• Информационная безопасность СМИС

  • АСУТП потенциально опасных и критически важных объектов, сопряжение СМИС с АСУТП, информационная и промышленная безопасность.
АСУТП потенциально опасных и критически важных объектов, сопряжение СМИС с АСУТП, информационная и промышленная безопасность.
 #2116   Ungerade
 18 фев 2016, 12:22
Добрый день!
Занимаемся разработкой решений по Информационной безопасности (ИБ), преимущественно для АСУ ТП.
Недавно столкнулись со СМИС. Начали искать нормативные документы, касающиеся ИБ СМИС, наподобие документов по ИБ АСУ ТП (Приказа ФСТЭК №31 или отраслевых нормативных документов).
Не нашли, в отраслевых стандартах конкретной организации тоже нет соответствующих документов.
Необходимость обеспечения ИБ определяется в ГОСТ 22.1.12-2005 емкой фразой "Информационная защита СМИС - по нормативному документу" (п. 5.5 Требования к защите информации), а также в ГОСТ 22.1.14-2013 и "ТТ к ПТК СМИС объектов, сопрягаемым с органами повседневного управления РСЧС", предъявляются требования к ИБ по Руководящему документу "АС. Защита от НСД. Классификация АС и требования по защите" (не ниже 3Б)+некоторые требования по антивирусной защите, организации VPN, межсетевого экранирования и т.д.
Но данные требования напоминают вскользь упомянутые меры по защите и документы, в которых они предъявляются, относятся к разработчикам СМИС.

Поделитесь пожалуйста опытом, отдается ли раздел ИБ СМИС на разработку организациям, специализирующимся на решениях по ИБ, или достаточно бывает подраздела "Обеспечение требований к защите информации от несанкционированного доступа" в книгах СМИС, который должен быть в соответствии с ГОСТ 22.1.13-2013?
 #2117   Korean
 18 фев 2016, 14:27
Здравствуйте!
Как правило решения по информационной безопасности учитываются в рамках проекта по СМИС в указанном Вами подразделе. Что касается реализации, то был опыт, когда на одном из объектов ТЭК разработали и внедрили ПОИБ - подсистему обеспечения информационной безопасности, как отдельный раздел, которая накрыла и АСУТП и СМИС и всю связь.

Вы затронули очень больную тему, на которую обратил внимание Алексей Лукацкий - консультант по информационной безопасности Cisco. Ниже его статья.
http://www.securitylab.ru/blog/personal ... 130461.php
Несмотря на поверхностное понимание назначения СМИС, в целом выводы правильные. Предлагаю подискутировать на эту тему, как Вы считаете как внести конкретику по ИБ в нормативную документацию по СМИС?
 #2119   Technic4
 18 фев 2016, 16:02
ПОИБ - подсистему обеспечения информационной безопасности, как отдельный раздел, которая накрыла и АСУТП и СМИС и всю связь.
ПОИБ на чем построен?
 #2122   Ungerade
 18 фев 2016, 17:08
Лукацкого знаем, читаем:) статью видела, спасибо. через нее на ваш форум и вышла.
В нашем конкретном случае организация, проводящая экспертизу выдала замечания к разделу СМИС, о том, что представленные решения по ИБ недостаточны и привести решения необходимо в отдельном разделе "Информационная безопасность", в котором приведены решения по ИБ АСУ ТП. В разделе СМИС действительно были лишь перечислены меры по защите, скопированные из ГОСТа.

При этом для отдельного раздела ИБ было рекомендовано руководствоваться требованиями к ИБ АСУ ТП отраслевого стандарта, ввиду отсутствия аналогичного отраслевого стандарта для СМИС.
Из решений, которые используются для реализации требований-встроенные средства защиты ОС, прикладного ПО, антивирусная защита, МЭ, организационные мероприятия и т.д. То есть по идее, те разрозненные требования к ИБ из ГОСТов по СМИС, перекрываются отраслевым стандартом. Просто он относится к АСУ ТП и в нем есть специфичные требования и рекомендации именно для АСУ ТП ввиду ее критичности.
СМИС все-таки намного менее критична.

Каким образом, интересно, определяется - разрабатываются решения по ИБ в составе раздела СМИС или отдельно, каковы критерии? По достаточности представленных решений?
Вы сталкивались с более подробными решениями ИБ СМИС в составе раздела СМИС? то есть с описанием конкретных настроек ПО, а не просто перечислением принимаемых мер?

