Способ оценки совместимости средств защиты информации и автоматизированных систем управления технологическими процессами для проектирования систем безопасности объектов критической информационной инфраструктуры

Изобретение относится к области информационных технологий, а именно к информационной безопасности, и может быть использовано для исследования необходимости создания системы безопасности объектов критической информационной инфраструктуры прежде всего - АСУТП критически важных и потенциально опасных объектов, компьютерные инциденты в которых могут привести к катастрофическим последствиям, в том числе гибели людей.

Технической задачей, на решение которой направлено данное изобретение является доказательство совместимости АСУТП и СЗИ, путем конкретизации способа (методики) исследования, через оценку совместимости СЗИ и АСУТП путем проведения испытаний.

Для решения оценки совместимости приведенных во введении ее видов существуют способы (методики), применение которых сложно, экономически невыгодно, технически и организационно трудноосуществимо.

Авторам не удалось найти опубликованную методику, использование которой позволило бы комплексно оценить совместимость СЗИ и АСУТП как в условиях собственных стендов и стендов производителей АСУТП, так и в условиях работы на системах заказчика в случае проектирования систем безопасности или защиты для уже существующих АСУТП.

Проблема заключается в отсутствии проверенных и экономически оправданных методик, применение которых позволило бы комплексно оценить совместимость СЗИ и АСУТП для проектирования систем безопасности объектов критической информационной инфраструктуры.

Для решения этой задачи и получения указанного технического результата в настоящем изобретении предложен способ оценки совместимости средств защиты информации и автоматизированных систем управления технологическими процессами для проектирования систем безопасности объектов критической информационной инфраструктуры, предусматривающий следующие шаги:

- проводят оценку соответствия СЗИ собственной разработки в форме испытаний СЗИ и АСУТП;

- оценивается соответствие требованию - совместимости СЗИ и АСУТП, при этом последовательно оценивается работоспособность СЗИ - для этого при прохождении каждого теста ПМИ СЗИ запускаются все тесты ПМИ для АСУТП, а для АСУТП - при прохождении каждого теста ПМИ АСУТП запускаются все тесты ПМИ для СЗИ;

- при запуске каждого теста обеспечиваются реальные максимальные режимы функционирования каждой тестируемой системы, а именно, при запуске каждого теста из ПМИ для СЗИ, такой тест запускается с максимальной интенсивностью, которая может потребоваться в реальных условиях эксплуатации, такой тест в указанном режиме запускается в условиях запуска каждого теста из ПМИ для АСУТП, при этом режим работы АСУТП и запускаемые тесты из ее ПМИ должны быть максимально интенсивными в пределах управляемого ею технологического процесса, а при прохождении тестов ПМИ для АСУТП указанная последовательность сохраняется.

В результате исследования авторами получены практические результаты по оценке совместимости средств защиты информации с АСУТП различных вендоров в ходе проведения испытаний на стендах производителей АСУТП и промышленных предприятий. Данные средства вошли в состав ряда технорабочих проектов для предприятий топливно-энергетического комплекса и промышленности.

Объекты критической информационной инфраструктуры - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры - это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты КИИ в зависимости от показателей критериев значимости масштаба возможных последствий для них, к которым может привести компьютерный инцидент (факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки) признаются значимыми и подлежат отнесению или к одной из трех категорий (категорированию), или остаются некатегорированными (незначимыми) объектами КИИ. Также, к объектам КИИ подлежащим категорированию, относятся ИС, ИТКС и АСУ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. К критическим процессам относятся управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

В описании в качестве объектов КИИ рассматриваются один из видов АСУ, а именно автоматизированные системы управления технологическими процессами (АСУТП).

Для иллюстрации актуальности обеспечения безопасности таких систем приведем показатели одного из критериев категорирования по признаку социальной значимости: к значимым объектам КИИ относятся те, нарушение функционирования которых в свою очередь нарушит условия жизнедеятельности более 50000 человек (3-я категория), при этом более 5000000 человек - уже первая. В целях обеспечения безопасности значимого объекта КИИ, ее субъект создает систему безопасности такого объекта и обеспечивает ее функционирование в соответствии с требованиями, утвержденными ФСТЭК России.

