На главную страницу Rambler's Top100

О журнале

Архив

Разделы

Полезные ссылки

Rambler's Top100

Yandex.CN Сделано для России , тематический каталог отборных русских сайтов.

 

И. И. Лившиц


ООО «Газинформсервис», ведущий инженер, кандидат технических наук
  • Энергобезопасность и энергосбережение №5, 2015

    Оценка защищённости объектов топливно-энергетического комплекса

    Рассмотрена проблема обеспечения безопасности объектов топливно-энергетического комплекса и формирования численных показателей для оценки их степени защищённости. Дополнительно представлена реализация системы менеджмента информационной безопасности – как отдельно, так и в составе интегрированной системы менеджмента для обеспечения защищённости объектов ТЭК. Требования информационной безопасности охватывают требования оценки угроз, уязвимостей и менеджмента рисков.

    Ключевые слова: информационная безопасность, энергоменеджмент, интегрированная система менеджмента

    Проблема обеспечения безопасности объектов топливно-энергетического комплекса решается с привлечением специалистов в области информационной безопасности. На законодательном уровне разработаны соответствующие нормативные документы [1–6], а в паспорте безопасности объекта ТЭК отражено требование оценки достаточности инженерно-технических мероприятий, мероприятий по физической защите и охране объекта при террористических угрозах. Установлены следующие основополагающие определения:

    – акт незаконного вмешательства – противоправное действие (бездействие), в том числе террористический акт или покушение на его совершение, угрожающее безопасному функционированию объекта ТЭК, повлекшее за собой причинение вреда жизни и здоровью людей, повреждение или уничтожение имущества либо создавшее угрозу наступления таких последствий [1, ст. 2.1];

    – безопасность объектов ТЭК – состояние защищённости объектов ТЭК от актов незаконного вмешательства [1, ст. 2.3];

    – критически важные объекты ТЭК – объекты ТЭК, нарушение или прекращение функционирования которых приведёт к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы, её необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения [1, ст. 2.5].

    При практической реализации требований нормативных документов важно обеспечить унификацию и требования оценки, а также дополнительно применять современные стандарты ISO, реализующие замкнутый цикл PDCA и принятые в Российской Федерации в качестве ГОСТ Р – прежде всего стандарты серии 27001 [6–8].

    Для выполнения требований национальных нормативных документов и стандартов ISO предлагается применять обобщённый термин «сложный промышленный объект» (СлПО), под которым будем понимать «технический объект, несанкционированное изменение штатного режима функционирования которого, связанное с нарушением свойств информационной безопасности, может привести к угрозе техногенных катастроф с необратимыми последствиями». Для оценки состояния защищённости сложных промышленных объектов ТЭК сформируем систему численных показателей.

    Формирование перечня защищаемых активов

    В любой системе менеджмента [7–9] первым и одним из важнейших вопросов является вопрос правильного выявления перечня активов (в [7] – “asset”), которые требуют защиты от актов незаконного вмешательства. Для топливно-энергетического комплекса проблему выявления и защиты критически важных объектов [1] возможно сопоставить с общей проблемой выявления и защиты ценных для бизнеса активов в системе менеджмента информационной безопасности и/или интегрированной системы менеджмента [10–13]. Именно правильно определённые и категорированные активы дают ключ к корректному формированию перечня возможных актуальных угроз [6] и, следовательно, к реалистичной оценке возможного ущерба. Подход к выявлению и оценке активов для системы менеджмента информационной безопасности может быть обобщённо представлен следующим образом (рис. 1).

    На следующем шаге на основании сформированного перечня активов, подлежащих защите, определяется перечень уязвимостей и угроз. Для противодействия (снижения или парирования) применяются определённые меры (средства) обеспечения информационной безопасности (в нотации [7] – “control”). Конечной целью применения мер (средств) обеспечения информационной безопасности является снижение потенциального ущерба в отношении выбранных активов [14–15]. Соответственно, предполагается, что перечень активов, подлежащих защите, находится в определённом балансе по отношению к стоимости мер(средств) информационной безопасности, обеспечивая принцип экономической эффективности системы менеджмента информационной безопасности.


    Для формирования перечня угроз рекомендуется использовать совместно приложение В стандарта ISO [8] и приказ ФСТЭК [6]. Критерии, используемые в качестве основы для присвоения ценности каждому активу в организации ТЭК, должны быть чётко определены. Возможными критериями, используемыми для определения ценности актива, могут быть выбраны исходная (балансовая) стоимость, стоимость замены (воссоздания) актива в случае реализации неблагоприятного сценария акта незаконного вмешательства (события риска информационной безопасности) или дополнительная ценность, например ценность репутации [16–17].

