© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

Решения Cisco и 31-й приказ ФСТЭК по защите АСУ ТП Обзор Алексей Лукацкий Бизнес-консультант по безопасности

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

Приказ ФСТЭК №31 по защите АСУ ТП

•  №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

•  Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов В тех случаях, если КСИИ управляют технологическими процессами Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

•  Планы ФСТЭК Унификация перечня защитных мер для всех трех приказов Выход на 2-хлетний цикл обновления приказов

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

IPS и NGIPS •  Cisco FirePOWER •  Cisco ASA with FirePOWER •  Cisco FirePOWER for ISR

•  Cisco wIPS •  Cisco vNGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco IOS Firewall •  Cisco ASAv •  Cisco FirePOWER •  Meraki MX

Advanced Malware Protection

•  AMP для Endpoint •  AMP для Network •  AMP для Content

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты

•  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX •  ASA with FirePOWER

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  FirePOWER NGFW

Secure DC •  Cisco ASA / 1000v /

ASAv / VSG •  Cisco TrustSec

Какие решения по ИБ есть у Cisco?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

На всех участках АСУ ТП и связанных сетей

Филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

Что из этого выполняет требования 31-го приказа?

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами

•  Эти решения могут быть применены как в самом индустриальном сегменте, так и на стыке с корпоративной сетью или Интернет

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

Решения Cisco для индустриальных сетей

•  Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500

•  Индустриальные маршрутизаторы ISR 819H, CGR 2000

•  Индустриальные беспроводные решения Cisco 1550 Outdoor AP

•  Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI

•  Индустриальные системы предотвращения вторжений IPS for SCADA

•  Индустриальные межсетевые экраны и система отражения вредоносного кода

Cat. 6500 Cat. 4500

Cat. 3750

Available COTS Platforms

Available Industrial Platforms 1260 and 3560 APs

ASA

IE 3010

IE 3000 1552 AP

CGR 2010

IE 2000

ISR 819

7925G-EX IP Phone

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

VPN  

VDI  

WSA  

IPS  

NGFW  

FW  

ISE  

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Enterprise Zone

DMZ

PCD /

Manufacturing Zone

PCN /

Cell / Area Zone

?

?

Архитектура Cisco для защиты индустриальной сети

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

Архитектура ИБ промышленного предприятия

WWW Приложения

DNS FTP

Интернет

Гигабитный канал для определения аварийного переключения

Межсетевой экран

(активный)

Межсетевой экран

(режим ожидания)

Серверы производствен

ных приложений

Коммутатор уровня доступа

Сетевые сервисы

Коммутаторы уровня ядра

Коммутатор уровня

агрегации

Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер

Ячейка/зона 1 (Резервная топология типа «Звезда»)

Диск

Контроллер

HMI Распределенный ввод-вывод

Контроллер

Диск Диск

HMI

Распределенный ввод-вывод

HMI

Ячейка/зона 2 (Топология типа

«Кольцо»)

Ячейка/зона 3 (Линейная топология)

Коммутатор уровня доступа 2

Контроллер

Ячейка/зона Уровни 0-2

Производственная зона Уровень 3

Демилитаризованная зона Уровень 3.5

Корпоративная сеть Уровни 4-5

Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS)

Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами

VPN и сервисы удаленного доступа Межсетевой экран нового поколения

Система предотвращения вторжений (IPS)

Защита от угроз в облаке Применение политик для всей сети

Контроль доступа (на уровне приложений)

Межсетевой экран с сохранением состояния

Защита и определение вторжений (IPS/IDS)

Системы управления физическим доступом

Сервисы

идентификации

ISE

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11

Архитектура ИБ нефтегазового предприятия

Управление и безопасность Уровень 1

Устройство Уровень 0

Центр управления Уровень 3

Устаревшая  RTU  

Сети безопасности и управления процессами Мультисервисные сети

Ист. данные HMI

Отсек питания

Безопасность  

Процесс  

Питание  

Процесс

Контроллер Контроллер Контроллер

Серийные и неразъемные соед.

