» ИБ АСУ ТП; первая редакция была разработана International Society of Automation (ISA) в 2000-х гг., а затем адаптирована в качестве стандарта Международной электротехнической комиссии (МЭК, по-английски IEC); в РФ некоторые части 62433 также приняты в качестве ГОСТ Р; в настоящее время силами ISA ведется разработка следующей редакции 62433; разработка отстает от графика, но уже сейчас там есть о чем почитать; рисунок ниже показывает структуру планируемой серии ISA/IEC 62443;
Рисунок 1. Структура серии стандартов ISA/IEC 62443
– публикации States National Institute of Standards and Technology (NIST) на тему ИБ включают три серии: SP 500 Computer Systems, SP 800 Computer Security, SP 1800 Cybersecurity Practice Guides; NIST разработал собственную СМИБ (NIST SP 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations”), а также Cybersecurity Framework (SCF); но нас наиболее интересует NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security”;
– публикации North American Electric Reliability Corporation (NERC) под общим названием Critical Infrastructure Protection (SIP), относящиеся, в первую очередь, к энергетическим системам;
– Cybersecurity Capability Maturity Model (C2M2), разработанная Министерством энергетики США (Department of Energy, DOE);
– рекомендованные практики, разработанные командой Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), входящей в состав Министерства внутренней безопасности США ( Department of Homeland Security, DHS);
– фреймворк Control Objectives for Information and Related Technologies (COBIT), разработанный International Professional Association ISACA;
– фреймворк Critical Security Controls for Effective Cyber Defense (CIS CSC) разработанный Center for Internet Security;
– также можно перечислить стандарты, разработанные для отдельных индустриальных отраслей, например, серия AGA 12 от American Gas Association (AGA), руководство API 1164 от American Petroleum Institute (API), применяемый на АЭС стандарт IEC 62645 “Nuclear power plants – Instrumentation and control systems – Cybersecurity requirements” и т.д.
Итак, есть множество стандартов, все они представляют тематику ИБ, говорят об одном и том же, но, зачастую, разными словами. Задача гармонизации требований будет решена в следующем разделе. Есть одна хорошая новость, которая несколько скрашивает ситуацию. Практически все стандарты и техдоки в области ИБ, особенно, в области ИБ АСУ ТП, написаны понятным техническим языком. В этом они выгодно отличаются от других стандартов, например, по функциональной безопасности АСУ ТП.
Теперь остается еще один вопрос: как совместить требования к информационной безопасности с требованиями к функциональной безопасности (ФБ)? Последняя важна тем, что АСУ ТП управляют физическими потенциально опасными объектами, и именно в этом состоят их основные риски.
Бывает, что специалисты по ИБ не в полной мере чувствуют специфику АСУ ТП, то есть, если систему не атакуют, то и проблемы нет. Но ведь угрозы и риски исходят не только от злоумышленников, но и от некомпетентного персонала, отказов оборудования, воздействий окружающей среды. А эти вопросы уже давно решены в рамках ФБ путем применения методов обеспечения надежности и управления процессами жизненного цикла.
Правда и то, что «надежностники» тоже скептически смотрят на security, не видя особых проблем в кибер угрозах. Системы безопасности (противоаварийной защиты, ПАЗ) крайне консервативны, поскольку требуют больших затрат на лицензирование и сертификацию. Например, для АЭС затраты на лицензирование могут составлять до 10% стоимости проекта.
Так что, иного пути, чем междисциплинарная интеграция усилий и знаний, на данный момент не существует. Гармонизация требований к ИБ и ФБ тоже будет рассмотрена ниже в данной публикации.
Общая картина требований к информационной безопасности АСУ ТП
Когда рассматривается какая-либо техническая система, связанная с возможными рисками, то алгоритм формирования требований к ней следующий:
– ранжировать уровни рисков, связать риски с функционированием системы, и, таким образом, ранжировать требуемые уровни безопасности системы;
– определить меры, направленные на достижение требуемых уровней рисков; крупноблочно, такими мерами являются: система менеджмента, процессы жизненного цикла, технические контрмеры защиты от нарушения работоспособности по причине отказов и/или внешних воздействий.
Когда я об этом, задумался, то общая картина у меня представилась таким образом.
