28.02.2014

Мой новый курс по безопасности индустриальных решений

Позавчера Академия информационных систем опубликовала у себя на сайте новость о запуске моего курса по безопасности индустриальных решений. Точнее он называется  "Защита АСУ ТП", но суть от этого не меняется. Так уж сложилось, что у нас в России больше принята именно аббревиатура АСУ ТП. Программа курса опубликована на сайте АИС.

Собственно идея этого курса возникла у меня давно - еще в конце первой декады 2000-х годов, после того как я проходил обучение по SANSовскому аналогичному курсу. Потом были курсы американского МинЭнерго, INL и DHS. Но в 2009-2010-м году эта тема в России была не очень актуальной. У нас не было ни инцидентов, ни нормативки (исключая документы ФСТЭК по КСИИ с непонятным статусом), ни активного интереса со стороны потребителей. Об этом же говорит и не очень высокий интерес к заметкам в блоге, посвященным этой теме, которые я начал публиковать с 2008-го года. Но после появления Stuxnet ситуация стала меняться - о проблеме заговорили все и стали к ней готовиться. Регуляторы задумались о нормативной базе, интеграторы - о новых направлениях своей деятельности, потребители - о том, как ничего не делать и при этом не попасть "под раздачу". Стали чаще проводиться различные мероприятия (например, форум по безопасности КВО ТЭК), на которых поднимались различные темы по ИБ критически важных объектов в целом и АСУ ТП в частности.

На этом фоне я стал не только чаще выступать про безопасности индустриальных систем, но и участвовать в разных проектах в разных отраслях, в которых присутствуют КВО. В прошлом году было даже три АЭС, заинтересовавшиеся данной тематикой. Потом появился документ Совбеза, указ Президента, законопроект ФСБ и требования ФСТЭК. Стала вырисовываться общая картина того, как и куда будет развиваться эта тема в России. А потом в каком-то разговоре с Игорем Елисеевым и Юрой Малининым из АИС возникла идея этого курса. Наработки уже были - оставалось только их свести воедино, что и было сделано.

Теперь что касается неумных высказываний отдельных личностей, которые в свойственной для себя манере, не разобравшись в предмете и не имея о нем никакого представления кроме поверхностного, решили высказать свое мнение, выдав его за сакральную истину в последней инстанции. Курсы бывают разные! Бывают обзорные - на один или два дня (у иностранцев они часто дополняются приставкой Overview или Essentials, как у SANS). Бывают глубокие и длинные курсы уровня Deep Dive - на пять дней. Бывают курсы, направленные на рассмотрение одной темы (например, аудит и анализ защищенности АСУ ТП или применение однонаправленных межсетевых экранов), а бывают включающие в себя сразу целые своды передового опыта (best practices). Бывают курсы (как у Tofino, например) для "рукастых" инженеров, которые на стенде пытаются пощупать все своими руками, а бывают дизайнерские курсы, на которых описываются принципы дизайна и архитектуры индустриальных сегментов (например, у Rockwell). Бывают курсы, описывающие отдельные технические решения (у того же Waterfall или Honeywell), а бывают направленные только на нормативку. "Серебряной пули", решающей сразу все задачи и включающей сразу все темы в рамках одного курса, нет.

Собственно мой курс - это попытка объединить вместе все темы, исключая различные лаборатории и иные практические занятия. Я такую задачу себе не ставил и ставить не буду. Допускаю, что в АИС могут появиться практические курсы, развивающие тему ИБ АСУ ТП (о такой возможности АИС говорил). Моя задача была дать обзорную и при этом детальную систематизацию того, что сейчас понимается под темой информационной безопасности АСУ ТП. Сюда входит и нормативка (куда уж без нее), и обзор рынка специализированных решений (я про него, кстати, буду рассказывать на конференции АИС по безопасности КВО ТЭК), и существующие стандарты и своды передового опыта, и вопросы сетевого дизайна индустриальных сегментов и многое другое. На все про все два дня. Это немного, но надеюсь, что за этот промежуток времени слушатели выйдут с систематизированными знаниями в различных областях ИБ АСУ ТП. Представители МинЭнерго узнают о международном и национальным опыте регулирования ИБ КВО. Пентестеры узнают про нормативку, о которой они часто забывают и которая зачастую важнее реальных дыр в системах, которые и закрыть-то нельзя, чтобы не нарваться на расторжение договора на поддержку или выход системы из строя. Интеграторы узнают о различных решениях, которые могут закрывать те или иные задачи при обеспечении ИБ АСУ ТП. Иными словами, каждый найдет для себя что-то полезное. Я надеюсь на это. Опыт проведения других курсов показывает, что систематизировать в сжатом виде разрозненные сведения и доступно донести до аудитории сложные темы мне удается неплохо. А это уже немало :-)

ЗЫ. Курс читается только в АИС и нигде больше.

ЗЗЫ. Упомянутой выше личности рекомендую не сидеть в социальных сетях, изрыгая желчь и страдая манией величия, а сделать хоть что-то своими руками. Это не только отрезвляет, но и учит ценить труд других людей.