Недавно, в своей проектной деятельности по защите информации в АСУ ТП, мы столкнулись с новым типом объекта защиты, а именно СМИС – структурированная система мониторинга и управления инженерными системами зданий и сооружений.
Оказалось, что есть документы по СМИС, которые уже справили десятилетний юбилей))). Почему же для специалистов по ИБ это пока такая новая и неизведанная область? Кто разрабатывает решения по защите информации в СМИС? Какие требования к защите информации в СМИС предъявлять?
Начнем с того, что СМИС проектируется как отдельная от АСУ ТП система, однако сопрягающаяся с ней и всевозможными существующими системами связи и мониторинга объекта. СМИС оснащаются потенциально опасные, особо опасные, технически сложные и уникальные объекты – от ядерно-, радиационно-опасных и объектов космической инфраструктуры до аэропортов и метрополитенов.
Посмотрим, что же есть про ИБ в нормативных документах, посвященных СМИС (Таблица 1).
Таблица 1-Требования к СМИС, касающиеся вопроса защиты информации
| ГОСТ Р 22.1.12-2005 «Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования» |
|
5.5 Требования к защите информации Информационная защита СМИС – по нормативному документу //Вот такое лаконичное требование))) |
| ГОСТ Р 22.1.14-2013 «Комплексы информационно-вычислительные структурированных систем мониторинга и управления инженерными системами зданий и сооружений. Технические требования. Методы испытаний» |
|
5.5 Требования к устойчивости ИВК СМИС 5.5.4 ИВК СМИС должен быть защищен от НСД в соответствии с требованиями не менее класса защищенности АС – 3Б РД «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ» 5.5.5 Требования по защите ПО ИВК СМИС должны обеспечиваться средствами ограничения, учета и администрирования доступа к ОС ИВК СМИС и разграничением доступа к ПО. 5.5.6 Доступ к ПО должен осуществляться с помощью паролей с разделением по типу пользователей. 5.5.7 Число буквенно-цифровых знаков в пароле должно быть не менее десяти. 5.5.8 При вводе пароля в систему вводимые знаки не должны отображаться на средствах отображения информации. После ввода в систему пароли должны быть защищены от просмотра средствами ОС. 5.5.9 Для обеспечения ИБ ИВК СМИС должны быть предусмотрены: – установка МЭ (брандмауэра); – установка антивирусного ПО; – осуществление взаимодействия с внешними системами только по закрытой внешней сети (VPN); – отсутствие незащищенных подключений к открытым сетям общего пользования (Интернет); – защита ПО электронными ключами. 5.5.10 В ИВК СМИС должна быть обеспечена сохранность информации при сбоях электропитания, общесистемного и специального ПО, при сбоях и выходе из строя оборудования ИВК СМИС, при сбоях из-за ошибок в работе оператора. 5.5.11 В ИВК СМИС должны быть предусмотрены средства автоматического резервного копирования информации восстановления данных и ПО. 7.4 Испытания ИВК СМИС на устойчивость 7.4.2 Испытания по защите ПО ИВК СМИС от НСД к информации и защите СВТ, входящих в состав ИВК СМИС, проводят проверкой на соответствие требованиям ГОСТ Р 50739 |
| Технические требования к ПТК СМИС объектов, сопрягаемым с органами повседневного управления РСЧС (муниципального и территориального уровней) |
|
3.10 Требования к защите информации от НСД 3.10.1 Защита в ПТК СМИС объекта от несанкционированного доступа к информации должна обеспечиваться программными средствами и соответствовать требованиям класса 3Б в соответствии с РД «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ». 3.10.2 В рамках защиты передаваемой информации от несанкционированного доступа должны обеспечиваться: – конфиденциальность передаваемой информации; – целостность передаваемой информации; – аутентификация узлов комплекса; – безопасность на уровне сообщения. 3.11 Требования к видам обеспечения ПТК СМИС объекта 3.11.2 Требования к программному обеспечению (ПО) 3.11.2.3 Для обеспечения информационной безопасности ПТК СМИС объекта должен обеспечивать работу с антивирусном программным обеспечением и межсетевыми экранами (firewall). 3.11.2.4 Для защиты ПТК СМИС объекта от сбоев (функциональных дефектов) и искажений целостности данных в ПО должны быть предусмотрены соответствующие средства обнаружения, отображения и устранения сбоев. 3.11.2.5 В целях обеспечения защиты данных ПТК СМИС объекта от ошибочных действий пользователей в ПО должны быть предусмотрены разделение прав пользователей и подсистема контроля действий пользователей, обеспечивающая возможность предупреждения пользователей перед внесением изменений в данные и параметры системы. Также данные ПТК СМИС объекта должны быть защищены от непреднамеренных изменений, введу некорректного исполнения модулей ПТК СМИС или сбоев в работе операционной системы. 3.11.2.6 ПО ПТК СМИС объекта должно содержать средства обнаружения, журнал регистрации различного рода сбоев и систему оповещения пользователя. 3.11.2.7 ПО ПТК СМИС объекта должно обеспечивать защиту от несанкционированного доступа к собственным программным модулям и хранимым данным. |
Как видно, требования к ИБ достаточно размытые, и достаточно старые (РД «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ»), правда действующие. Часть из них выполняется при разработке самого ПО СМИС, часть требует дополнительных средств защиты информации. Данные требования учитываются разработчиками СМИС в пункте, посвященному обеспечению информационной безопасности, разрабатываемой документации. Однако, простого перечисления мер по обеспечению ИБ, без конкретного описания их реализации, построения модели угроз и т.п., недостаточно, да и не компетенция это разработчиков СМИС. Поэтому назревает необходимость в разработке отдельных проектных решений, посвященных защите информации в СМИС.
Тут и встает вопрос о том, какие требования к ИБ предъявлять к объекту защиты, то есть какую нормативную документацию в области ИБ нужно использовать для защиты СМИС. Если на объекте оснащения СМИС функционирует ключевая система информационной инфраструктуры, то возможно применение документов по КСИИ (Базовая модель угроз безопасности информации в КСИИ, Методика определения актуальных угроз безопасности информации в КСИИ, Общие требования по обеспечению безопасности информации в КСИИ, Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры). Из нашей практики на объектах (не относящихся к КСИИ) отдельно взятой отрасли, в которой мы столкнулись со СМИС, кроме перечисленных в таблице мер, по факту применяются отраслевые стандарты в области защиты информации в АСУ ТП, с адаптацией требований к СМИС в силу ее конструктивных особенностей. Таковы реалии, отдельного нормативного документа по защите информации в СМИС нет.
Приглашаем всех в наш блог для обсуждения вопросов и решений по защите информации в СМИС.