Russia IT strategy from security point of view

1/41 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Стратегия развития информационного общества с точки зрения информационной безопасности

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/41

Концепция инновационного развития отрасли телекоммуникаций и информационных технологий

Разработана во исполнение поручение Президента РФ от 13 мая 2010 года

Одобрена правительственной комиссией по федеральной связи и технологическим вопросам информатизации 19 ноября 2010 года

Стратегия развития информационного общества в Российской Федерации

Утверждена Президентом 7 февраля 2008 года

Государственная программа «Информационное общество (2011-2020 годы)»

Утверждена премьер-министром 20 октября 2010 года

Вектора развития ИТ определены


1. Повышение качества жизни граждан и улучшение условий развития бизнеса в информационном обществе.

2. Построение электронного правительства и повышение эффективности государственного управления.

3. Развитие российского рынка информационных и телекоммуникационных технологий, обеспечение перехода к экономике, осуществляемой с помощью информационных технологий.

4. Преодоление высокого уровня различия в использовании информационных технологий регионами, различными слоями общества и создание базовой инфраструктуры информационного общества.

5. Обеспечение безопасности в информационном обществе.

6. Развитие цифрового контента и сохранение культурного наследия.

Основные направления


Web-порталы взаимодействия с гражданами

Система межведомственного электронного взаимодействия

Создание на основе СУБД справочников и классификаторов, используемых в государственных и муниципальных информационных системах

Технологии удаленного доступа к цифровому контенту, электронным сервисам, образовательным ресурсам

Использование мобильных устройств для доступа к сервисам электронного правительства

Активное использование ИТ


Интернет-сайты федеральных органов исполнительной власти

Социальная сеть/форум для обеспечения обсуждения общественно значимых вопросов

Мобильные приложения (для порталов, УЭК и т.д.)

Технологий персонального мониторинга в реальном режиме времени здоровья человека

Телемедицина

Блокирование доступа к ненадлежащей информации

Единое пространство доверия электронной цифровой подписи

Активное использование ИТ (продолжение)


Система электронных платежей

Интернет-платформа «облачных вычислений»

Средства коллективной работы с документами

Общедоступное сетевое хранилище данных

Средства удаленного хостинга программных приложений

Современная магистральная сеть связи

Суперкомпьютерные и грид-технологии

Информатизация промышленности

Активное использование ИТ (окончание)


Активное использование мобильных устройств

Внедрение технологий Web 2.0

Облачные вычисления

Суперкомпьютеры

Средства коллективной работы

Телемедицина

Smart Grid и грид-технологии

АСУ ТП на базе IP

и иные КСИИ

Что нового с точки зрения ИБ?


Smart Grid


Транзитные операторы

Распределяющие операторы

Конечные потребители

010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101010101011010101010101010101010101010101010101010101

Надежность, безопасность, соответствие стандартам

Службы и операторы сбыта

Smart Grid Сквозные сетевые архитектуры

Здания

клиентов

(сети BAN / HAN)

Центр управления

Безопасность | Сетевое управление | Распределенный интеллект

Сети передачи и подстанции

Коммунальные предприятия и региональные

сети

Линии передачи электроэнергии

Центр обработки

данных

Энерговыраба-тывающие

предприятия


Проблемы безопасности сети электроснабжения

Высочайшая важность инфраструктуры и уникальные задачи

Масштаб, устаревшие устройства, географическая распространенность, отсутствие согласованного следования стандартам

Сегодня безопасность большей части систем обеспечивается их недоступностью и запутанностью

Системы весьма уязвимы для атак

Отсутствие независимого тестирования, уникальные решения

Сеть электроснабжения отличается от обычной ИТ-инфраструктуры

Основной приоритет - надежность

Необходимо разрабатывать как архитектуру безопасности, так и план действий при нарушении безопасности

