• CIS Magazine

DATAPK – программно-аппаратный комплекс оперативного мониторинга и контроля на защите АСУ ТП

Программно-аппаратный комплекс DATAPK™, сертифицированный ФСТЭК России, обеспечивает оперативный мониторинг и контроль состояния защищённости систем автоматизации критически важных объектов (КВО) и объектов критической информационной инфраструктуры (КИИ), в частности, автоматизированных систем управления технологическими процессами (АСУ ТП).



Подход к обеспечению ИБ

И хочется, и колется – как подойти к вопросу обеспечения информационной безопасности автоматизированных систем управления технологическими процессами?

Сегодня мы получаем всё больше аргументов в пользу актуальности вопроса обеспечения информационной безопасности (ИБ) в автоматизированных системах управления (АСУ) технологическими процессами (ТП): это и растущая популярность вредоносных программ-вымогателей в АСУ ТП, и ужесточение требований законодательства РФ, и результаты аудитов ИБ, проведённых многими владельцами АСУ ТП. Но при этом до сих пор остаётся актуальным вопрос – что и как применять для защиты АСУ ТП? Нередко можно услышать, что АСУ ТП отличаются от традиционных офисных систем, а значит, и подходы к обеспечению ИБ должны отличаться, но как именно?


Зачастую отмечают, что для АСУ ТП традиционная триада «конфиденциальность, целостность, доступность» меняется на «доступность, целостность, конфиденциальность», так как в АСУ ТП гораздо важнее обеспечить работоспособность системы, а не сохранить в секрете тот или иной сигнал или содержимое экранной формы. Также необходимо отметить, что свойства доступности, целостности и конфиденциальности в АСУ ТП надо рассматривать не в отношении информации, циркулирующей в системе, а в отношении системы в целом, так как основная задача АСУ ТП – корректная работа функций, заложенных в неё разработчиком.


Функции АСУ ТП имеют достаточно жёсткие требования по точности, времени выполнения и пр. Именно поэтому многие решения по обеспечению ИБ воспринимаются представителями подразделений автоматизации в штыки – они вносят изменения в работу функций (дополнительная задержка, вносимая межсетевым экраном в передачу сигналов технологической сети, может привести к нарушению временного норматива работы функции, ПО для защиты рабочих станций или серверов может привести к отказу того или иного программного блока из-за ложного срабатывания и т. д.).


Позицию подразделений по автоматизации можно понять: все смежные системы, не имеющие отношения к основной АСУ ТП (к которым относятся, например, системы промышленной безопасности, выявляющие пожары, утечки ядовитых веществ и прочие критичные для безопасности объекта факторы), как правило, не могут влиять на неё в автоматическом режиме (исключение, когда эти системы интегрированы в единую систему силами одного разработчика) – тогда почему система обеспечения ИБ должна быть более привилегированной в этом вопросе?


Принимая во внимание вышеперечисленное, подход к обеспечению ИБ в АСУ ТП целесообразно строить, исходя из следующих принципов:

  • система обеспечения ИБ АСУ ТП должна быть направлена на выявление любых изменений в системе, которые могут привести к нарушению работы функций системы;

  • система обеспечения ИБ АСУ ТП должна быть направлена в первую очередь на обнаружение реализации угрозы ИБ и информирование ответственных работников организации, которые уже могут применять меры в отношении выявленной угрозы ИБ.


Одним из вариантов построения системы обеспечения ИБ, удовлетворяющей приведенным выше принципам, является специализированный программно-аппаратный комплекс DATAPK производства компании «Уральский центр систем безопасности» (УЦСБ).


ПАК DATAPK

Непрерывный контроль изменений АСУ ТП без вмешательства в работу системы.

DATAPK обеспечивает оперативный мониторинг и контроль состояния защищённости компонентов АСУ ТП. Решение DATAPK предназначено для выявления предпосылок реализации угроз ИБ и недопущения возникновения инцидентов ИБ в АСУ ТП путём оперативного информирования персонала организации, ответственного за реагирование на инциденты ИБ.


DATAPK позволяет создавать распределённые системы обеспечения ИБ, повторяющие иерархическую структуру АСУ ТП организации. При этом модульная структура DATAPK позволяет выстраивать систему максимально эффективно с экономической точки зрения: на нижних уровнях иерархии используется минимальный набор модулей, обеспечивающих только сбор информации, а интеллектуальная обработка информации осуществляется уже на более высоких уровнях.


Среди основных преимуществ DATAPK можно перечислить возможность работы без установки дополнительных программных агентов на компоненты АСУ ТП, отсутствие воздействия на работу АСУ ТП, а также модульность и интеграцию с внешними системами управления и обеспечения ИБ.


