Вторая редакция стандарта информационной безопасности (ИБ) промышленных систем управления NIST SP 800-82 Rev.2 "Guide to Industrial Control Systems (ICS) Security" была опубликована NIST (National Institute of Standards and Technology, http://www.nist.gov) 5 июня 2015 года и содержит следующие изменения в сравнении с первой:
- обновление списка угроз и уязвимостей промышленных систем управления;
- обновление главы об управлении рисками, рекомендованных практиках и архитектурах промышленных систем управления;
- дополнение стандарта актуальной информацией о безопасности промышленных систем управления;
- дополнение списка возможностей и инструментов для обеспечения информационной безопасности промышленных систем управления;
- согласование стандарта со стандартами, рекомендациями и лучшими практиками по обеспечению ИБ промышленных систем управления, выпущенными другими организациями (ICS-CERT, ISA, IEC и др.);
- адаптация стандарта к NIST SP 800-53 («Security and Privacy controls for Federal Information Systems and Organizations»).
Стандарт находится в открытом доступе по адресу: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
Рассмотрим каждую главу стандарта NIST SP 800-82 и отметим изменения, которые их коснулись.
Глава 1. Introduction (Введение)
В первой главе второй редакции стандарта приводится его отношение к распоряжению президента США №13636 «Improving Critical Infrastructure Cybersecurity». Документ «The Cybersecurity Framework», разработанный NIST по этому распоряжению, используется для обеспечения защиты критических инфраструктур США, и тесно связан со стандартами NIST SP 800-82, NIST SP 800-53 и другими. Данный документ содержит перечень функций системы защиты информации промышленных систем управления и ссылки на соответствующие стандарты и может быть использован при создании систем защиты информации вместе со стандартом NIST SP 800-82. Ссылка на документ: http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
Глава 2. Overview of Industrial Control Systems (Обзор промышленных систем управления)
В данной главе представлен краткий обзор промышленных систем управления, их связь со SCADA, распределенными системами управления и программируемыми логическими контроллерами. Промышленные системы могут быть полностью автоматическими или же в работе системы может участвовать человек. Примером систем, в работе которой участвует человек, являются автоматизированные системы управления технологическим процессом (АСУ ТП).
Вторая глава стандарта была дополнена новым разделом «2.1 Evolution of Industrial Control Systems», в котором кратко описана эволюция промышленных систем управления и их постепенная интеграция с IT-системами.
Раздел «2.2 ICS Industrial Sectors and Their Interdependencies» был доработан, в него добавлена информация о связи промышленных систем управления и критических инфраструктур. По стандарту NIST промышленные системы управления теперь разделяются не только по типу производства, но и по географическому признаку.
Разделы «ICS Operation» и «Key ICS Components» были объединены в раздел «2.3 ICS Operation and Components». В разделе приводится описание промышленных систем управления, в том числе компонентов, используемых в промышленных системах управления. Важной особенностью второй редакции является наличие раздела «2.3.1 ICS System Design Considerations», в котором описаны факторы, влияющие на информационную безопасность промышленных систем управления:
- Требования по времени (время отклика, синхронизация устройств и т.д.);
- Географическая удаленность объектов;
- Иерархия промышленных систем управления;
- Сложность управления;
- Требования к доступности;
- Возможные последствия от отказа функций управления;
- Требования к физической безопасности.
Раздел «3.1 Comparing ICS and IT Systems» перенесен во вторую главу. Расширено описание факторов, которые необходимо учесть при защите промышленных систем управления. Дополнена таблица различий между IT‑системами и промышленными системами управления.
Во второй главе также приводятся список различных систем управления, которые схожи с промышленными системами и информационная безопасность которых также обеспечиваться на основе стандарта NIST SP 800-82. К таким системам управления, в том числе, относятся АСУ ТП.
Глава 3. ICS Risk Management and Assessment (Оценка и управление рисками промышленных систем управления)
Третья глава стандарта была полностью переработана. Списки угроз, уязвимостей и инцидентов ИБ промышленных систем управления перенесены в приложение «Appendix C - Threat Sources, Vulnerabilities, and Incidents». Вместо них в главе представлены базовые понятия управления рисками, основанные на стандартах NIST SP 800-39, NIST SP 800-37 и NIST SP 800-30.