Сбои системы управления могут приводить к тяжелым последствиям


Безопасность Smart Grid Обширная нормативная база

Анализ политик

Стандарты обеспечения совместимости

Безопасность

Потребители


CRITICAL CYBER ASSETS

SECURITY MANAGEMENT

CONTROLS

PERSONNEL AND

TRAINING

ELECTRONIC SECURITY

PHYSICAL SECURITY

SYSTEMS SECURITY

MANAGEMENT

INCIDENT REPORTING &

RESPONSE PLANNING

RECOVERY PLANS FOR

CCA

CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009

1. PLAN

2. PHYSICAL ACCESS CONTROLS

3. MONITORING PHYSICAL ACCESS

4. LOGGING PHYSICAL ACCESS

5. ACCESS LOG RETENTION

6. MAINTENANCE & TESTING

1. TEST

PROCEDURES

2. PORTS & SERVICES

3. SECURITY PATCH MANAGEMENT

4. MALICIOUS SOFTWARE PREVENTION

5. ACCOUNT MANAGEMENT

6. SECURITY STATUS MONITORING

7. DISPOSAL OR REDEPLOY-MENT

8. CYBER VULNERABILITY ASSESSMENT

9. DOCUMEN-TATION

1. CYBER SECURITY INCIDENT RESPONSE PLAN

2. DOCUMEN-TATION

1. RECOVERY PLANS

2. EXERCISES

3. CHANGE CONTROL

4. BACKUP & RESTORE

5. TESTING BACKUP MEDIA

1. CRITICAL ASSETS

2. CRITICAL CYBER ASSETS

3. ANNUAL REVIEW

4. ANNUAL APPROVAL

1. ELECTRONIC SECURITY PERIMETER

2. ELECTRONIC ACCESS CONTROLS

3. MONITORING ELECTRONIC ACCESS

4. CYBER VULNER-ABILITY ASSESSMENT

5. DOCUMEN-TATION

1. AWARENESS

2. TRAINING

3. PERSONNEL RISK ASSESSMENT

4. ACCESS

1. CYBER SECURITY POLICY

2. LEADERSHIP

3. EXCEPTIONS

4. INFORMATION PROTECTION

5. ACCESS CONTROL

6. CHANGE CONTROL

Безопасность сетей электроснабжения Стандарты NERC и требования ИБ


Реализация стандартов NERC CIP на подстанциях в центрах управления

Физическая безопасность

Контроль доступа, видео,

реакция на инциденты

Информационная безопасность

Авторизация, целостность, сегментация

Управление безопасностью

Управление доступом, архитектурой, событиями

Критически важные ИТ-

ресурсы (CCA)

Управление безопас-ностью

Персонал и обучение

Информ. безопасность

Физическая безопасность

Управление защитой систем

Отчеты об инцидентах и планирование

ответных действий

Планы восстанов-ления CCA

CIP-002 CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 CIP-008 CIP-009

Глобальная сеть

Управление видео

МСЭ/VPN

Видеонаблюдение

Контроль доступа

ESP

Контроль доступа

Защищенная коммутация

Гибкий анализ пакетов

Подстанция

Контроль доступом к сети

Управление событиями

Управление безопасностью

ЦОД

Центр управления


Информатизация промышленности АСУ ТП


Third Party

Controllers,

Servers, etc.

Serial, OPC

or Fieldbus

Engineering

Workplace

Уровень датчиков и

исп. механизмов

Firewall

Уровень АСУТП

верхнего уровня

Third Party

Application

Server

Application

Server

Historian

Server

Workplaces Enterprise

Optimization

Suite

Mobile

Operator

Connectivity

Server

Уровень ПЛК

Redundant

Корпоративная ЛВС

Serial RS485

Современная АСУ ТП

IP

Internet

Корпоративная

ЛВС


Тенденции в АСУ ТП

Использование широко распространенных технологий

Операционные системы – Windows, WinCE, Linux, различные встроенные ОС реального времени

Приложения – БД, web-сервера, web-браузеры и т.д.

Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP и т.д.