    В [2] выделены шесть видов чрезвычайных ситуаций; градация установлена в зависимости от территории, количества пострадавших и размера материальных потерь (табл. 1).


    b>Формирование перечня угроз

    В статье 2 постановления [3] отмечено, что субъект топливно-энергетического комплекса обязан предоставлять информацию об угрозе совершения и о совершении акта незаконного вмешательства на объекте топливно-энергетического комплекса. Подразумевается, что такой перечень угроз сформирован на основании Приложения 1 к [3], утверждён в установленном порядке и отслеживается на каждом объекте. Представляется полезным сопоставить указанный перечень с перечнем типовых угроз согласно приложению С стандарта [8].

    В табл. 2 представлены три категории данных: перечень угроз согласно [3], выборка из перечня типовых угроз по [8] и оценка соответствующих последствий для указанных угроз в соответствии с [7, 9].

    Необходимо дополнительно отметить, что в [3] уделено внимание важной технической задаче, реализация которой, как правило, отражена только в стандартах ISO (п. 7.5.3 [7] и 4.6.5 [9]), – задаче управления записями. В частности, обозначены требования для обеспечения защиты важных записей при предоставлении информации об угрозе, в зависимости от способа: телефонной связи, радиосвязи, электронной или факсимильной связи (пп. 9 и 10). Также в [3] установлен месячный срок хранения носителей информации об угрозе подтверждающих факт её передачи, дату и время (п. 13).

    Формирование перечня уязвимостей

    В соответствии с [6] угрозы безопасности информации определяются на каждом из уровней автоматизированной системы управления по результатам анализа возможных уязвимостей АСУ (п. 13.3). Анализ уязвимостей АСУ проводится в целях оценки возможности преодоления нарушителем системы защиты и нарушения безопасного функционирования за счёт реализации угроз безопасности информации и включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения (п. 15.7).

    Формирование перечня угроз, модели нарушителя, модели угроз в соответствии с нормативной базой ФСТЭК должно опираться на хорошо известную, практически отработанную «базу» уязвимостей, категорированных по типу, реализуемым угрозам и иным параметрам. В дополнение к [6] представляется полезным проанализировать определённый ранее перечень типовых угроз и на этой базе рассмотреть дополнительно перечень уязвимостей согласно Приложению D стандарта [8] (табл. 3).


    Отметим важное практическое требование, содержащееся в [1]: в статье 10 установлены требования к персоналу, обеспечивающему безопасность объектов ТЭК, и конкретно запрет приёма определённых категорий лиц на работу, непосредственно связанную с обеспечением безопасности объектов ТЭК.

    Среди методов оценки технических уязвимостей, регламентированных [8], можно отметить методы тестирования информационной системы, которые применяются для эффективного выявления уязвимостей. Эти методы тестирования могут включать:

    – автоматизированные инструментальные средства поиска уязвимостей;

    – тестирование и оценку безопасности;

    – тестирование на проникновение;

    – проверку кодов.


    Эти общие требования находят своё практическое применение в ряде постановлений, например в [4, пп. 9, 16 и 17]. В частности, отмечается, что выявление критических элементов объекта ТЭК включает в себя:

    а) составление перечня потенциально опасных участков объекта;

    б) определение критических элементов объекта из числа потенциально опасных участков объекта и составление их перечня;

    в) определение угрозы совершения акта незаконного вмешательства и вероятных способов его осуществления по отношению к каждому критическому элементу объекта;

    г) определение модели нарушителя в отношении каждого критического элемента объекта;

    д) оценку уязвимости каждого критического элемента объекта от угрозы совершения акта незаконного вмешательства.

    Дополнительно отметим требования по актуализации информации об исходных данных дляпроведения категорирования объектов ТЭК, установленных в [5] и являющихся также требованиями [7, п. 7.5.2 и 8, п. 10.2]. Существуют требования по актуализации паспорта субъектами ТЭК, которая осуществляется при изменении:

    а) основного вида деятельности объекта;

    б) общей площади и периметра территории объекта;

    в) количества потенциально опасных участков и критических элементов на объекте;

    г) моделей нарушителей в отношении объекта;

    д) базовых угроз для критических элементов объекта;

    е) компонентов организации охраны и защиты объекта.

    В [5] определено, что паспорт, признанный по результатам актуализации подлежащим замене и утратившим силу, хранится в порядке, установленном субъектом ТЭК, в течение 25 лет. Это требование также соответствует требованиям стандартов [7, п. 9.3] и [9, п. 4.7] по анализу со стороны руководства (“management review”).

    В то же время в [2–5] не отражены в явном виде требования к обеспечению полного цикла управления рисками для организаций ТЭК. Не предусмотрена оценка остаточного риска, которая позволяет дополнительно установить уровень оценки защищённости активов объекта после применения выбранных мер (средств) обеспечения информационной безопасности и определённого перечня рисков. Это обстоятельство может быть компенсировано как применением стандартов ISO, основанных на цикле PDCA, серии 27001, где требование менеджмента рисков установлено в явном виде, созданием интегрированной системы менеджмента с теми же требованиями, так и дополнительным внедрением «целевого» стандарта ISO серии 31000, который также принят в Российской Федерации как ГОСТ Р ИСО 31000-2010 [17].

