Международный опыт защиты критических инфраструктур

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/139

Безопасность критических инфраструктур: международный опыт

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco


Международный опыт


Что делают многие государства

§ Разработка нормативной базы

§ Наличие координирующего органа

§ Обмен информацией об угрозах и лучших практиках

§ Развитие государственно-частного партнерства

§ Подготовка квалифицированных кадров в области CI

§ Регулярная оценка эффективности принятых мер, разработка метрик и индикаторов

§ Разработка планов реагирования на инциденты

§ Регулярный пересмотр нормативных документов

§ Инициация трансграничного взаимодействия


Обзоры существующих подходов

§ Уровень проработанности темы защиты критических инфраструктур зависит от того, насколько государство сталкивалось с актуальными угрозами в данной области А также от желания доминировать в данной сфере



§ Австралия

§  Корея

§ Япония

§  Канада

§ Нидерланды

§ Великобритания

§ США



§ Оценка выполнения государствами Евросоюза European европейской программы по защите критических инфраструктур

Programme for Critical Infrastructure Protection (EPCIP), 2004

§ Оценка деятельности European Public-Private Partnership for Resilience (EP3R) и European Information-Sharing and Alert System (EISAS)



§ Обзор методов оценки рисков для критичных инфраструктур

§ Рассматриваются европейские и международные подходы

21 подход


4 столпа стратегии защиты критических инфраструктур


Начинать с повышения осведомленности


И регулярно поддерживать ее уровень

§ С 2002 по 2012 год в мире прошло 85 кибер-учений Участвовало 84 государства

71% всех учений прошел в период 2010-2012


От стратегии защиты CI к лучшим практикам и стандартам

В России такой документ должен появиться только в 2014-м году


Стандартизация


Интеграция лучших стандартов по ИБ в критические инфраструктуры

§ В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-TR99


И это не единственный пример

§  ISA SP99 § NERC CIP

§ Guidance for Addressing Cyber Security in the Chemical Industry

§ NIST PCSRF Security Capabilities Profile for Industrial Control Systems

§  IEC 61784-4

§ Cisco SAFE for PCN

§  КСИИ ФСТЭК

§ Стандарты Газпрома


И еще

§  IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»

§  IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»

§  IEC 62351 «Data and Communication Security»

§ FERC Security Standards for Electric Market Participants (SSEMP)

§ American Petroleum Institute (API) 1164 «SCADA Security»

§ Security Guidelines for the Natural Gas Industry


И еще

§ API Security Guidelines for the Petroleum Industry

§ API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries

§ American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)

§ NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»


Но проще почитать NIST SP800-82

§ Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82 Выпущен в июне 2011 года


Как разработать свой стандарт по ИБ критической инфраструктуры?

§ Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП


Рекомендации ENISA


Пример 1: Подход Японии


План действий v1 и v2

§ Первый план действий по ИБ критических инфраструктур в Японии был утвержден 13.12.2005

§ Активное партнерство государства и бизнеса

§  10 критических инфраструктур

§ Основная задача – минимизация последствий от нарушения функционирования ИТ в критических инфраструктурах


Вовлеченность разных структур

§ Секретариат правительства

§ Министерства, связанные с критичными инфраструктурами

Financial Services Agency, Ministry of Public Management, Home Affairs, Posts and Telecommunications, Ministry of Health, Labour and Welfare, Ministry of Economy, Trade and Industry, and Ministry of Land, Infrastructure and Transport

§ Министерства, связанные с информационной безопасностью

National Police Agency, Ministry of Internal Affairs and Communications, Ministry of Economy, Trade and Industry and Ministry of Defense), law enforcement ministries (National Police Agency, Fire and Disaster Management Agency, Japan Coast Guard, Ministry of Defense



§ Другие связанные агентства National Police Agency Cyberforce, NICT, AIST, IPA, Telecom-ISAC Japan, JPCERT/CC и т.д.

§ Провайдеры критических инфраструктур, CEPTOARs и CEPTOAR Council


Обмен информацией (CEPTOAR)


Пример 2: Подход Швейцарии


Регулярное обследование

§  4 опасных сценария Землетрясение

Пандемия гриппа

Нарушение электропитания

Отказ информационной инфраструктуры

§ Разработана базовая стратегия защиты критических инфраструктур

§ www.infraprotection.ch


Базовая стратегия защиты

§ Цель – снизить вероятность возникновения и (или) развития ущерба, происходящего по причине разрушения, отказа или уничтожения критической инфраструктуры национального уровня и минимизация времени простоя


Пример 3: Подход Германии


Стратегия и план ее реализации


Дополнительные руководства


Чеклисты для самопроверки и пример оценки рисков


Пример 4: Подход Австралии


Также обмениваются информацией

§ Создана и функционирует Trusted Information Sharing Network (TISN) for Critical Infrastructure Resilience

2003 год

§  Государственно-частное партнерство


От безопасности к устойчивости

§ Стратегия описывает подход австралийского правительства по расширению устойчивости критичных инфраструктур от всех угроз


Кибер-учения

§ Регулярные учения «кибер-шторм»

§ США, Австралия, Канада, Новая Зеландия

§ Отработка совместных действий в случае кибератак на критичные инфраструктуры


Компьютерное моделирование угроз

§ Программа Critical Infrastructure Protection Modelling and Analysis (CIPMA) Program – одна из ключевых инициатив австралийского правительства по защите критичных инфраструктур

§ CIPMA использует множество различных источников данных для моделирования и симуляции поведения критичных инфраструктур


Пример 5: Подход США


US Control Systems Security Program

§ Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой


Обмен информацией через Industry Sector Advisory Committee (ISAC)

§ Получение данных об инцидентах

§ Взаимодействие с National Infrastructure Protection Center (NIPC)

§ Связь с другими ISAC

§ Распространение лучших практик и извлеченных уроков

§ Взаимодействие с другими секторами экономики

§ Участие в киберучениях


Это дает свой эффект


Одна из последних инициатив

§ Исполняя распоряжение Президента США EO13636 по улучшению кибербезопасности критичных инфраструктур NIST запустил процедуру разработки архитектуры снижения рисков критичным инфраструктурам

§ Набор лучших практик, стандартов и руководств

§ Публичный процесс Завершение работ осенью 2013 года


Заключение


Что нужно делать?

§ Изменение менталитета

§  Координация усилий на международном уровне

§  Гармонизация законодательства

§ Сдвиг фокуса от защиты к устойчивости и готовности

§ Построение долгосрочной стратегии с учетом будущих изменений в технологиях и их применении

§ Подготовка квалифицированных кадров в области CI

Международный опыт защиты критических инфраструктур

Technology

Transcript of Международный опыт защиты критических инфраструктур