Рисунок 2. Концепция информационной безопасности
Во главе угла лежит управление рисками. Контекст ИБ включает оценку угроз, уязвимостей и рисков вместе с взаимосвязанным процессом применения контрмер по снижению рисков. Организация работ по обеспечению приемлемого уровня рисков определяется категориями «люди», процессы», «технологии».
Рисунок 3. Контекст обеспечения и оценивания информационной безопасности (источник: ISA/IEC 62443)
На особенностях описания АСУ ТП и концепции обеспечения ИБ необходимо остановиться подробнее.
Для описания особенностей разберемся с тремя типами моделей АСУ ТП, которые предлагается рассматривать в интересах ИБ.
Прежде всего, это референсная модель АСУ ТП, определяющая пять уровней:
– Уровень 4: управление предприятием;
– Уровень 3: операционное управление производством;
– Уровень 2: управление и мониторинг физических процессов (SCADA);
– Уровень 1: локальное управление процессом и оборудованием, включая функции защиты и безопасности (Control System);
– Уровень 0: физический процесс и оборудование (датчики и исполнительные механизмы).
То, что обычно подразумевается под АСУ ТП, по сути занимает уровни 0, 1 и 2.
Рисунок 4. Референсная модель АСУ ТП (источник: ISA/IEC 62443)
Модель физической архитектуры АСУ ТП является наиболее распространенной. Она описывает физические компоненты, объединенные посредством сетей.
Рисунок 5. Модель физической архитектуры АСУ ТП (источник: ISA/IEC 62443)
Модель зонирования АСУ ТП может быть получена из предыдущей модели путем разбиения на группы, зависящие от требований к уровню обеспечения ИБ, функционального назначения и реализуемых политик ИБ. Именно данная модель является основой для анализа угроз, уязвимостей, рисков и контрмер по снижению рисков до требуемого уровня.
Рисунок 6 Модель зонирования АСУ ТП (источник: ISA/IEC 62443)
Далее, процесс обеспечения ИБ зависит от определения того, как АСУ ТП применяется на целевом объекте. Такое описание включает:
– выполняемые функции;
– применяемые программные, аппаратные и сетевые компоненты и интерфейсы;
– критерии выполнения целевых процессов (эффективность, безопасность, экологичность и т.п.);
– материальные и нематериальные активы, вовлеченные в область применения АСУ ТП (производственные мощности, интеллектуальная собственность, репутация бизнеса, качество продукции, средства защиты персонала и окружающей среды и т.п.);
– анализ нежелательных последствий, заключающихся в возможном финансовом ущербе, а также в ущербе жизни и здоровью людей, окружающей среде, производству продукции, конфиденциальной информации и общественному имиджу.
Концепция обеспечения информационной безопасности
Уровни информационной безопасности
В основе концепции обеспечения ИБ лежит деление АСУ ТП на уровни ИБ (Security Level, SL). Определяются уровни ИБ в зависимости от характерных угроз и уязвимостей, рисков, целевых функций частей и компонентов АСУ ТП, и, связанных с этим политик безопасности.
Считается, что уровни ИБ заимствованы из ранее предложенных и успешно применяемых в АСУ ТП уровней ФБ, называемых также Safety Integrity Level (SIL).
В стандартах можно найти несколько подходов к разделению АСУ ТП на Security Level. Мы остановимся на зонировании, предложенном все в том же ISA/IEC 62443:
– Security Level 0 (No specific requirements or security protection necessary); определение уровня, для которого не нужны меры обеспечения ИБ, порождает некоторую неопределенность, поскольку непонятно, можно ли вообще отказаться от обеспечения ИБ; на практике можно руководствоваться конкретной ситуацией и исходить из принципа разумной достаточности; обычно нулевой уровень устанавливается не для зон в целом, а для отдельных компонентов, который по какой-либо причине не дотягивают до следующего уровня Security Level 1;
– Security Level 1 (Protection against casual or coincidental violation); защита от случайных или совпадающих нарушений ИБ обеспечивается, в первую очередь, процедурным путем;
– Security Level 2 (Protection against intentional violation using simple means with low resources, generic skills and low motivation); начиная со второго уровня, рассматривается защита от злонамеренных нарушений; на втором уровне рассматриваются обычные неспециализированные атаки, такие как вирусы или использование известных уязвимостей; обычно такие атаки отражаются в автоматическом режиме;
– Security Level 3 (Protection against intentional violation using sophisticated means with moderate resources, ICS specific skills and moderate motivation); на данном уровне необходимо обеспечить защиты от злоумышленников, обладающих достаточными знаниями и ресурсами, чтобы совершить атаку на целевую систему; такие злоумышленники используют малоизвестные уязвимости операционных систем и индустриальных протоколов, а также программные инструменты, которые требуют специальных знаний;
– Security Level 4 (Protection against intentional violation using sophisticated means with extended resources, ICS specific skills and high motivation); данный уровень отличается от предыдущего тем, что здесь злоумышленник привлекает значительные ресурсы, например, организованная группа может использовать кластер компьютеров с высокой вычислительной мощностью на продолжении длительного времени.