Для создания систем безопасности и защиты АСУТП - объектов КИИ необходимо применять средства защиты информации (далее - СЗИ), реализующие технические меры обеспечения информационной безопасности, определенные на этапе формирования или установления требований.

Установка (внедрение) средств защиты в АСУТП сопряжена с рядом ограничений, обусловленных необходимостью в первую очередь обеспечить доступность и целостность таких систем, так как:

нарушение указанных свойств может привести к авариям и даже катастрофам, значительным материальным потерям и человеческим жертвам;

существует риск потери гарантии производителя АСУТП при установке СЗИ в существующую АСУТП без согласования такой возможности с ним.

Таким образом, возможность применения каждого СЗИ в АСУТП требует отдельного исследования.

На этапе «Разработка системы защиты автоматизированной системы управления» и «Разработка организационных и технических мер по обеспечению безопасности значимого объекта» определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности АСУТП - объекта КИИ, осуществляется выбор средств защиты. Самой главной особенностью нормативных документов РФ, посвященных обеспечению безопасности АСУТП - объектов КИИ является то, что в первую очередь в качестве СЗИ предписывается рассматривать встроенные в АСУТП механизмы/средства защиты информации.

Применение иных средств защиты допустимо лишь при невозможности использования указанных механизмов/средств защиты. Отсюда понятно, что в этих документах нет указания на обязательность использования только сертифицированных СЗИ (как и такого запрета), но такие требования могут содержаться в иных документах, которым должна соответствовать система, а также в решении владельца системы. При этом остается необходимость оценки соответствия планируемых к применению СЗИ требованиям безопасности. Такая оценка может быть проведена в форме испытаний или приемки, а для оценки соответствия может быть привлечен лицензиат ФСТЭК России. Кроме этого, при выборе СЗИ необходимо убедиться в отсутствии негативного/отрицательного влияния на создание и функционирование АСУТП - объекта КИИ.

Термины и определения совместимость - это комплексное свойство двух или более автоматизированных систем (АС), характеризуемое их способностью взаимодействовать при функционировании. Существуют частные совместимости (техническая, программная, информационная, организационная, лингвистическая, метрологическая), при которых осуществляется взаимодействие АС и их элементов. Для изделий в ГОСТ 2.114-2016 Единая система конструкторской документации. Технические условия приведены следующие виды совместимостей: функциональная, геометрическая, биологическая, электромагнитная, электрическая, программная, технологическая, метрологическая, диагностическая, организационная, информационная и другие виды совместимости. В данной статье СЗИ рассматривается и как АС и как изделие. Исходя из вышеизложенного, задача оценки СЗИ, предлагаемых к использованию в системах безопасности и защиты АСУТП на совместимость с защищаемой АСУТП является не только актуальной в силу необходимости создания таких систем, но и сложной ввиду своей многофакторности и многокритериальности.

Способ оценки совместимости СЗИ и АСУТП

Для решения оценки совместимости приведенных во введении ее видов существуют способы (методики), применение которых сложно, экономически невыгодно, технически и организационно трудноосуществимо.

В виду отсутствия опубликованных методик, использование которых позволило бы комплексно оценить совместимость СЗИ и АСУТП как в условиях собственных стендов и стендов производителей АСУТП, так и в условиях работы на системах заказчика в случае проектирования систем безопасности или защиты для уже существующих АСУТП.

По этой причине авторы руководствовались следующими рассуждениями:

Совместимость - это комплексное свойство двух или более автоматизированных систем, характеризуемое их способностью взаимодействовать при функционировании.

В соответствии с этим же стандартом, АСУТП - частный случай автоматизированной системы (АС).

Взаимодействие AC - это обмен данными, командами и сигналами между функционирующими АС.

Функционирование изделия - это проявление свойств изделия в соответствии с его назначением, при этом очевидно, что такое изделие (СЗИ, система) должно быть работоспособно.

Работоспособное состояние - это состояние объекта, к котором значение всех параметров, характеризующих способность выполнять заданные функции, соответствует требованиям, установленным в документации на этот объект [6].