Подключение АСУ ТП к корпоративным сетям

Увеличение эффективности управления предприятием

Удаленный доступ

Распространение IP и Ethernet сетей Общеприняты на верхнем уровне, и распространяются ниже

Много старых протоколов могут использовать TCP и UDP как транспорт

Большинство современных промышленных устройств имеют Ethernet порты


Ограничения ИТ/ИБ

Экстремальные условия эксплуатации

Отечественных средств защиты просто нет

Не типовые физические топологии

Отечественные средства защиты не работают с этими протоколами

Много устройств специального назначения с ограниченной функциональностью

Закрытость разработок АСУ ТП со стороны производителей

Обязательный удаленный доступ для поддержки со стороны производителя (уполномоченного лица)


Стандарты безопасности АСУ ТП

ISA SP99

NERC

Guidance for Addressing Cyber Security in the Chemical Industry

NIST PCSRF Security Capabilities Profile for Industrial Control Systems

IEC 61784-4

Cisco SAFE for PCN

КСИИ ФСТЭК

Стандарты Газпрома


Стандарты безопасности АСУ ТП (продолжение)

IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»

IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»

IEC 62351 «Data and Communication Security»

FERC Security Standards for Electric Market Participants (SSEMP)

American Petroleum Institute (API) 1164 «SCADA Security»

Security Guidelines for the Natural Gas Industry


Стандарты безопасности АСУ ТП (окончание)

API Security Guidelines for the Petroleum Industry

API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries

American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)

NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security» (проект)


Особенности обеспечения информационной безопасности новых технологий …в России


Базируется на требованиях к гостайне

Контролируемая зона, аттестация, сертификация каждого экземпляра, модель угроз, ПЭМИН…

Обеспечение в первую очередь конфиденциальности

Для АСУ ТП (обрабатывает открытую информацию), например, важнее целостность и доступность

Большое количество регуляторов со своими требованиями и системами оценки соответствия

Число испытательных лабораторий не велико

Ориентация на локальные нормативные акты и требования

История обеспечения ИБ в России


Регуляторы в области ИБ

ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI Council

Газпром- серт

Рос- стандарт


Независимые требования

PCI DSS

ОБИ

Защита данных

владельцев карт

СТО БР

ИББС

ОБИ

Защита платежных процессов

СУИБ

ФЗ-152

ОБИ

Тех.каналы

СТР-К

ОБИ

Тех.каналы

КСИИ

ОБИ

ОБИ КСИИ


Пример: нефтегазовые компании

НК КСИИ

ФЗ-152

ФСБ

Междуна-родные

требования

Газпром


Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от 30.03.2002 №Пр-578

Проект закона (снят)

№411-рс от 23.03.2006

4 «закрытых» документа

ФСТЭК

Указы Президента

Иные документы

Распоряжения Правительства

Отраслевые документы

Секретарь СовБеза РФ от 08.11.2005

«Основы» от 28.09.2006

№1314-р от 27.08.2005


Активное использование продуктов иностранного производства

Rockwell, Yokogawa, Emerson, Siemens, Microsoft, Cisco, IBM/360б Intel, Motorola…

Широкий спектр «нетрадиционных» операционных систем и приложений

АСУ ТП, Грид, Smart Grid, телемедицина, Web 2.0 и т.д.

Широкое использование мобильных платформ

Apple iOS, Google Android, BlackBerry, Symbian, Windows Mobile

Активное использование Интернет и «облаков»

Особенности используемых технологий


Облака и средства коллективной работы

Своя ИТ-

служба

Хостинг-

провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

VM VM VM VM VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и аутсорсером

- Контроль у аутсорсера


Российские решения активно используют иностранные протоколы, технологии и элементную базу

«SCADA Статус-4» (QNX), САВРОС-6 (Windows), Автоматика ТК-20РС (Intel), ОВЕНТИКС (GPRS, ZigBee, 802.15)

Продукты уже сертифицированы в России, но по профильным требованиям (ГОСТы, ОСТы и т.д.)

