WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные материалы
 

«Докладчик Трушкин Сергей Борисович Rusal Global Management Последовательные этапы • Инициация. Приказ Генерального Директора (о проведении обследования, границах пилотной зоны и ...»

Планирование мероприятий по воздействию на

риски ИБ для систем автоматизации производства и

информационно-технологических систем

предприятий

Докладчик

Трушкин Сергей Борисович

Rusal Global Management

Последовательные этапы

• Инициация. Приказ Генерального Директора (о проведении

обследования, границах пилотной зоны и формировании рабочих групп по

проведению обследования на каждом из предприятий пилотной зоны)

• Адаптация существующей нормативной базы Компании по

оценки рисков ИБ

• Инвентаризация систем АСУТП (классификация по задачам управления технологическими процессами, сбора и обработки технологической информации и оценкой ценности АСУТП с учётом возможных последствий нарушений производственных процессов предприятия)

• Экспертная оценка рисков безопасности систем АСУТП (идентификация источников угроз, методов реализации угроз и текущих уязвимостей систем АСУТП)

• Обработка рисков (принятие решений по снижению, уклонению, передачи или принятию рисков)

• Формирования плана по мерам воздействия на риски Результаты обследования

• Всего было обследовано 269 задач (подсистем) АСУТП;

• Из них 212 задач имеют непосредственное воздействие на технологическое оборудование, через PLC, т.е. возможно прямое деструктивное воздействие на технологический процесс различными методами атак.

• Через остальные задачи (57) прямое воздействие невозможно, но, информация обрабатываемая этими системами влияет на принятие решение технологами (управление ходом производственного процесса).



Оценка рисков

Из 212 задач:

• 10 имеют самый высокий риск, величина возможных потерь, при вредоносном воздействии на технологию, превосходит критический уровень, реализация угрозы способна привести к значительным финансовым потерям или утрате конкурентных преимуществ;

• 45 задач имеют такие свойства, что реализация информационных атак может привести вследствие нарушения целостности, конфиденциальности или доступности критичных информационных активов АСУТП, существенному ущербу.

• при негативном воздействии на 50 задач потери не будут серьезными, но влияние на производственно-технологические и бизнес-процессы может быть ощутимо;

• остальные 107 таковы, что потери в случае реализации атак являются несущественными либо возможность реализации атак чрезвычайно мала, либо влияние на основные производственно-технологические и бизнеспроцессы предприятий незначительно Внутренняя сеть Внешние каналы 60 Доступ к ресурсам Уязвимости систем

–  –  –

В качестве основных факторов влияющих на защищённость АСУТП являются отсутствие развитых средств информационной безопасности (ИБ) в составе технической инфраструктуры АСУТП, характерной для современных ИТ-систем, игнорирование требований ИБ при осуществлении модернизации и технического обслуживания, слабая организационная составляющая обеспечения ИБ, а также отсутствие единого центра компетенции АСУТП в Компании. Важно отметить, что Техническая дирекция РГМ позиционирует себя таковым только для отдельных проектов по созданию и модернизации производств.

Область действия (границы пилотной зоны)

• Сформирована пилотная зона в которую были включены 2 предприятия: Красноярский алюминиевый завод и Саяногорский алюминиевый завод.

• Общее количество подсистем АСУТП требующих вмешательства по воздействию на риски.

–  –  –

САЗ/ХАЗ – 35 задач АСУТП Основные мероприятия плана

1. Формирование требований к системе информационной безопасности АСУ ТП (подготовка общего ТЗ)

2. Создание центра компетенции по вопросам обеспечения информационной безопасности АСУТП

3. Формирование концепции информационной безопасности АСУТП (высокоуровневая модель безопасности, включающая общий ландшафт инфраструктуры, технологии и методы обеспечения защищённости)

4. Предпроектное техническое обследование

5. Техническое проектирование.

6. Внедрение

7. Тестирование систем защищённости АСУТП с применением инструментальных средств Формирование требований к системе информационной безопасности АСУ ТП (опорная база).

• Политика информационной безопасности Компании (Положение о режиме коммерческой тайны, Порядок обработки инцидентов информационной безопасности; Порядок доступа пользователей в корпоративную систему; Положение о резервном копировании и аварийном восстановлении систем; Порядок проведения аудита ИБ;

Порядок организации внешнего периметра корпоративной системы, нормативная база СУИБ ISO 27001 и др.)

