« Предыдущая Следующая »

3. Совершенствование СБО КИИ с помощью АСУ ТП

Сегодня 92% компаний, по данным исследовательской компании Gartner, не в состоянии обнаружить взломы на ранних стадиях, а именно таргетированные атаки, которые отличаются высокой скрытностью. Источниками угрозы являются как внешние злоумышленники, так и внутренние, а сама атака может быть направлена на любую информационную систему компании.

Для построения единого контура информационной безопасности предприятия необходима информационная система, которая будет агрегировать информацию об инцидентах ИБ из разных источников, предупреждать об имеющихся и потенциальных угрозах сотрудников службы безопасности и выявлять закономерности между различными атаками.

Для решения этих задач используются системы для мониторинга и управления информационной безопасностью (SIEM). Внедрение систем мониторинга и анализа событий позволяет быстро проанализировать инциденты информационной безопасности с разрозненных информационных систем, выполнить корреляцию и адекватно отреагировать на выявленные события.

При многоуровневой инфраструктуре продукты Positive Technologies выстраиваются в иерархию. На нижних уровнях, где нет компетентных специалистов по ИБ или недостаточен объем бюджета на ИБ, устанавливаются сенсоры для сбора и передачи информации в крупные филиалы.

Специалисты по ИБ в филиалах выявляют и расследуют атаки и отправляют данные об инцидентах в головную организацию, где консолидируется информация об инцидентах во всей компании и осуществляется взаимодействие с главным центром ГосСОПКА. На рис.2 представлен пример архитектуры решения многоуровневой инфраструктуры.

Многоуровневая инфраструктура

Рис.2 Пример архитектуры решения многоуровневой инфраструктуры

Преимущества системы:

  1. Единая экосистема продуктов - все продукты интегрируются между собой, что обеспечивает максимальную автоматизацию процессов и упрощает управление информационной безопасностью.
  2. Единая техподдержка - техподдержка по всем продуктам, оказывается, через единое окно. Возможна расширенная поддержка в вариантах 8/5 и 24/7.
  3. Отечественная разработка - продукты в составе решения включены в реестр российских программ и имеют сертификаты ФСТЭК России (PT ISIM и PT MultiScanner находятся на сертификации).

Помимо внутренних требований компании относительно функциональности, к системам подобного класса, предъявляются требования к централизованному хранению и мониторингу событий информационной безопасность для соответствия отраслевым (СТО БР ИБСС, PCI DSS, ISO 27001) и государственным стандартам (ГосСОПКА).

Таблица 2 - Состав решения и покрываемые требования

Приказ ФСТЭК

№ 235

Приказ ФСТЭК

№ 239

Приказ ФСТЭК

№ 368

Max Patrol 8 – система контроля защищенности и соответствия стандартам ИБ + + -
Max Patrol SIEM- система мониторинга событий ИБ и выявления инцидентов + + -
PT Network Attack Discovery – система анализа сетевого трафика для выявления и расследования атак + + -
PT MultiScanner – система защиты от вредоносного ПО с «песочницей» + + -
PT Applicaton Feriwall – система защиты от веб-атак + + -
PT ISIM – система обнаружения кибер-атак - + -
PT Application Inspector – анализатор защищенности приложений + + -
«ПТ Ведомственный центр» - система управления инцидентами и взаимодействие с ГосСОПКА - - +

Соответствуйте требованиям законодательства Решение помогает реализовать меры защиты значимых объектов КИИ, обеспечить функционирование системы безопасности и взаимодействовать с ГосСОПКА в соответствии с требованиями закона № 187-ФЗ, приказов ФСТЭК и ФСБ России.

Выявляйте атаки на ранней стадии и в ретроспективе Продукты Positive Technologies обнаруживают атаки на начальных этапах kill chain ("убийственной цепочки") в режиме реального времени и позволяют выявлять ранее не обнаруженные признаки взлома с помощью ретроспективного анализа. Непрерывно взаимодействуйте с ГосСОПКА Решение автоматизирует процесс реагирования на инциденты и позволяет взаимодействовать с ГосСОПКА в двустороннем формате в режиме онлайн-чата. На рис.3 представлена комплексная система управления информационной безопасностью организации.

