Post on 12-Jan-2015
description
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/139
Безопасность критических инфраструктур: международный опыт
Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/139
Международный опыт
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/139
Что делают многие государства
§ Разработка нормативной базы
§ Наличие координирующего органа
§ Обмен информацией об угрозах и лучших практиках
§ Развитие государственно-частного партнерства
§ Подготовка квалифицированных кадров в области CI
§ Регулярная оценка эффективности принятых мер, разработка метрик и индикаторов
§ Разработка планов реагирования на инциденты
§ Регулярный пересмотр нормативных документов
§ Инициация трансграничного взаимодействия
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/139
Обзоры существующих подходов
§ Уровень проработанности темы защиты критических инфраструктур зависит от того, насколько государство сталкивалось с актуальными угрозами в данной области А также от желания доминировать в данной сфере
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/139
Обзоры существующих подходов
§ Австралия
§ Корея
§ Япония
§ Канада
§ Нидерланды
§ Великобритания
§ США
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/139
Обзоры существующих подходов
§ Оценка выполнения государствами Евросоюза European европейской программы по защите критических инфраструктур
Programme for Critical Infrastructure Protection (EPCIP), 2004
§ Оценка деятельности European Public-Private Partnership for Resilience (EP3R) и European Information-Sharing and Alert System (EISAS)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/139
Обзоры существующих подходов
§ Обзор методов оценки рисков для критичных инфраструктур
§ Рассматриваются европейские и международные подходы
21 подход
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/139
4 столпа стратегии защиты критических инфраструктур
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/139
Начинать с повышения осведомленности
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/139
И регулярно поддерживать ее уровень
§ С 2002 по 2012 год в мире прошло 85 кибер-учений Участвовало 84 государства
71% всех учений прошел в период 2010-2012
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/139
От стратегии защиты CI к лучшим практикам и стандартам
В России такой документ должен появиться только в 2014-м году
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12/139
Стандартизация
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/139
Интеграция лучших стандартов по ИБ в критические инфраструктуры
§ В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-TR99
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/139
И это не единственный пример
§ ISA SP99 § NERC CIP
§ Guidance for Addressing Cyber Security in the Chemical Industry
§ NIST PCSRF Security Capabilities Profile for Industrial Control Systems
§ IEC 61784-4
§ Cisco SAFE for PCN
§ КСИИ ФСТЭК
§ Стандарты Газпрома
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/139
И еще
§ IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»
§ IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»
§ IEC 62351 «Data and Communication Security»
§ FERC Security Standards for Electric Market Participants (SSEMP)
§ American Petroleum Institute (API) 1164 «SCADA Security»
§ Security Guidelines for the Natural Gas Industry
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/139
И еще
§ API Security Guidelines for the Petroleum Industry
§ API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries
§ American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)
§ NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/139
Но проще почитать NIST SP800-82
§ Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82 Выпущен в июне 2011 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/139
Как разработать свой стандарт по ИБ критической инфраструктуры?
§ Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/139
Рекомендации ENISA
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/139
Пример 1: Подход Японии
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/139
План действий v1 и v2
§ Первый план действий по ИБ критических инфраструктур в Японии был утвержден 13.12.2005
§ Активное партнерство государства и бизнеса
§ 10 критических инфраструктур
§ Основная задача – минимизация последствий от нарушения функционирования ИТ в критических инфраструктурах
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/139
Вовлеченность разных структур
§ Секретариат правительства
§ Министерства, связанные с критичными инфраструктурами
Financial Services Agency, Ministry of Public Management, Home Affairs, Posts and Telecommunications, Ministry of Health, Labour and Welfare, Ministry of Economy, Trade and Industry, and Ministry of Land, Infrastructure and Transport
§ Министерства, связанные с информационной безопасностью
National Police Agency, Ministry of Internal Affairs and Communications, Ministry of Economy, Trade and Industry and Ministry of Defense), law enforcement ministries (National Police Agency, Fire and Disaster Management Agency, Japan Coast Guard, Ministry of Defense
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/139
Вовлеченность разных структур
§ Другие связанные агентства National Police Agency Cyberforce, NICT, AIST, IPA, Telecom-ISAC Japan, JPCERT/CC и т.д.
§ Провайдеры критических инфраструктур, CEPTOARs и CEPTOAR Council
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/139
Обмен информацией (CEPTOAR)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/139
Пример 2: Подход Швейцарии
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/139
Регулярное обследование
§ 4 опасных сценария Землетрясение
Пандемия гриппа
Нарушение электропитания
Отказ информационной инфраструктуры
§ Разработана базовая стратегия защиты критических инфраструктур
§ www.infraprotection.ch
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/139
Базовая стратегия защиты
§ Цель – снизить вероятность возникновения и (или) развития ущерба, происходящего по причине разрушения, отказа или уничтожения критической инфраструктуры национального уровня и минимизация времени простоя
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/139
Вовлеченность разных структур
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/139
Пример 3: Подход Германии
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/139
Стратегия и план ее реализации
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/139
Дополнительные руководства
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/139
Чеклисты для самопроверки и пример оценки рисков
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/139
Пример 4: Подход Австралии
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/139
Также обмениваются информацией
§ Создана и функционирует Trusted Information Sharing Network (TISN) for Critical Infrastructure Resilience
2003 год
§ Государственно-частное партнерство
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/139
От безопасности к устойчивости
§ Стратегия описывает подход австралийского правительства по расширению устойчивости критичных инфраструктур от всех угроз
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/139
Кибер-учения
§ Регулярные учения «кибер-шторм»
§ США, Австралия, Канада, Новая Зеландия
§ Отработка совместных действий в случае кибератак на критичные инфраструктуры
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/139
Компьютерное моделирование угроз
§ Программа Critical Infrastructure Protection Modelling and Analysis (CIPMA) Program – одна из ключевых инициатив австралийского правительства по защите критичных инфраструктур
§ CIPMA использует множество различных источников данных для моделирования и симуляции поведения критичных инфраструктур
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/139
Пример 5: Подход США
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/139
US Control Systems Security Program
§ Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 40/139
Обмен информацией через Industry Sector Advisory Committee (ISAC)
§ Получение данных об инцидентах
§ Взаимодействие с National Infrastructure Protection Center (NIPC)
§ Связь с другими ISAC
§ Распространение лучших практик и извлеченных уроков
§ Взаимодействие с другими секторами экономики
§ Участие в киберучениях
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41/139
Это дает свой эффект
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42/139
Одна из последних инициатив
§ Исполняя распоряжение Президента США EO13636 по улучшению кибербезопасности критичных инфраструктур NIST запустил процедуру разработки архитектуры снижения рисков критичным инфраструктурам
§ Набор лучших практик, стандартов и руководств
§ Публичный процесс Завершение работ осенью 2013 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43/139
Заключение
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44/139
Что нужно делать?
§ Изменение менталитета
§ Координация усилий на международном уровне
§ Гармонизация законодательства
§ Сдвиг фокуса от защиты к устойчивости и готовности
§ Построение долгосрочной стратегии с учетом будущих изменений в технологиях и их применении
§ Подготовка квалифицированных кадров в области CI
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45/139