• Основные нормативные требования Приказа ФСТЭК России № 31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей, для окружающей природной среды».

Формирование требований к системе информационной безопасности АСУ ТП (опорная база).

• Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв.

Советом безопасности РФ 04.07.2012);

• NIST SP 800-82 «Guide to industrial Control Systems (ICS) Security»

Revision 1, May 2013.

• ГОСТ 34.601-90 Информационная технология. Автоматизированные системы. Стадии создания.

• Отчёт по результатам обследования защищённости систем АСУ ТП предприятий Алюминиевого дивизиона от деструктивных воздействий в информационной сфере Создание центра компетенции по вопросам обеспечения ИБ АСУТП

• Организационная форма для комплексного решения вопросов в области обеспечения информационной безопасности

• Призван решить проблему несогласованности действий среди служб по обслуживанию, эксплуатации, разработки, внедрению и модернизации АСУТП.

• Должен быть наделён соответствующими полномочиями в зоне ответственности (функциональная техническая поддержка, стратегия модернизации и развития, формирование нормативной базы, обработка инцидентов ИБ, формирование информационной базы и т.д.)

• Организационная структура встроена в существующую структуру Управляющей Компании на уровне Дивизионов.

Организационная структура обслуживания и эксплуатации АСУТП Диспетчеры АСУТП. Руководящий персонал (мастера, технологи, руководители).

Обеспечение мониторинга данных и управление ходом технологического процесса.

Цеха автоматизации производства. Регламентное обслуживание.. Текущий ремонт и аварийное восстановление. Низкий уровень (контроллеры, датчики, промышленные сети).

Разработчики, Инженерно-технологического центра (ИТЦ) Компании. Техническая поддержка, разработка, модернизация.

ИТ подразделения. Техническое обслуживание типового сетевого и серверного оборудования верхнего и среднего уровня.

Подразделения ИБ. Контроль соблюдения установленных требований ИБ.

Внешние подрядчики. Техническая поддержка.

Проблематика проектирования и внедрения средств обеспечения защищённости АСУТП Отсутствие единой системной инфраструктуры Проблема фрагментарности сетевой топологии; совмещение различных протоколов и устройств; большое количество неоднородных разнотипных задач.

Оценка необходимости обеспечения защищённости Проблема формирования модели угроз безопасности для большого количества отдельных задач.

Масштабность и распределённость (КрАЗ порядка 63 технологических зон присутствия средств АСУТП на площадки 3 кв. км., САЗ/ХАЗ – 37 зон присутствия на 1,8 -2 кв. км) Проблема внедрение централизованных решений в области управления процессами информационной безопасности, а также техническими средствами их обеспечения (межсетевое экранирования, удалённый доступ, ААА, резервного копирования, физической защитой технологических зон и т.д.) Большое число производственных объектов, обладающих разной величиной риска и способами его минимизации Длительный цикл модернизации систем АСУТП Проблема использования с устаревшего ПО не совместимого с современными средствами и методами обеспечения защищённости.





Проблематика проектирования и внедрения средств обеспечения защищённости АСУТП Импортозамещение Проблема выбора отечественных средств.

Проблема использования ПО с открытым кодом и аппаратных платформ из третьих (нейтральных) стран.

Доработка существующих систем до требований информационной безопасности Проблема использования ПО под «заказ» и самописное ПО.

Разработка Проблема отсутствия соответствующих процессов ИБ при выполнение разработки систем. Наличие необходимых стендов для моделирования и испытаний.

Отсутствие единого центра компетенции в области ИБ и ИТ.

Единая точка управления процессами ИБ и ИТ.

Технические меры повышения защищённости

• Межсетевое экранирование между уровнями корпоративной системы и АСУТП.

• Защита удалённого доступа (BYOD).

• Автоматизированный инструментальный анализ защищённости.

• Антивирусная защита.

• Обнаружение вторжений (IDS/IPS).

• Централизованный сбор и анализ событий безопасности

• Централизованное управление конфигурациями устройств.