В пределах одной зоны размещения оборудования (см. модель зонирования АСУ ТП) целесообразно обеспечивать один и тот же уровень ИБ, а между зонами информационный обмен осуществляется по контролируемым каналам и «сверху-вниз», т.е. или на одном уровне ИБ, или от более высокого уровня ИБ к более низкому уровню ИБ, но не наоборот.
Для каждого из уровней ИБ в АСУ ТП задается несколько групп требований:
– управление идентификацией и аутентификацией;
– контроль использования ресурсов;
– обеспечение интегрированности (целостности);
– обеспечение конфиденциальности данных;
– доступность ресурсов;
– контроль и ограничение потоков данных;
– время реакции на события.
Соответственно, объем рассмотренных ниже требований к СМИБ, жизненному циклу АСУ ТП и защитным контрмерам зависит от установленного уровня ИБ.
Система менеджмента информационной безопасности
По проблеме организации СМИБ уже существует множество материалов. Важно помнить, что менеджмент СМИБ может устанавливаться на нескольких уровнях: 1) предприятие, 2) программа по разработке и эксплуатации серии АСУ ТП, 3) единичная АСУ ТП.
Для СМИБ уровня предприятия, как для управленческой системы, реализуется цикл Деминга: Plan – Do – Check – Act.
Для СМИБ, применяемой в рамках проектов по разработке АСУ ТП, реализуется жизненный цикл, который рассмотрен ниже.
Жизненный цикл информационной безопасности
Для АСУ ТП реализуется V-образный жизненный цикл, который характеризуется выполнением мероприятий по верикации и валидации (обзоры, анализ или тестирование после каждого из этапов разработки). Пример жизненного цикла разработки ПО для АСУ ТП представлен ниже.
Рисунок 7. V-образный жизненный цикл разработки ПО АСУ ТП (источник: IEC 61508)
Данный жизненный цикл реализует требования к ФБ и потому называется Functional Safety Life Cycle. Для того, чтобы соответствовать Security Life Cycle, в спецификации должны быть определены требования к ИБ. Требования к ИБ должны включать реализацию направленных на снижение рисков контрмер, таких, как обеспечение конфиденциальности, интегрированности и доступности, управление идентификацией и аутентификацией и т.д. Эти требования затем реализуются и проверяются на всех этапах жизненного цикла.
Важной концепцией ИБ является «защита в глубину» (Defense in Depth), также пришедшая из области ФБ. «Защита в глубину» подобна многоуровневой глубокоэшелонированной обороне, когда, после проникновения атакующего через один из защитных уровней, он встречается с новой, возможно, принципиально другой защитой атакуемого объекта.
Связь информационной и функциональной безопасности
В публикациях на тему функциональной безопасности мне удалось свести все многообразие требований к нескольким группам:
— управление функциональной безопасностью (Functional Safety Management);
— реализация жизненного цикла функциональной безопасности (Functional Safety Life Cycle);
— защита от систематических отказов проектирования системы и ПО (System and Software Failures Avoidance);
— защита от случайных отказов аппаратных средств (Random Failures Avoidance).
Рисунок 8. Концепция требований к функциональной безопасности
Если спроецировать эти группы требований на область ИБ, то картина получится приблизительно та же.