Основные документы, определяющие критерии и порядок приемки АСУТП - объектов КИИ - программы и методики испытаний (ПМИ), используемые для:

проведения предварительных испытаний АСУТП,

опытной эксплуатации АСУТП,

приемочных испытаний АСУТП. В соответствии с ГОСТ 35.603-92 «Информационная технология. Виды испытаний автоматизированных систем» проводят:

предварительные испытания АС - для определения работоспособности АС и решения вопроса о возможности приемки АС в опытную эксплуатацию;

опытную эксплуатацию АС - с целью определения фактических значений количественных и качественных характеристик АС и готовности персонала к работе в условиях функционирования АС, определения фактической эффективности АС, корректировке (при необходимости) документации;

приемочные испытания АС - для определения соответствия АС техническому заданию (ТЗ), оценки качества опытной эксплуатации и решения вопроса о возможности приемки АС в постоянную эксплуатацию.

При испытаниях АС, в том числе проверяют:

качество выполнения комплексом программных и технических средств автоматических функций во всех режимах функционирования АС согласно ТЗ на создание АС;

количественные и (или) качественные характеристики выполнения автоматических и автоматизированных функций АС в соответствии с ТЗ;

другие свойства АС, которым она должна соответствовать по ТЗ [12].

Аналогичные программы существуют и для средств защиты информации. Из практики известно, что в программах и методиках испытаний указывают соответствие каждого проводимого теста не только конкретному пункту ТЗ, но и соответствующему пункту проектной документации, описывающему проектное решение для каждого такого пункта ТЗ.

Таким образом, содержание правильно составленных ПМИ полностью соответствует критериям определения работоспособности системы, изделия.

Кроме того, ПМИ является официальным документом, прохождение испытания в соответствии с которым юридически подтверждает работоспособность системы или изделия.

Вывод: документ, разрабатываемый авторами для каждого вида испытаний «Программа и методика испытаний» является необходимым и достаточным для оценки не только соответствия системы или изделия ТЗ и проектной документации, но и для оценки работоспособности АСУТП, СЗИ.

Для реализации заявленного в данном изобретении способа оценки совместимости АСУТП и СЗИ необходимо убедиться в следующем:

АСУТП/объект КИИ работоспособен(а) при функционировнии СЗИ в его составе;

СЗИ работоспособно при функционировании АСУТП/объекта КИИ, в составе которого оно находится.

Для этого:

1. Проводят оценку соответствия СЗИ собственной разработки в форме испытаний СЗИ и АСУТП.

2. Оценивается соответствие рассматриваемому в статье требованию -совместимости СЗИ и АСУТП.

3. При этом последовательно оценивается работоспособность:

СЗИ - для этого при прохождении каждого теста ПМИ СЗИ запускаются все тесты ПМИ для АСУТП;

АСУТП - здесь при прохождении каждого теста ПМИ АСУТП запускаются все тесты ПМИ для СЗИ.

4. При запуске каждого теста обеспечиваются реальные максимальные режимы функционирования каждой тестируемой системы. Это означает, что при запуске каждого теста из ПМИ для СЗИ, такой тест запускается с максимальной интенсивностью, которая может потребоваться в реальных условиях эксплуатации. Такой тест в указанном режиме запускается в условиях запуска каждого теста из ПМИ для АСУТП. При этом режим работы АСУТП и запускаемые тесты из ее ПМИ должны быть максимально интенсивными в пределах управляемого ею технологического процесса. При прохождении тестов ПМИ для АСУТП указанная последовательность сохраняется.

Выводы:

1. Такие «встречные» испытания позволяют юридически подтвердить работоспособность каждой испытуемой системы в условиях как своей максимальной загрузки, так и сопряженной системы, при сопряжении с которой ей придется функционировать.

2. При успешном прохождении указанных испытаний, работоспособность СЗИ и АСУТП при их совместном функционировании, причем в максимально нагруженных режимах считаются подтвержденными.

3. Так как тестирование СЗИ невозможно без взаимодействия и поступления данных от защищаемой системы, то успешное его прохождение подтверждает помимо работоспособности и совместимость СЗИ с ней (с АСУТП). По этой же причине успешное прохождение тестирования АСУТП подтверждает ее совместимость с СЗИ.

