Система Управління Кібербезпекою

України.

Рекомендації для Критичної

Інфраструктури

ГО «ІСАКА КИЇВ»

Олексій Янковский, Президент

Основні питання доповіді

1. Стратегія кібербезпеки України має бути

максимально конкретною

2. Визнання в Україні міжнародних стандартів,

підходів та сертифікацій щодо управління

кібербезпекою, інформаційною безпекою та ІТ

3. Серія стандартів NERC з кібербезпеки для

енергетики

4. Анонс дослідження та практичних

рекомендацій ГО «Ісака Київ» щодо протидії

атакам на енергетичні компанії

Слайд 2

Коротко про ISACA

Слайд 3

з 1969 року

понад 200 відділень по всьому світу

більше 115 000 членів у 180 країнах світу

• глобальна, неприбуткова, професійна

асоціація

• стандарти, кращі практики та освітні програми

в сферах управління ІТ, кібербезпекою,

інформаційною безпекою, ризик-менеджменту

та аудиту ІТ

• розвиває та підтверджує найбільш важливі

для бізнесу навички та знання, поширюючи

сертифікації, що визнаються у міжнародному

масштабі: CSX®, CISA®, CISM®, CGEIT® і

CRISC™

• впровадження кібербезпеки вимагає

трансформаційного підходу

• стратегія кібербезпеки, має містити конкретні

проекти та вимірювані результати

• програма інформування населення

• програми ВНЗ та фахової підготовки

• визнання міжнародних професійний сертифікацій

• визнання та використання міжнародних, ризик-

орієнтованих стандартів та кращих практик

• новий закон Про Захист Інформації

• аудит за міжнародними стандартами

Кібербернетична та інформаційна безпека

Слайд 4

• роль галузевих регуляторів

• галузеві центри обміну інформації про атаки і

CERTи

• прийняти існуючі західні галузеві нормативні

документи з кібербезбеки

• оцінка ризиків кібербезпеки та розробка планів їх

зменшення для критичних об’єктів

• залучення незалежних аудиторів

• звітування регулятору

• загальнонаціональні випробування щодо

надзвичайних ситуацій з кібербезпеки

Кібербернетична та інформаційна безпека (продовження)

Слайд 5

• NERC – North American Electrical Reliability

Corporation

• Міжнародний регулятор, неприбуткова

організація (США, Канада, Мексика)

• Розробляє галузеві стандарти, які затверджує

національний регулятор

• Розробила функціональну модель для

енергетики (типи організацій)

• Стандарти застосовуються в залежності від типу

організації та обсягу електроенергії що

передається (Bulk Energy System)

• Життєвий цикл управління ризиками та

незалежного аудиту для учасників ринку

Серія стандартів NERC для кібербезпеки в енергетиці

Слайд 6

NERC: функціональна модель для енергетики

Слайд 7

NERC Critical Infrastructure Protection - стандарти з

кібербезпеки

Слайд 8

http://www.nerc.com/pa/Stand/Pages/CIPStandards.as

px

• Cyber Assets Identification

• Security Management Controls

• Personnel & Training

• Electronic Security Perimeter

• Physical Security of Critical Cyber Assets

• Systems Security Management

• Incidents Reporting and Response Planning

• Recovery Plans for Critical Cyber Assets

NERC – Модель управління ризиками та відповідністю

до стандартів

Слайд 9

• Кожний рік NERC визначає на комунікує найбільш

пріоритетні ризики

• Учасники ринку мають провести оцінку ризиків та

відповідності стандартам, розробити план дій та

звітувати NERC

• Для перевірки залучаються незалежні аудитори

(Reliability Assurance Initiative)

• Оцінка проводиться щорічно

NERC – Модель управління ризиками та відповідністю

до стандартів

Слайд 10

• Вивчити та прийняти готові стандарти та

інструменти (приєднатися до NERC?)

• Самооцінка ризиків та розробка планів щодо їх

зменшення

• Незалежний аудит для Bulk Energy Systems

(>3000 MW ?)

• Звітування галузевому регулятору

Модель для України?

Слайд 11

• Використання соціальної інженерії

- Приклад1. Обхід налаштувань безпеки офісного

пакету.

- Приклад2. Крадіжка паролів системного

адміністратора.

• Недостатні дії з усунення та профілактики інцидентів.