КАК внести конкретику в нормативную документацию по СМИС...говорят есть возможность вносить предложения по изменению ГОСТ на сайте "Федерального агентства по техническому регулированию и метрологии"...точнее не подскажу. в этом должны участвовать как разработчики СМИС, так и эксперты по ИБ.
 #2123   Korean
 18 фев 2016, 17:59
Учитывая Ваши слова про экспертизу (значит это стадия "Проект") так подробно решения по ИБ в рамках СМИС я еще не видел, чтобы расписывались. Признаюсь, приятно удивлен, потому что недостаток требований по ИБ на СМИС всегда всплывает на этапе реализации и подключения СМИС к АСУ ТП.

Критерии здесь, на мой взгляд, исключительно в субъективности эксперта. С одной стороны, эксперт предусмотрительно обеспокоился проблемой ИБ по СМИС, что верно по своей сути, а с другой, наложил требования на СМИС из отраслевого стандарта по АСУ ТП, что не правомерно. В нормативной документации на СМИС я не видел требований разработать решения по ИБ отдельным разделом или в составе другого раздела, попробуйте задать вопрос эксперту о нормативной основе его требования, и почему раздел по СМИС пропустили с простым перечислением мер.

Что касается совместного обсуждения специалистов по СМИС и ИБ, мы только за! К сожалению, площадки для этого обсуждения на уровне подготовки стандартов пока не появилось.

У меня к Вам просьба, как к специалисту по ИБ. Буду благодарен, если в этой теме Вы перечислите списком нормативно-технические акты, отраслевые нормы и проч., которые могут и должны применяться по ИБ в рамках СМИС. Думаю, это будет очень интересно для посетителей форума!
 #2124   Technic4
 19 фев 2016, 07:54
Korean писал(а):На ССПТ-2 и Juniper


А экраны стояли на выходе из сети предприятия?
Или разделяли сети предприятия внутри?
И СМИС от АСУТП разделялись экраном?
 #2127   Korean
 19 фев 2016, 11:23
Technic4 писал(а):
Korean писал(а):На ССПТ-2 и Juniper


А экраны стояли на выходе из сети предприятия?
Или разделяли сети предприятия внутри?
И СМИС от АСУТП разделялись экраном?


СМИС от АСУ ТП отделялся Hirshman Eagle в составе АСУ ТП. Экран от СМИС в орган повседневного управления РСЧС был предусмотрен в проекте по СМИС. ПОИБ накрыл все предприятие. В детали меня не посвящали, запросили список IP адресов, используемые TCP порты, какими протоколами передается информация поверх ethernet. Так понимаю, что их оборудование анализировало маршруты, спецы по ПОИБ сверились с переданной информацией и затем закрыли все остальное.
 #2129   Ungerade
 19 фев 2016, 13:26
Korean писал(а):попробуйте задать вопрос эксперту о нормативной основе его требования, и почему раздел по СМИС пропустили с простым перечислением мер.

Мнение эксперта: В ТЗ на объект прописано, что необходимо обеспечить ИБ для объекта, без конкретики для каких систем, т.е. на объект в целом, поэтому к объектам защиты относятся как АСУ ТП, так и СМИС, а требований отраслевых стандартов, предъявляемых к АСУ ТП, достаточно предъявить и к СМИС.

Korean писал(а):У меня к Вам просьба, как к специалисту по ИБ. Буду благодарен, если в этой теме Вы перечислите списком нормативно-технические акты, отраслевые нормы и проч., которые могут и должны применяться по ИБ в рамках СМИС. Думаю, это будет очень интересно для посетителей форума!


Пока ничего нового написать по этому поводу не могу. Больше вопросов, чем ответов для меня.
Если на объекте оснащения функционирует ключевая система информационной инфраструктуры, то возможно применение документов по КСИИ (Базовая модель угроз безопасности информации в КСИИ, Методика определения актуальных угроз безопасности информации в КСИИ, Общие требования по обеспечению безопасности информации в КСИИ, Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры).
Но согласно ГОСТ 22.1.12-2205 обязательному оснащению СМИС подлежат также ТРК, гостиницы и тому подобное, т.е. не КСИИ.
По поводу данных объектов кроме как требований РД "АС. Защита от НСД...", и ГОСТ 22.1.14-2013, ТТ по сопряжению с РСЧС + каких-то отраслевых стандартов, предъявлять нечего.

Было бы хорошо, если в документации по СМИС было указано кем осуществляется разработка решений по ИБ СМИС (заказчиком, оператором и/или разработчиком самостоятельно и/или при необходимости с привлечением соответствующих организаций), а также приведен перечень документов, которыми необходимо руководствоваться при разработке решений по ИБ СМИС.