Про безопасность электроэнергетики в разрезе защиты SmartGrid и АСУ ТП я уже неоднократно писал. Но тема не теряет своей актуальности, о чем говорит возрастающее число зарубежных материалов по этой теме. Например, большой исследовательский отчет Pike Research о безопасности SmartGrid, в котором не только озвучивается сумма инвестиций в это направление (18 миллиардов долларов до 2018 года), но и говорится, что 63% этих ресурсов пойдут на защиту АСУ ТП, используемых в электроэнергетике.
Но несмотря на это, информационная безопасность критически важных объектов по-прежнему находится в загоне и далеко позади злоумышленников. При наличии средств защиты АСУ ТП, они не используются. Архитектура ИБ АСУ ТП отсутствует. Превалирует заплаточный подход, скопированный из жизни корпоративных безопасников.
Многие же вообще не понимают специфики и не знают о существующих наработках в области защиты АСУ ТП. Например, в марте этого года Министерство энергетики США выпустило проект документа "Electricity SubSector Cybersecurity Risk Management Process". Документ на 89 страниц. Выглядит очень достойно - подробно расписаны все шаги управления рисками, но... не для АСУ ТП. Такое впечатление, что авторы взяли за основу NIST Special Publication (SP) 800-39 "Managing Information Security Risk" и даже не удосужились применить положения 800-39 именно к теме критических инфраструктур. В тексте указано, что обычные ИТ-системы и АСУ ТП имеют разные требования по ИБ. И стоят перед ними немного разные задачи и цели в контексте ИБ. По сути авторы приравняли обычные ИТ и АСУ ТП и написали документ про управление рисками первых, но не вторых.
Сам документ ссылается на NISTIR 7628 "Guidelines for Smart Grid Cyber Security" (часть 1, часть 2, часть 3 и часть 4) и стандарты по ИБ Североамериканской электрической корпорации (NERC). А их там, к слову, 20 стандартов. И доступны они всем и никакого грифа на них нет; в отличие от наших документов по КСИИ. Но дело не в этом. Проект документа американского Минэнерго ни слова не говорит о ISA99, основном наборе стандартов в области безопасности систем управления технологическими процессами. Напрашивается вопрос: "А авторы проекта документа вообще имели дело с АСУ ТП?" Остается надеяться, что практика опубликования проектов документов и привлечения сообщества к доработке, известная в США многие годы, даст свои плоды и эксперты донесут до Минэнерго проблему разработанного документа. Хотя как описание процесса управления общими рисками ИБ документ интересен.
И пока отношение к данной теме не изменится, мы будем регулярно видеть вот такие новости.
Но несмотря на это, информационная безопасность критически важных объектов по-прежнему находится в загоне и далеко позади злоумышленников. При наличии средств защиты АСУ ТП, они не используются. Архитектура ИБ АСУ ТП отсутствует. Превалирует заплаточный подход, скопированный из жизни корпоративных безопасников.
Многие же вообще не понимают специфики и не знают о существующих наработках в области защиты АСУ ТП. Например, в марте этого года Министерство энергетики США выпустило проект документа "Electricity SubSector Cybersecurity Risk Management Process". Документ на 89 страниц. Выглядит очень достойно - подробно расписаны все шаги управления рисками, но... не для АСУ ТП. Такое впечатление, что авторы взяли за основу NIST Special Publication (SP) 800-39 "Managing Information Security Risk" и даже не удосужились применить положения 800-39 именно к теме критических инфраструктур. В тексте указано, что обычные ИТ-системы и АСУ ТП имеют разные требования по ИБ. И стоят перед ними немного разные задачи и цели в контексте ИБ. По сути авторы приравняли обычные ИТ и АСУ ТП и написали документ про управление рисками первых, но не вторых.
Сам документ ссылается на NISTIR 7628 "Guidelines for Smart Grid Cyber Security" (часть 1, часть 2, часть 3 и часть 4) и стандарты по ИБ Североамериканской электрической корпорации (NERC). А их там, к слову, 20 стандартов. И доступны они всем и никакого грифа на них нет; в отличие от наших документов по КСИИ. Но дело не в этом. Проект документа американского Минэнерго ни слова не говорит о ISA99, основном наборе стандартов в области безопасности систем управления технологическими процессами. Напрашивается вопрос: "А авторы проекта документа вообще имели дело с АСУ ТП?" Остается надеяться, что практика опубликования проектов документов и привлечения сообщества к доработке, известная в США многие годы, даст свои плоды и эксперты донесут до Минэнерго проблему разработанного документа. Хотя как описание процесса управления общими рисками ИБ документ интересен.
И пока отношение к данной теме не изменится, мы будем регулярно видеть вот такие новости.
7-8 Казань, будет пара минут по озвученной теме?
ОтветитьУдалитьОАО "СО ЕЭС"
Стандарты ИБ полезны - когда есть потребность в обеспечении ИБ.
ОтветитьУдалитьА если её нет?
Andrey: Наверное будет, если я там буду.
ОтветитьУдалитьСергей: Потребность есть. Людей понимающих нет.