Кроме базовых понятий в главе также представлены рекомендации и руководства по управлению рисками применительно к ИБ промышленных систем управления.
Глава 4. ICS Security Program Development and Deployment (Разработка и внедрение программы обеспечения ИБ промышленных систем управления)
Четвертая глава стандарта касается разработки и внедрения программы обеспечения безопасности промышленных систем управления. Как и в первой редакции, глава начинается с раздела «Business Case for Security», в которой описываются методы по разработке программы обеспечения ИБ промышленных систем управления: описание преимуществ внедрения системы защиты информации, описание потенциальных последствий от реализованных атак и представление программы обеспечения ИБ руководству компании.
Отличием редакций является замена раздела «Developing a Comprehensive Security Program» (несколько его частей были перенесены во вторую редакцию в качестве отдельных разделов) на «Implement an ICS Security Risk Management Framework», включающую в себя традиционные для управления рисками части:
- идентификация и определение ценности активов;
- выбор мер защиты;
- анализ и оценка рисков;
- внедрение мер защиты.
Глава 5. ICS Security Architecture (Архитектура системы безопасности промышленных систем управления)
Пятая глава стандарта получила новое название и была существенно дополнена, в том числе новыми подходами к обеспечению сетевой безопасности:
- общие положения по сегментации и разделению сетей;
- защита сетевого периметра
- однонаправленные шлюзы;
- добавлены подразделы по рекомендуемым правилам для шлюзов безопасности для протоколов DHCP, SSH, SOAP.
Также в пятую главу были включены разделы, не относящиеся к сетевой безопасности:
- Аутентификация и авторизация;
- Аудит системы, мониторинг и ведение журналов событий;
- Обнаружение инцидентов и реагирование на них, восстановление системы.
Глава 6. Applying Security Controls to ICS (Применение мер защиты информации к промышленным системам управления)
В шестой главе стандарта авторы утверждают, что использование единственного средства защиты или технологии не может являться решением для комплексного обеспечения ИБ промышленных систем управления и для выбора и внедрения мер защиты важно ответить на следующие вопросы:
- Какие меры защиты необходимы для снижения рисков до приемлемого уровня?
- Внедрены ли уже какие-либо меры защиты и есть ли реалистичный план по внедрению остальных мер?
- Можно ли гарантировать, что выбранный комплекс мер защиты будет правильно реализован, будет правильно выполняться и приносить желаемый результат?
В шестую главу также добавлен раздел «Executing the Risk Management Framework Tasks for Industrial Control Systems», куда включена информация, ранее находившаяся в приложении «Appendix E - Industrial Control Systems in the FISMA Paradigm». В разделе приводится информация о процессе управления рисками, состоящем из следующих этапов:
- Определение категории критичности промышленной системы управления;
- Выбор мер защиты;
- Внедрение мер защиты;
- Опытная эксплуатация и оценка эффективности мер защиты;
- Применение мер защиты;
- Контроль мер защиты.
Раздел с перечислением мер защиты был переработан. Теперь меры защиты приведены без разделения на категории. Информация о мерах защиты и рекомендации по их внедрению были дополнены, в том числе ссылками на смежные стандарты NIST. В список включена новая мера защиты «Privacy Controls», которая описывает методы защиты информации о частной жизни сотрудников.
Приложения Appendix A и Appendix B
Приложения со списком аббревиатур и списком терминов были дополнены и снабжены ссылками на смежные стандарты.
Приложение Appendix C - Threat Sources, Vulnerabilities, and Incidents (Угрозы, уязвимости и инциденты)
В данное приложение перенесена информация об угрозах, уязвимостях и инцидентах ИБ промышленных систем управления.
Список угроз был существенно переработан и дополнен. Угрозы разделены на 4 типа (по типу источника угроз). Для каждого типа угроз приведено краткое описание и характеристики.