Во-первых, исходя из роли АСУ ТП в обеспечении ФБ и ИБ, производится градация и разделение систем на уровни. Для обеспечения и оценивания ФБ вводятся Safety Integrity Levels (SIL), а для обеспечения и оценивания ИБ – Security Levels (SL).
Во-вторых, в рамках СМИБ должно быть реализовано управление ИБ. Поскольку многие процессы ИБ и ФБ имеют пересечение, между ними должна осуществляться координация.
В-третьих, как было показано выше, процессы разработки, верификации и валидации, направленные на обеспечение как ФБ, так и ИБ, могут быть реализованы в рамках единого жизненного цикла (Safety & Security Life Cycle).
В-четвертых, в области ФБ и ИБ есть общие риски, обусловленные возможными отказами аппаратных средств. Методами защиты от таких отказов являются резервирование, диагностирование, защита от помех и других экстремальных воздействий и т.п. Таким образом, для обеспечения ИБ и ФБ применяются одни и те же контрмеры.
В-пятых, в АСУ ТП возникают так называемые систематические отказы, вызванные недостатками проектирования ПО и системной составляющей. Те же недостатки приводят к уязвимостям, которые, могут быть использованы злоумышленниками. Ряд контрмер может быть применен для обеспечения как ИБ, так и ФБ (например, контроль доступа к оборудованию и информации). Таким образом, возникает необходимость координации между контрмерами, направленными на обеспечение ИБ и ФБ.
И, наконец, в рамках управления ИБ и ФБ должно осуществляться оценивание мер по обеспечению этих двух составляющих безопасности.
Все сказанное выше представлено на диаграмме, которая может быть основой для координации деятельности по обеспечению ИБ и ФБ.
Рисунок 9. Концепция гармонизированных требований к функциональной и информационной безопасности
Особенности обеспечения информационной безопасности АСУ ТП заключаются в том, что такие системы взаимодействуют с процессами физического мир и первичным их свойством является защита людей и окружающей среды от техногенных рисков. Информационная безопасность АСУ ТП важна, поскольку уязвимости могут быть использованы как раз для физической атаки людей, окружающей среды и материальных активов.
С учетом вышесказанного, обеспечение и оценивание информационной и функциональной безопасности АСУ ТП должно осуществляться координировано в рамках единого жизненного цикла (Safety & Security Life Cycle).
Решение проблемы информационной и функциональной безопасности АСУ ТП лежит в как в организационной, так и в технической плоскости.
Организационная составляющая, в первую очередь, заключается в постоянном обучении персонала и всяческом развитии культуры безопасности.
Среди технических мер по защите АСУ ТП наиболее эффективным является размещение оборудования и ПО в зонах с различным уровнем информационной безопасности (Security Level), среди которых наивысший уровень имеет зона, включающая систему противоаварийной защиты (ПАЗ). Еще одной эффективной технической мерой может быть использование специализированного (проприетарного) ПО, такого, как операционные системы и сетевые протоколы.
Для защиты от атак и киберинцидентов необходимо выделять случайную (уязвимости, вызванные случайными отказами оборудования) и систематическую (уязвимости, вызванные недостатками проектирования) составляющие.
Для эффективного устранения первого типа уязвимостей необходимо призвать на помощь старую добрую теорию надежности, дополненную методами обеспечения функциональной безопасности, такими, как резервирование данных и питания, диагностика, физическая защита, перевод оборудования и объекта управления в безопасное состояние и т.п.
Остальные уязвимости можно и нужно устранять в рамках уже наработанного индустрией опыта, руководствуясь концепцией построения защиты в глубину (Defense in Depth). Однако, механизмы хакерских атак будут также развиваться, и нулевого риска здесь быть не может.
Целью АСУ ТП всегда было благородное служение человечеству путем защиты его от техногенных рисков. Однако, в результате грязных киберинтриг, эта часть мира IT оказалась совершенно не подготовленной к современным реалиям, выступив с копьями наперевес против ветряных мельниц кибероружия.
Очевидно, что методы борьбы должны быть адекватными, а в кибервойнах АСУ ТП заведомо обречены на поражение. Поэтому, Дон Кихот (АСУ ТП, и, особенно противоаварийная защита) должен воевать с проблемами в технологических процессах, и это поле боя должно быть отделено и защищено от остального киберпространства.
