Комплексный подход к обеспечению

информационной безопасности

АСУ ТП.

Решения InfoWatch

Аносов Дмитрий,

Менеджер по развитию продукта

Вместо вступления.

Аксиоматика.

АСУ ТП – уязвимы (даже если не подключены к интернету)

АСУ ТП – необходимо защищать

АСУ ТП – атаки могут привести к серьезным последствиям

Государство регулирует вопросы ИБ АСУ ТП, по крайней мере для КВО

Основной нормативный документ – Приказ № 31 ФСТЭК России (с РД и МД), а также отраслевые и внутренние стандарты

Уязвимости АСУ ТП

Использование уязвимых технологий: ОС, приложений, открытых протоколов

Реализация возможности удаленного доступа с использованием IP-протоколам на уровне ЛВС, контроллеров, датчиков, механизмов

Применение при проектировании АСУ ТП, протоколов и средств связи без защиты

Подход InfoWatch к обеспечениюИБ АСУ ТП

От чего и что

защищаем?

Объект защиты:

технологический процесс

И защищать нужно - от ЛЮБЫХ угроз

(информационного характера)

Проектировение СЗИ для АСУ ТП начинается с изучения

защищаемой системы

• Объекты защиты по своему уникальны

• Каждая АСУ ТП по своему уникальна, у компонентов (ПЛК) также свои особенности. Знать и предугадать заранее нельзя

• Прежде, чем иметь дело с любой уникальной системой, ее необходимо изучить

Аудит ИБ

Аудит ИБ АСУ ТП – максимально эффективный способ исследовать

конкретную АСУ ТП с точки зрения информационной безопасности

Комплексный

подход

Способ

воздействияРешение InfoWatch

Препятствие

Управление

Маскировка

Регламентация

InfoWatch Automation System Advanced Protection (ASAP)

Аудит

Меры обеспечения

ИБ

Организационные меры

Технические меры

Стадии проекта по

ИБ АСУ ТП

Аудит

• Изучение АСУ ТП заказчика

• Составление модели угроз

• Проект СЗИ

• Понимание стоимости и сроков

• Составление документации

Стенд

• Опробация решения на изолированном сегмента АСУ ТП Заказчика

• Внесение правок и корректировок в систему СЗИ

Пилот

• Пилотное внедрение на рабочем сегменте АСУ ТП Заказчика

• Обучение персонала

• Составление план-графика внедрения

• Составление проектно-сметной документации для внедрения

Внедрение

• Установка решения на объекте заказчика

• Обучение персонала

• Поддержка и сопровождение

Комплексный

подход

Решения InfoWatch для ИБ АСУ ТП

Услуги

Аудит (по 31-му Приказу)

Комплексный аудит ИБ

организации

Разработка стандартов ИБ и нормативной документации

Продукты

Платформа АПК ASAP

Защита нижнего и среднего уровня АСУ ТП

Элементы комплексной

защиты

MES/ERP

TCP/IP

SCADA,HMISrv

Уровень

диспетчеризации

Программируемые

контроллеры (ПЛК)Уровень

управления

Полевые устройстваПолевой

уровень

ASAP

SRV

АРМ

ИБ

ASAP УЗ

ASAP УЗ ASAP УЗ

ПОД

ЗАЩИТОЙ

IW ASAP

Состав системы

Распределенные по объекту ASAPАппаратная база определяется исходя из: количества

контролируемых интерфейсов связи и их распределенности

по объекту, объема обрабатываемой информации, стандартов

и протоколов передачи информации

ПО сервера обработки информации,

поступающей с ASAPПО сервера может быть установлено на существующие средства

вычислительной техники объекта

ПО для службы безопасностиПО является тонким клиентом для сервера и может быть

установлено на существующие ПК. ПО позволяет формировать

аналитические отчеты по заданным параметрам в интересах

заказчика. Отчеты могут дополняться графической

визуализацией

* ASAP – средства обнаружения аномалий

Функциональные

блоки защиты

ASAP

Межсетевое экранирование

(МЭ)

Обнаружение и предотвращение

вторжений

(СОВ)

Мониторинг и анализ

защищенности

(МЗ)

Контроль технологического

процесса

(КТП)

Модуль анализа и графический

интерфейс пользователя

(GUI)

Обеспечение собственной безопасности

(ОСБ)