• Використання невідомих вразливостей (нульового

дня)

• Обізнаність про внутрішню інфраструктуру ІТ

• Обхід механізмів захисту операційної системи

• Модульна структура

Аналіз атак в Україні – спільні риси

Слайд 12

• Організаційні

• Мережева безпека

• Керування вразливостями

• Реагування на атаки

• Укріплення систем

Всього 28 рекомендацій з прикладами інструментів

(програми перевірки, детальні описи, приклади

технічних рішень)

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ

Слайд 13

1

2

3

4

5

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ

ОРГАНІЗАЦІЙ 1/5

Слайд 14

Тип контролів Заходи контролю

Організаційні

Призначити в

установі посадову

особу,

відповідальну за

кібернетичну

безпеку

Проводити

моніторинг

ресурсів,

присвячених

кібернетичним

атакам

Проводити

тренінги з

підвищення

освіченості серед

співробітників

щодо атак

соціальної

інженерії

Впровадити

повноцінну

програму

керування

ризиком

постійних атак

спрямованих

загроз

Забезпечити

наявність

процедур

сповіщення

уповноважених

державних

регуляторів

Налагодити обмін

інформацією про

атаки та загрози в

своїй галузі

1

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ

ОРГАНІЗАЦІЙ 2/5

Слайд 15

Тип контролів Заходи контролю

Мережева

безпека

Ізолювати

технологічні

мережі від

звичайних мереж

Зберігати історію

випадків

нетипової

поведінки систем.

Зберігати

журнали систем

Інвентаризувати

всі підключення

до зовнішніх

мереж, та ввести

максимально

обмежуючу

політику

фільтрації

підключень до/від

систем

Використовувати

IPSEC між

системами в

мережі

2

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ

ОРГАНІЗАЦІЙ 3/5

Слайд 16

Тип контролів Заходи контролю

Керування

вразли-

востями

Проводити тести

на проникнення

методами

соціальної

інженерії

Відстежувати

наявність

вразливостей у

зовнішніх

системах,

проводити тести

на проникнення

Керувати

вразливостями у

внутрішніх

системах та

використовувати

свіжі версії ПЗ

3

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ

ОРГАНІЗАЦІЙ 4/5

Слайд 17

Тип контролів Заходи контролю

Реагування на

атаки

Розмістити

“медові пастки” в

корпоративній

мережі та

відслідковувати

спроби

проникнення в

них

Відстежувати

зовнішні

з’єднання зі ІР

ТОР та іншими ІР

з поганою

репутацією.

Забороняти ці

з’єднання

Відпрацювати

процедуру

реагування на

інцидент,

особливо збору

та збереження

доказів —

оперативної та

постійної пам’яті,

мережевого

трафіку

Використовувати

IPSEC між

системами в

мережі

Ввести облік DNS

запитів в мережі

Створити

захищені від змін

сервери збору

журналів подій

4

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ

ОРГАНІЗАЦІЙ 5/5

Слайд 18

Тип контролів Заходи контролю

Укріплення

систем

Ввести «білі

списки» для

дозволених

додатків в ІТ

системах

Блокувати

підозрілі

вкладення в

повідомленнях

електронної

пошти

Використовувати

механізми

заборони змін

для критичних

систем

(“заморожування”

)

Блокувати

підозрілі

вкладення в

повідомленнях

електронної

пошти

Впровадити

ієрархію

адміністративних

ролей

Запровадити

плани

відновлення

систем у разі

збоїв

5

РЕКОМЕНДАЦІЇ ДЛЯ РЕГУЛЯТОРІВ

Слайд 19

№ Захід на національному рівні Додаткові матеріали

1 Проводити регулярні семінари обговорення з метою

збільшення рівня освіченості та обміну досвідом.

N/A

2 Створити інформаційний ресурс (портал) для

публікації новин та обміну думками з питань

кібербезпеки.

N/A

3 Створити платформу для обміну зразками

шкідливого програмного забезпечення та

індикаторами компрометації .

Платформа для обміну інформацією про віруси:

https://github.com/MISP

Платформа для обміну інформації про загрози та атаки

https://soltra.com/

4 Створити лабораторію зі зразками АСУ ТП критичної

інфраструктури для відпрацювання методів захисту.

N/A

5 Запровадити галузеві стандарти з кібернетичної

безпеки.

http://energy.gov/sites/prod/files/Summary%20of%20CS%

20Standards%20Activities%20in%20the%20Energy%20Se

ctor.pdf

http://www-

pub.iaea.org/MTCD/Publications/PDF/Pub1527_web.pdf

http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx

http://www.nist.gov/cyberframework/

https://www.isa.org/isa99/

http://isacahouston.org/documents/RedTigerSecurity-

NERCCIPandotherframeworks.pdf

https://www.enisa.europa.eu/activities/Resilience-and-

CIIP/critical-infrastructure-and-services/scada-industrial-

control-systems/annex-iii

6 Створити міжвідомчу робочу групу з розслідування

направлених атак в Україні, об’єднати схожі випадки в

єдине провадження.

N/A

7 Запровадити обов’язкову оцінку ризиків на критичних

об’єктах та звітування щодо результатів оцінки та

плану впровадження заходів контролю

Cobit - http://www.isaca.org/Knowledge-

Center/cobit/Documents/COBIT-4-1-Ukrainian.pdf

Впровадження Європейської Кібербезпеки -

http://www.isaca.org/Knowledge-

Center/Research/Documents/European-Cybersecurity-

Implementation-Overview_res_Ukr_1215.pdf

Протидія кібер-ризикам:

https://www.facebook.com/Kyiv.ISACA/posts/10310368

70240438

Корисні публікації Ісака в Україні

Слайд 20

Дякую за увагу

Слайд 21