Весной 2017 года интегратор УЦСБ объявил о завершении сертификационных испытаний программного комплекса оперативного мониторинга состояния информационной безопасности и контроля состояния защищённости производственно-технологических комплексов DATAPK. В результате проведённой работы DATAPK получил сертификат соответствия №3731 Федеральной службы по техническому и экспортному контролю (ФСТЭК России).


Сертификат соответствия №3731 ФСТЭК России подтверждает, что DATAPK является программным средством контроля (анализа) защищённости информации, не содержащей сведений, составляющих государственную тайну, а также соответствует требованиям технических условий при выполнении указаний по эксплуатации.


В настоящее время DATAPK проходит апробацию у ряда заказчиков УЦСБ из ТЭК, металлургии и других отраслей. Кроме того, DATAPK используется в качестве элемента лабораторного стенда, на котором проходит обучение студентов ЮФУ.


DATAPK может быть использован для автоматизированного контроля реализации требований Приказа ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».




Основные модули DATAPK

Модуль управления конфигурацией объектов защиты обеспечивает:

  • ведение каталога объектов защиты (под объектом защиты в DATAPK понимается устройство АСУ ТП, подключённое к технологической сети передачи данных), автоматическое выявление изменений в составе объектов защиты (появление ранее неизвестных или наоборот – пропадание ранее наблюдавшихся объектов защиты) путём анализа сетевого трафика технологической сети передачи данных;

  • контроль сетевого взаимодействия между объектами защиты, выявляющий ранее неизвестные информационные потоки между объектами защиты (при этом конфигурация DATAPK позволяет в качестве отдельного информационного потока описать конкретные команды промышленного протокола, например, команды, меняющие ПО программируемого логического контроллера);

  • контроль конфигураций объектов защиты, выявляющий изменения аппаратной и программной части объекта защиты (например, подключение съёмных носителей информации к АРМ, создание нового пользователя в ОС или ПО SCADA и пр.).


Модуль сбора и анализа событий ИБ обеспечивает:

  • сбор событий ИБ с объектов защиты посредством различных протоколов передачи событий ИБ (syslog, Windows Event Log, чтение событий из файлов или базы данных и пр.);

  • представление событий ИБ от всех источников в едином интерфейсе DATAPK;

  • анализ и корреляцию событий ИБ по заданным правилам.


Модуль оценки соответствия требованиям ИБ и поиска уязвимостей обеспечивает:

  • оценку соответствия конфигурации объектов защиты заданным требованиям по обеспечению ИБ (требования могут быть заданы внутренними нормативными документами, проектной документацией и пр.);

  • поиск известных уязвимостей объектов защиты.


Оценка соответствия и поиск уязвимостей производится на базе описаний, использующих язык OVAL, что позволяет использовать описания, сформированные в других решениях, поддерживающих этот язык.


Построение системы обеспечения ИБ на базе DATAPK

Насколько сложно внедрить DATAPK для мониторинга состояния защищённости АСУ ТП? Ответ на вопрос зависит от многих факторов, но для примера рассмотрим ситуацию, близкую к идеальной: требуется защитить АСУ ТП, расположенную на территории одного технологического комплекса (небольших размеров), при условии, что АСУ ТП сопровождается разработчиком/проектировщиком и на неё есть вся актуальная документация.


В такой ситуации порядок внедрения DATAPK будет следующим.

  1. Необходимо обеспечить подключение DATAPK в технологическую сеть передачи данных двумя способами: первое подключение должно обеспечить передачу копии всего сетевого трафика для анализа информационных потоков (это реализуется с использованием технологии SPAN на современных коммутаторах или с помощью ответвителей сетевого трафика – TAP), второе подключение должно обеспечить возможность взаимодействия DATAPK с объектами защиты (в случае сегментированной с помощью VLAN сети это может быть транковый порт, который обеспечит доступ во все VLAN технологической сети).

  2. Необходимо наполнить каталог объектов защиты DATAPK, описав все сетевые устройства и их информационные потоки. Эта задача легко решается при наличии актуальной проектной и эксплуатационной документации на АСУ ТП – так как там приведён состав (и конфигурация) объектов защиты, сведения о способах их взаимодействия между собой и со смежными системами.

  3. На объектах защиты необходимо создать служебные учётные записи, которые позволят DATAPK осуществлять сбор событий и конфигураций.

  4. После сбора текущих конфигураций объектов защиты DATAPK уже готов к непрерывному мониторингу состояния защищённости. По мере эксплуатации решения, конфигурация может расширяться источниками событий ИБ, дополнительными правилами анализа и корреляции событий ИБ, правилами контроля соответствия объектов защиты требованиям ИБ.


_____________________________________


«Уральский центр систем безопасности»

Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций.


www.ussc.ru

Просмотров: 454

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.