Спасибо за внимание Трушкин Сергей e-mail: Sergey.Trushkin@rusal.com

Похожие работы:

«Народные предприятия или один шаг на пути возрождения Родины Вместо того, чтобы бесконечно проклинать темноту, лучше зажечь одну маленькую свечу. Конфуций Перед тем, как взяться за перо, я долго читал блоги и сайты единомышленников русских патриотов, котор...»

«Кафедра "Вагоны и вагонное хозяйство" А.А. ПЕТРОВ ВОССТАНОВЛЕНИЕ ИЗНОШЕННЫХ БОКОВЫХ РАМ В ЧЕЛЮСТНОМ ПРОЕМЕ КОМПАУНДНЫМИ МАТЕРИАЛАМИ (металлополимеры КМП-5М) Рекомендовано редакционно-издате...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Новосибирский национальный исследовательский государственный университет Геолого-геофизический факультет УТВЕРЖДАЮ Председатель совета ""2013 г. Программа дисциплины Введение в геотектонику Направление подготовки ГЕОЛОГИЯ Квалификация (степень) выпускника Б...»

«Флора и география УДК 582.286 Е.В. БОРИСОВА1, Ф.П. ТКАЧЕНКО2 Ин-т ботаники им. Н.Г. Холодного НАН Украины, Украина, 01001 Киев, ул. Терещенковская, 2, Украина Одесский национальный ун-т им. И.И. Мечникова, 65026 Одесса, ул...»

«СОДЕРЖАНИЕ МЕХАНООБРАБОТКА ARTHUR KLINK 2 DANOBAT 4 GER GLEASON 17 METRA 20 PEE WEE 22 RIELLO 25 SPINNER 28 ЛИСТООБРАБОТКА ARKU BOSCHERT BYSTRONIC 43 DANOBAT 46 FLOW 50 GALDABINI 51 KALTENBACH SANGIACOMO 55 UNIVERSAL 57 КОНТРОЛЬ И ИЗМЕРЕНИЯ BRUEL & KJAER CARL ZEIS...»

«ТОМ 53 БОТАНИЧЕСКИЙ ЖУРНАЛ 1968, № 4, с.470-479 УДК 582 : 582.657.2 Ю. Д. Сосков ИСПОЛЬЗОВАНИЕ ЗАКОНА ГОМОЛОГИЧЕСКИХ РЯДОВ Н.И. ВАВИЛОВА В СИСТЕМАТИКЕ НА ПРИМЕРЕ ИЗУЧЕНИЯ РОДА CALLIGONUM L. С 1 рисунком U...»

«Вспоминает священник Георгий-Христофор ФРИДМАН Осенью 1974 года Бог привел меня к сестрам-доминиканкам восточного обряда, жившим тогда в Вильнюсе. Произошло это так. С легкой руки и по бла...»

«РОССИЙСКАЯ АКАДЕМИЯ НАУК МУЗЕЙ АНТРОПОЛОГИИ И ЭТНОГРАФИИ ИМ. ПЕТРА ВЕЛИКОГО (КУНСТКАМЕРА) К. В. Чистов ЗАБЫВАТЬ И СТЫДИТЬСЯ НЕЧЕГО. Санкт Петербург Электронная библиотека Музея антропологии и этнографии им. Петра Великого (Кунсткамера) РАН http://www.kunstkamera.ru/lib/rubrikator/01/978-5-88431-138-1/...»

«1 MS-DOS MS DOS Содержание 1 Обзор версий MS DOS. Основные составные части MS DOS. Начальная загрузка MS 1 DOS. 2 Требования к ресурсам ПЭВМ для развертывания MS DOS. 7 Развертывание(инсталляция) MS DOS. Наст...»

«ВЕСТНИК ДАГЕСТАНСКОГО НАУЧНОГО ЦЕНТРА. 2014. № 52. С. 74–78. УДК 950/960 К ВОПРОСУ О РОЛИ СУРХАЙ-ХАНА И ДАУД-БЕКА В СВЕРЖЕНИИ ИРАНСКОГО ВЛАДЫЧЕСТВА НА КАВКАЗЕ И РАЗГРАНИЧЕНИИ СФЕР ВЛИЯНИЯ В ПРИКАСПИЙСКИХ ОБЛАСТЯХ (1721–1728 гг.) М. Н. Сотавов Дагестан...»










 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.