Раздел с уязвимостями промышленных систем управления также был переработан. В стандарте рассматриваются следующие типы уязвимостей:
- Уязвимости политик и процедур;
- Уязвимости архитектуры;
- Уязвимости в конфигурациях устройств и процедуре обслуживания;
- Физические уязвимости;
- Уязвимости ПО;
- Уязвимости коммуникаций и вычислительных сетей.
Для каждого типа приводится не только список соответствующих уязвимостей, но и условия, которые способствуют их возникновению.
Раздел об инцидентах ИБ был полностью переработан. Во второй редакции стандарта используются данные ICS-CERT об инцидентах за 2010-2013 год (данные за 2014 год во вторую редакцию стандарта не включены). Также был расширен список задокументированных инцидентов, при этом также использована информация, которая находится в открытых источниках ICS-CERT и других организаций.
Приложение Appendix D – Current Activities in Industrial Control System Security (Деятельность сторонних организаций в сфере обеспечения ИБ промышленных систем управления)
В данном приложении приведены ссылки на ресурсы, которые содержат информацию, связанную с обеспечением защиты промышленных систем управления. Список ресурсов был переработан в сравнении с первой редакцией. Часть ресурсов (например, www.cidx.org) были исключены из списка, в то же время в списке появились новые позиции (например, http://ics.sans.org).
Приложение Appendix E – ICS Security Capabilities and Tools (Механизмы и инструменты обеспечения ИБ промышленных систем управления)
Приложение является дополненной версией приложения «Emerging Security Capabilities» первой редакции стандарта и включает список механизмов и технологий, которые могут применяться при обеспечении защиты промышленных систем управления, в том числе АСУ ТП. Список был дополнен пунктом Data Diode - однонаправленным шлюзом передачи данных.
Приложение Appendix G – ICS Overlay (Механизм наложения для обеспечения ИБ промышленных систем управления)
Приложение G представляет механизм проектирования системы защиты для промышленных систем управления – механизм наложения (Overlay). Данный механизм в первоначальном виде был опубликован в стандарте NIST SP 800-53 и представляет собой список мер защиты, которые могут быть применены в системе обеспечения ИБ промышленных систем управления. Меры защиты в стандарте NIST SP 800-82 сгруппированы по следующим направлениям:
- Управление доступом;
- Информирование и обучение персонала;
- Аудит и учет;
- Оценка безопасности;
- Управление конфигурациями;
- Планирование действий на случай непредвиденных ситуаций;
- Идентификация и аутентификация;
- Реагирование на инциденты;
- Обслуживание;
- Защита съемных носителей информации;
- Физическая защита и охрана окружающей среды;
- Планирование;
- Безопасность персонала;
- Управление рисками;
- Инвентаризация систем и сервисов;
- Защита промышленной системы управления и сетей передачи данных;
- Целостность промышленной системы управления и информации;
- Средства управления системой обеспечения ИБ промышленной системы управления.
Для каждого направления приводится список мер защиты, применимых для обеспечения ИБ промышленных систем управления. Авторы приводят комментарии с лучшими практиками и примерами внедрения самых эффективных мер защиты. Меры защиты должны выбираться в зависимости от типа промышленной системы управления, например, часть мер защиты будет являться более критичной для АСУ ТП, но менее критичной для систем автоматического управления.
Заключение
NIST существенно переработал стандарт SP 800-82. Информация об управлении рисками в сфере обеспечения ИБ промышленных систем управления теперь занимает значительную часть стандарта. NIST воспользовался современными материалами и проверенными источниками, дополнив многие разделы стандарта, например, информацию об уязвимостях и инцидентах ИБ промышленных систем управления.
Механизм наложения, представленный в приложении Appendix G, позволяет более продуманно подойти к проектированию системы обеспечения ИБ промышленных систем управления. Данный механизм напоминает состав мер защиты информации и их базовые наборы из Приказа №31 ФСТЭК России, который устанавливает требования к обеспечению защиты информации в АСУ ТП.
В целом, документ стал более продуманным и структурированным. В стандарте приведены лучшие практики и рекомендации, не зависимые от конкретных производителей средств защиты информации, что позволяет использовать их при проектировании систем защиты информации российских промышленных систем управления.