Комплексная система управления

Рис. 3 Комплексную систему управления информационной

  1. Security Operation Centre (SOC)

Как верхний блок управления информационной безопасности создание SOC прежде всего направлен на выстраивание процесса, начиная от выявления уязвимости в системе мониторинга до процессов реагирования и дальнейшего предотвращения инцидентов информационной безопасности.

  1. Positive Technologies MaxPatrol SIEM

Создание и техническая поддержка системы сбора и анализа событий информационной безопасности (Security information and event management) на базе Positive Technologies MaxPatrol SIEM.

  1. Positive Technologies MaxPatrol.

Проектирование, внедрение и техническая поддержка сканера уязвимостей информационной безопасности на базе Positive Technologies MaxPatrol.

На рис.4представлены уровни защиты АСУ ТП на КИИ.

Уровни защиты АСУ ТП на КИИ

Рис. 4 Уровни защиты АСУ ТП на КИИ

На уровне PLC (1уровень) основные векторы атак на уровни PLC – это изменение целостности устройства, перехват, или изменение информации, передаваемой между контроллером и SCADA-серверами.

Для контроля изменения состояния целостности PLC-контроллера мы предлагаем промышленное решение Kaspersky Industrial Cyber Security for Nodes, которое в режиме реального времени сравнивает контрольные суммы с эталонными значениями и формирует событие информационной безопасности (ИБ) при отклонении.

Контроль целостности и конфиденциальности передаваемой информации может быть реализован как на базе специализированного решения Positive technologies industrial security incident manager, так и на базе решения Kaspersky Industrial Cyber Security for Networks.

Внедрение данной системы позволит:

  • Отслеживать состояние топологии технологической сети и создавать инциденты при подключении любых неавторизованных сетевых устройств.
  • Анализировать трафик, который передается с использованием промышленных протоколов на предмет наличия аномальной активности.
  • Обнаруживать сетевые атаки, запускаемые из внутренних источников (например, вредоносное ПО на компьютере подрядчика).

На уровне SCADA (3 уровень) защита АСУ ТП, в зависимости от модели угроз и модели нарушителя, на уровне серверов SCADA и АРМ-операторов может быть реализована с помощью отдельных технических решений или комплекса технических средств:

  • специализированные промышленные средства антивирусной защиты, сертифицированные производителями SCADA-систем на базе Kaspersky Industrial Cyber Security for Nodes;
  • средства защиты от несанкционированного доступа на базе решений Код Безопасности SecretNet или Dallas Lock;
  • средства контроля действий привилегированных пользователей;
  • расширенные средства аутентификации и авторизации на базе решения INDEED ENTERPRISE AUTHENTICATION;
  • средства контроля уровня защищенности на базе решения Positive Technologies MaxPatrol 8 или Positive Technologies XSpider.

На уровне DMZ (аналогичные корпоративному уровню средства защиты) (4 уровень) защита периметра технологической сети – это первостепенная задача, которую необходимо решить при реализации проекта защиты АСУ ТП:

  • сегментирование сети;
  • реализация подсистемы межсетевого экранирования и подсистемы предотвращения вторжений на стыках технологических сетей, корпоративных и других не доверенных сетей;
  • организация безопасного удаленного доступа с использованием сертифицированных алгоритмов шифрования (ГОСТ);
  • обеспечение защиты при передаче телемеханики сторонним организациям и контролирующим органам;
  • организация однонаправленной передачи информации;
  • анализ защищенности сети передачи данных.

На уровне внешних подключений (5 уровень) многие информационные инфраструктуры имеют централизацию средств управления и мониторинга в головном офисе. Такая схема подходит как для процессов управления ИБ, так и для производственных.

« Предыдущая Следующая »
Похожие публикации
Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации
Курсовая работа по теме "Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации" по предмету "Прикладная информатика".
Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»
Курсовая работа по теме "Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»".