Также многие решения «сертифицированы» иностранными производителями на совместимость

Интеграция отечественных и иностранных разработок


Особенности обеспечения ИБ новых технологий

Достоинства технологий

• Открытость

• Мобильность

• Интеграция

• Новые возможности

• Мировые стандарты

• Взаимодействие между компонентами

• Миниатюризация

• Высокая производительность

Ограничения с точки зрения ИБ

• Отсутствие КЗ

• Недоверенные элементы

• Отсутствие требований по ИБ в России

• Отсутствие адекватных требований по оценке соответствия новых ИТ

• Ориентация на российские алгоритмы шифрования

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 31/41 31

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы

ФСТЭК/ФСБ и т.д.)

Требование есть, а документов нет!


STB для IP-телевидения

IP-видеонаблюдение

Шифрование > 10 Гбит/сек

Wi-Fi на 802.11i

Устройства мобильной связи 2.5G, 3G, а также LTE и Wi-Max

Чиповые смарткарты для платежных систем Visa и MasterCard, а также УЭК

Удаленный доступ с iPhone и т.д.

Шифрование FibreChannel

Когда сертифицированных СКЗИ нет

АСУ ТП

Системы управления на базе SSH

Защищенный доступ по HTTPS с любого браузера

Взаимодействие с иностранными предприятими

Интернет-взаимодействие

Шифрование не-Ethernet


Что делать?


Акцент на специфику, а не на общие вопросы

•Разграничение доступа (+ управление потоками)

•Идентификация / аутентификация

•Межсетевое взаимодействие

•Регистрация действий

•Учет и маркировка носителей (+ очистка памяти)

•Документальное сопровождение

•Физический доступ

•Контроль целостности

•Тестирование безопасности

•Сигнализация и реагирование

•Контроль целостности

•Защита каналов связи

•Обнаружение вторжений

•Антивирусная защита

•BCP

•Защита от утечки по техническим каналам

Общие

•Защита специфичных процессов (биллинг, АБС, PCI…)

•Защита приложений (Web, СУБД…)

•Нестандартные механизмы (ловушки, стеганография) Специфичные


Препятствий нет – возможно все 5 стратегий контроля своих данных в «чужих» системах

• Приложения запускаются на сервере

• Терминальный доступ

«Тонкий» клиент

• Мобильные устройства, синхронизирующиеся с сервером

• Локальные данные зашифрованы

• Утерянное устройство «очищается» удаленно

«Тонкое» устройство

• ОС и приложения контролируются централизованно

• Репликация

Защищенный процесс

• Права доступа привязаны к документам

• Технологии DRM

Защищенные данные

• Контроль информационных потоков «на лету»

• Технологии DLP

Контроль на лету


Как правильно (фрагмент)

Базовые требования

Финансы

АБС ДБО PCI

КСИИ

АСУ ТП

СУИБ базовая

СУИБ процесс

СУИБ интеграция

Базовая функциональность

Расширенная функциональность


Разработать правила оценки соответствия защитных функций в общесистемном и прикладном ПО

В зависимости от модели угроз и критичности применения

Разработать правила признания международных стандартов и правил оценки соответствия

В соответствие с ФЗ «О техническом регулировании» и последними Постановления Правительства

Стимулировать отечественные разработки в области ИБ вне традиционных направлений

ИБ – это не только СЗИ от НСД, МСЭ, антивирус и IP-шифратор

Что еще необходимо сделать


Стимулировать иностранных разработчиков на открытие локальных центров разработки

При условии оптимизации правил оценки соответствия продуктов иностранного производства

Стимулировать обмен технологиями между иностранными и отечественными разработчиками

Для получения синергетического эффекта

Что еще необходимо сделать


Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

Сертификат ФСБ СФ/114-1411 от 20 марта 2010 года

Сертификат по классу КС2 на оба решения

Пример сотрудничества в интересах РФ и с учетом требований регуляторов

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Решение для ЦОД и штаб-квартир

• На базе UCS C-200


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

Russia IT strategy from security point of view

Documents

Transcript of Russia IT strategy from security point of view