INTEGRATED ASSESSMENT OF INFORMATION SECURITY REQUIREMENTS IMPLEMENTATION IN AUTOMATED CONTROL SYSTEMS INTENDED FOR PRODUCTION AND TECHNOLOGICAL PROCESSES

Abstract

The goal of this paper is the further development of the mentioned approach in the form of engineering technique of evaluating the information security requirements fulfillment in automated systems using fuzzy logic methods and expert estimates. The procedure of determining the level of significance (criticality) of processed information on the basis of fuzzy rule set which accounts for possible detriments caused by violating the integrity, availability or confidentiality is proposed. After determining the information significance (criticality) level and the corresponding system security class, the evaluation of the real system security level compliance to the requirements established by the Federal Service of Technical and Export Control Order No. 31 is performed. These requirements determine the basic set of organizational and technical measures of information protection for each class of the system security. The local and group completeness indices are calculated using experts polling method according to the recommended measures of information protection. In addition to the obtained estimates of the group indices, the integral estimates of information security requirements fulfillment characterizing the average value and the spread in the values of the group indices are shown. The example illustrating the specifics of applying this technique to designing the secured automated control system is considered.

Full Text

Введение Проблеме защиты информации в автоматизированных системах управления производственными и технологическими процессами (далее сокращенно, АСУ ТП) в последние годы уделяется повышенное внимание на уровне общества, государственных и коммерческих структур, предприятий и организаций. Это в первую очередь относится к АСУ ТП, осуществляющим управление критически важными объектами, включающими в себя объекты топливно-энергетического комплекса, транспортной безопасности, использования атомной энергии, опасные производственные объекты, гидротехнические сооружения. Актуальность и острота проблемы обеспечения информационной безопасности (ИБ) АСУ ТП подчеркивается статистикой резкого роста числа инцидентов ИБ промышленных объектов и возрастанием тяжести последствий от реализации кибератак. По результатам исследований, проведенных Центром ICS CERT при «Лаборатории Касперского» [1], в период с июля по декабрь 2016 года с вредоносным программным обеспечением (ПО) в России столкнулись 42% компьютеров, так или иначе относящихся к технологической сети предприятий. В 28% случаев вредоносное ПО попадало на компьютеры из Интернета, в 6% - при подключении переносных накопителей. В сетях промышленных предприятий обнаружено в общей сложности 20 тыс. модификаций вредоносного ПО. В отчете «Лаборатории Касперского» также говорится, что ICS CERT обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся до сих пор. Они направлены преимущественно на промышленные компании; в общей сложности во второй половине 2016 года атакам подверглись более 500 организаций из более чем 50 стран мира. Исследования показали, что из всех целевых атак, обнаруженных тогда «Лабораторией Касперского», каждая четвертая была направлена на предприятия. В системах промышленной автоматизации, в том числе на объектах критической инфраструктуры, обнаружено 75 незакрытых уязвимостей, включая 58 максимально критичных для безопасности предприятий. Из 75 обнаруженных в 2016 году уязвимостей к середине марта 2017 года производителями ПО было закрыто только 30. Приведенные выше данные подтверждаются и результатами исследований компании Positive Technologies [2], согласно которым количество промышленных компаний, столкнувшихся с инцидентами ИБ в 2016 году, возросло почти в три раза по сравнению с 2015 годом. Как отмечают авторы [2], злоумышленники атаковали объекты критической инфраструктуры целенаправленно, причем атаки отличались тщательностью подготовки, нередко с использованием принципов социальной инженерии (например, путем внедрения