    Формирование требований по проверкам (аудиту) АСУ сложного промышленного объекта ТЭК

    Требования по выполнению проверок (аудитов) активов установлены в стандартах [7, п. 9.2] и [9, п. 4.6.3]. Установлены общие для всех стандартов ISO (ГОСТ Р) требования к периодичности, объективности и беспристрастности [18]. Практические требования по проверкам (аудиту) АСУ ТП на объектах ТЭК установлены в [6], и наиболее важные проверки рассмотрены в качестве примера (табл. 4). Дополнительно отметим, что в приказе ФСТЭК [6] многократно отмечается важная роль стандартов серии 27001, в частности, даны прямые ссылки (пп. 13.4 и 15.2) на ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», который является аутентичным переводом международного стандарта [7].

    Предлагаемый подход позволит обеспечить необходимый уровень безопасности сложного промышленного объекта ТЭК, в том числе требуемый уровень информационной безопасности, отвечающий современным и прогнозным требованиям к оценке угроз, уязвимостей и менеджмента рисков.




    Литература

    1. Федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» [Электронный ресурс]. Код доступа: www.rg.ru/2011/07/26/tek-dok.html.

    2. Постановление Правительства РФ от 21.05.2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» [Электронный ресурс]. Код доступа: www.rg.ru/2007/05/26/chs- dok.html.

    3. Постановление Правительства РФ от 2.10.2013 № 861 «Об утверждении Правил информирования субъектами топливно-энергетического комплекса об угрозах совершения и о совершении актов незаконного вмешательства на объектах топливно-энергетического комплекса» [Электронный ресурс]. Код доступа: www.rg.ru/2013/10/03/tek-reyderstvo-site-dok.html.

    4. Постановление Правительства РФ от 5.05.2012 г. № 459 «Положение об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования» [Электронный ресурс]. Код доступа: www.rg.ru/2012/05/15/tek-kategorii-site-dok.html.

    5. Постановление Правительства РФ от 5.05.2012 г. № 460 «Правила актуализации паспорта безопасности объекта топливно-энергетического комплекса» [Электронный ресурс]. Код доступа: www.rg.ru/2012/05/15/tek-pasport-site-dok.html.

    6. Приказ Федеральной службы по техническому и экспортному контролю от 14.03.2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» [Электронный ресурс]. Код доступа: www.rg.ru/2014/08/06/fstek-dok.html.

    7. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования [Электронный ресурс]. Код доступа: www.vsegost.com/Catalog/57/5736.shtml.

    8. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Электронный ресурс]. Код доступа: www.docs.cntd.ru/document/gost-r-iso-mek-27005-2010.

    9. ГОСТ Р ИСО 50001-2012. Системы энергетического менеджмента. Требования и руководство по применению [Электронный ресурс]. Код доступа: www.mami.ru/storage/files/ccee/GOST-R-ISO-50001-2012.pdf.

    10. Петров И. Комплексный подход к обеспечению защит информации в АСУ ТП [Электронный ресурс]. Код доступа: www.itsecurityforum.ru/itsf-2015/materials.

    11. Петухов А. Подход к обеспечению ИБ АСУТП подстанций [Электронный ресурс]. Код доступа: www.itsecurityforum.ru/itsf-2015/materials.

    12. Лафицкий А. Подход Лаборатории Касперского к защите индустриальной сети [Электронный ресурс]. Код доступа: www.itsecurityforum.ru/itsf-2015/materials.

    13. Смирнов М. Практика противодействия сложным нацеленным атакам [Электронный ресурс]. Код доступа: www.itsecurityforum.ru/itsf-2015/materials.

    14. Лившиц И. И. Подходы к решению проблемы учёта потерь в интегрированных системах менеджмента / / Информатизация и связь. – 2013. – Вып. 1. – С. 57–62.

    15. Лившиц И. И. Оценка систем менеджмента информационной безопасности / / Менеджмент качества. – 2013. – Вып. 1. – С. 22–34.

    16. Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечение доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и связь. – 2013. – Вып. 6. – С. 48.

    17. Лившиц И. И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов / / Труды СПИИРАН. – 2014. – Вып. 6. – С. 72–94.

    18. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента[Электронный ресурс]. Код доступа: www.novsu.ru/file/1027872

  • © «Московский институт энергобезопасности и энергосбережения»
    Полное или частичное использование материалов возможно только с разрешения редакции.
    Политика в отношении персональных данных
    Зарегистрирован в Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Свидетельство ПИ № ФС77-28742

    webmaster: webmaster@endf.ru