Авторы изобретения считают, что при проведении подобных испытаний СЗИ на АСУТП в реальных условиях эксплуатации или близких к ним, позволяют подтвердить подавляющее большинство частных видов совместимостей.

Другие, частные, виды совместимостей, такие как химическая, биологическая и прочие могут быть подтверждены при необходимости соответствующими сертификатами.

Таким образом, при успешном прохождении указанных испытаний, совместимость СЗИ и АСУТП считается подтвержденной.

Практическое применение методики

АО «ИнфоВотч» проводит такие испытания при проведении пилотных проектов на оборудовании и программном обеспечении вендоров АСУТП и потенциальных заказчиков.

Для этих целей разработаны типовые документы: методика проведения пилотных проектов, задание на проведение пилотного проекта, программа и методика испытаний, протокол испытаний, акт.

Испытаны СЗИ производства АО ИнфоВотч: Info Watch ASAP, Info Watch Traffic Monitor, InfoWatch EndPoint Security на оборудовании/ПО (SCADA) следующих вендоров: Schneider Electric, Klinkmann, «Модульные системы Торнадо», АМТ-Групп.

Важно отметить, что выбранные СЗИ работают на сетевом уровне (InfoWatch ASAP) и на уровне защиты серверов / рабочих станций (InfoWatch Traffic Monitor, InfoWatch EndPoint Security).

Заявление производителя SCADA Wonderware об успешном прохождении испытаний и подтверждении совместимости указанных СЗИ и программных продуктов из состава Wonderware System Platform 2017 (включая InTouch 2017).

Применяемая методика тестирования совместимости СЗИ и АСУТП понятна производителям и принимается ими. Заявления о совместимости, публикуемые производителями оборудования и программного обеспечения АСУТП, подтверждают это. Потенциальные заказчики и инжиниринговые компании, производящие, внедряющие и обеспечивающие техническую поддержку АСУТП также активно принимают участие в тестировании СЗИ на совместимость с АСУТП. Оцененные таким образом СЗИ могут быть использованы при создании систем защиты и безопасности АСУТП - объектов КИИ в соответствии с требованиями регуляторов.

Авторы в 2017 году разработали методику и в разной степени приняли участие в проведении испытаний для оценки соответствия СЗИ производства компании ИнфоВотч требованиям их совместимости с оборудованием и ПО ряда производителей АСУТП. Получены сертификаты совместимости таких СЗИ с программным обеспечением и оборудованием ведущих производителей АСУТП. Эта методика может быть применена для оценки совместимости СЗИ других производителей в целях создания систем безопасности и защиты АСУТП - объектов КИИ.

Способ оценки совместимости средств защиты информации и автоматизированных систем управления технологическими процессами для проектирования систем безопасности объектов критической информационной инфраструктуры, предусматривающий следующие шаги:

- проводят оценку соответствия средств защиты информации (СЗИ) собственной разработки в форме испытаний СЗИ и автоматизированных систем управления технологическими процессами (АСУТП);

- оценивается соответствие требованию - совместимости СЗИ и АСУТП, при этом последовательно оценивается работоспособность СЗИ - для этого при прохождении каждого теста программы и методики испытаний (ПМИ) СЗИ запускаются все тесты ПМИ для АСУТП, а для АСУТП - при прохождении каждого теста ПМИ АСУТП запускаются все тесты ПМИ для СЗИ;

- при запуске каждого теста обеспечиваются реальные максимальные режимы функционирования каждой тестируемой системы, а именно, при запуске каждого теста из ПМИ для СЗИ, такой тест запускается с максимальной интенсивностью, которая может потребоваться в реальных условиях эксплуатации, такой тест в указанном режиме запускается в условиях запуска каждого теста из ПМИ для АСУТП, при этом режим работы АСУТП и запускаемые тесты из ее ПМИ должны быть максимально интенсивными в пределах управляемого ею технологического процесса, а при прохождении тестов ПМИ для АСУТП указанная последовательность сохраняется.