Межсетевое

экранирование

Собственная разработка

Стандартная фильтрация + DPI по промышленным протоколам

Система защищенного хранения и обеспечения целостности конфигураций

Система полного зеркалирования всего трафика (опция)

При необходимости может выполнять функции маршрутизации

Межсетевое экранирование

(МЭ)

СОВ

Блок сигнатурного

анализа

Блок накопления и

анализа статистических

данных

Обнаружение атак

канального уровня, в

т.ч. подмены сигнала

Обнаружение вредоносного

кода в трафике,

информационных атак

общего вида (по аналогии с

антивирусом)

Обнаружение

специфических атак на АСУ

ТП (собственные сигнатуры)

Обнаружение и предотвращение

вторжений

(СОВ)

Выявление аномалий

Анализ

защищенности

Блок активного

сканирования

Блок пассивного

сканирования

• Сканирует защищаемую систему в режиме реального времени на

наличие уязвимостей

• Действия с трафиком: идентификация, проверка, сравнение с

базой сигнатур

• Не использует автоматические средства поиска

Мониторинг и анализ

защищенности

(МЗ)

Контроль

технологического

процесса

Обеспечивает целостность, доступность и непрерывность

технологического процесса

• Специальный интерфейс настройки и адаптации к технологическим процессам предприятия

• Используются формулы связи уставок и параметров технологического процесса, задаваемые при внедрении и в ходе работ по сопровождению

• Использует данные, полученные в результате предпроектного аудита информационной безопасности технологической сети на объекте

• В случае попытки нарушения технологического процесса, может подменять некоторые варианты трафика, предотвращая негативный эффект

Контроль технологического

процесса

(КТП)

Обеспечение

собственной

безопасности

Безопасность и целостность передаваемых данных

Раздельная аутентификация

Безопасность устройства защиты ASAP

Шифрование всех данных и всего

трафика, передаваемого внутри ASAP

Технологические пользователи, под

которыми осуществляется связь

СЕРВЕР-АРМ, никак не связаны с

таковыми при связи СЕРВЕР-УЗ

• Контроль целостности

• Модель управления доступом

• Аудит кода при разработке

• Собственная методика

обеспечения защиты

Модуль GUI

Построен по системе «виджетов»

Позволяет выводить на главный экран любые комбинации информационных блоков

Может быть сконфигурирован каждым пользователем индивидуально

Предоставляет консолидированную информацию о состоянии ИБ защищаемой системы

Графический интерфейс

пользователя

Схема работы

решения

Получение

параметров всех

защищаемых

технологических

процессов

Глубокий анализ

трафика на

уровнях SCADA-

PLC и PLC-

полевой уровень

Сравнение с

характерным цифровым

отпечатком, поиск

аномалий с учетом

допустимых отклонений

В случае

обнаружения

аномалий –

срабатывает СОВ

Локализация места

возникновения

аномалии,

информирование

сотрудника ИБ

Действия по

согласованному

заранее

регламенту

Архитектура

Сервер ASAP

СерверМодуль

КТП

Модуль

МАЗ

Аналитика

уровня

сервера

АРМ ИБ

Интерфейс

пользователя

УЗ уровня ПЛК

МЭ уровня

PLK

СОВ

уровня PLK

Аналитика

уровня PLK

УЗ уровня устройств

МЭ уровня

устройств

СОВ

уровня

устройств

Аналитика

уровня

устройств

Уровень

устройств

Уровень

сервера

Уровень

рабочей

станции

Маршрутизатор ASAP

Соответствует

приказу №31 ФСТЭК

• Руководящему Документу ФСТЭК России «Средства вычислительной

техники. Защита от несанкционированного доступа к информации.

Показатели защищенности от несанкционированного доступа к

информации» (РД по СВТ) – класс 5

• Руководящему Документу ФСТЭК России «Средства вычислительной

техники. Межсетевые экраны. Защита от несанкционированного доступа

к информации. Показатели защищенности от несанкционированного

доступа к информации (РД по МЭ) – класс 3

• Методическому Документу ФСТЭК России «Профиль защиты систем

обнаружения вторжений уровня сети пятого класса защиты

ИТ.СОВ.С5.ПЗ» (РД по СОВ) – класс 5

• Руководящему Документу ФСТЭК России «Защита от

несанкционированного доступа к информации. Часть 1. Программное

обеспечение средств защиты информации. Классификация по уровню

контроля отсутствия недекларированных возможностей» - (РД по НДВ) –

класс 4

Спасибо за внимание!