Ethernet-процессы Ethernet-мультисервисы

WAN Беспроводн. соед.

Транспорт RFID

SIEM

Сенсор   Движок   Клапан   Драйвер   Насос   Прерыватель   Монитор  питания  Стартер   Выключатель  

Системы безопасности

Принтер

Оборудование

SIEMСистема SCADA Головная станция

Рабочие станции оператора и разработчика

Сервер автоматизации процессов системы

SIEM

SIEM

Обработка и распред. ист. данных

Серверы приложений

Операционные бизнес-системы

SIEM

SIEM

SIEM

Надежность и безопасность

Система управления производством (MES)

SIEM

SIEMРаспределенная система управления (DCS)

SIEM

SIEM

Контроллер доменов

Корп. сеть Уровни 4-5

Ист. данные SIEM

Анти- вирус

WSUS

SIEM

SIEMСервер удаленной разработки

SIEM

Сервер терминального оборудования

SIEMДМЗ

Уровень 3.5

Телекоммуникации на операционном уровне

Беспроводн. сети

Интернет

Контроль Уровень 2

Системы видеонаблюдения

Контроль доступа

Голос

Мобильные сотрудники

Беспроводн. сенсор

Контроллер

Сенсор   Выключатель  

Безопасность

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

Архитектура ИБ транспортного предприятия

PTC

IPICS VSMS / VSOM

IP/MPLS Домен

UCS

WAN/ Ядро

Центр управления

Трансп. зона

Усиленный межсетевой экран Усил. система обнаружения вторжений (IDS)

Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами

VPN и сервисы удаленного доступа Межсетевой экран нового поколения

Система предотвращения вторжений (IPS)

Защита от угроз в облаке Применение политик для всей среды Контроль доступа на уровне приложений

Межсетевой экран с сохранением состояния

Система обнаружения вторжений (IDS)

Системы управления физическим доступом

Сервисы

идентификации

Сети безопасности и управления процессами

Offload

VSMS

PTC 3000

TMC

Оборудование Мультисервисные сети

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

Сеть агрегации FAN ЗОНА 2

Мультисервисная шина ЗОНА 3

Сеть NERC CIP ЗОНА 1

Сеть подстанций

Станционная шина IEC 61850

Шина процессов IEC 61850

Архитектура ИБ предприятия в сфере энергетики

Физическая безопасность

Взаимодействие с сотрудниками

Серийные, C37.94, E&M

Периметр электронной безопасности (ESP)

PT Прерыватель CT CT PT

Периметр физической безопасности (PSP)

Прерыватель IED MU

Распределенный контроллер HMI

Устаревшая RTU

PT CT

Аппаратный I/O

Сенсор

Устаревшее реле РТЗ

Прерыватель

Частный WiMax или LTE для полевой сети

Точка электронного доступа

Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP

Центр управления доступом

ДМЗ

Центр обработки данных

HMI SCADA FEP EMS

CPAM VSOM

Аналитика ист. данных SIEM PACS

ACS CA LDAP

HMI

Контроллер соединения RTU Защитное

реле Процессор

коммуникаций PMU PDC

Реле РТЗ

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14

Резюме

•  Приказ ФСТЭК №31 по защите автоматизированных систем управления технологическими и производственными процессами (АСУ ТП) устанавливает совершенно новый подход к защите АСУ ТП, базирующийся на лучших практиках и позволяющий операторам, владельцам и заказчикам АСУ ТП самостоятельно выбирать оптимальный и адекватный набор защитных мер

•  Данный приказ позволяет в полной мере использовать все решения Cisco по информационной безопасности, а также другие наши технологии (унифицированные коммуникации, Wi-Fi, унифицированные доступ, виртуализацию, технологии центров обработки данных и т.д.)

•  Решения Cisco обладают всем необходимым набором сертификатов ФСТЭК и, при необходимости, ФСБ

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15

Дополнительные сведения

Раздел «Брошюры» на сайте www.cisco.ru

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16

Дополнительные сведения

Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17

Пишите на security-request@cisco.com

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18

Благодарю за внимание