вредоносного ПО через систему массовых спам-рассылок). Последним примером масштабной кибератаки, поразившей множество компаний по всему миру (включая российские) в период с 12 мая по 15 мая 2017 года, является атака сетевого червя-шифровальщика WannaCry [3]. В числе жертв данной хорошо скоординированной акции - компании, занимающиеся различными видами производства, нефтеперерабатывающие заводы, объекты городской инфраструктуры и распределительные энергосети. В большинстве случаев системы промышленной автоматизации были атакованы вредоносным ПО WannaCry из локальной сети предприятия - при наличии прямого подключения между смежными сетями и при подключениях через VPN. Неудивительно, что международное сообщество и специалисты по ИБ озабочены поиском эффективных путей решения проблемы обеспечения ИБ промышленных объектов. Европейской комиссией разработана глобальная стратегия по защите объектов критической инфраструктуры The European Programme for Critical Infrastructure Protection [4]. Предложен и эффективно используется в мировой практике ряд международных стандартов по защите информации в АСУ ТП: NERC Critical Infrastructure Protection [5], ISA/IEC 62443 Industrial Automation and Control Systems Security [6], NIST SP 800-82 Guide to Industrial Control Systems Security [7]. В России в качестве аналогичного нормативного документа выступает Приказ ФСТЭК России № 31 от 14.03.2014 [8], в значительной мере коррелирующий, а по ряду позиций превосходящий указанные выше зарубежные программы и стандарты [9]. Методика комплексной оценки выполнения требований ФСТЭК к защите информации в АСУ ТП Приказ ФСТЭК № 31 представляет собой сбалансированный документ, отражающий современную точку зрения на проблему построения защищенных АСУ ТП в условиях наличия возможных угроз и уязвимостей на основе системного риск-ориентированного подхода. В основе данного подхода лежит формирование организационных и технических мер защиты на основании анализа и учета характерных для системы рисков. Предполагается, что рассматриваемая АСУ ТП имеет многоуровневую архитектуру, включающую в себя: уровень операторского (диспетчерского) управления (верхний уровень); уровень автоматического управления (средний уровень) и уровень ввода (вывода) данных и исполнительных устройств (нижний (полевой) уровень). Каждый из этих уровней может иметь различное число подсистем, к каждой из которых (с учетом ее специфики и характера обрабатываемой в ней информации) могут предъявляться различные требования по обеспечению защиты информации. В качестве ключевых характеристик, определяющих требования к защите информации в АСУ ТП и ее подсистемах, выступают уровень значимости (критичности) обрабатываемой информации и класс защищенности системы (и ее подсистем). Всего в Приказе ФСТЭК № 31 выделены три уровня значимости (критичности) обрабатываемой информации: высокий (УЗ1), средний (УЗ2) и низкий (УЗ3) с учетом степени возможного ущерба от нарушения целостности (Х1), доступности (Х2) или конфиденциальности (Х3) информации. Для определения уровня значимости (критичности) информации можно воспользоваться экспертной оценкой с использованием механизма нечеткого логического вывода [10]. Соответствующая система нечетких правил (продукций), на основе которых принимается решение об уровне значимости (критичности) информации (УЗ), принимает вид: Правило 1: ЕСЛИ Х1 = Высокая ИЛИ Х2 = Высокая ИЛИ Х3 = Высокая, ТО УЗ = Высокий (УЗ1), ИНАЧЕ Правило 2: ЕСЛИ Х1 = Средняя ИЛИ Х2 = Средняя ИЛИ Х3 = Средняя, ТО УЗ = Средний (УЗ2), ИНАЧЕ УЗ = Низкий (УЗ3). Процедура нечеткого логического вывода в данном случае может быть реализована с помощью схемы, представленной на рис. 1. Рис. 1. Схема нечеткого алгоритма принятия решения Здесь через H, M, L обозначены соответственно термы (нечеткие множества) для лингвистических переменных Х1, Х2, Х3 («Степень ущерба» от нарушения одного из свойств ИБ); H - «Высокая» (High), M - «Средняя» (Middle), L - «Низкая» (Low); , , - функции принадлежности значений Xi нечетким множествам H, M и L соответственно; , , - функции принадлежности значений УЗ нечетким множествам H, M, L. Операция логического «ИЛИ» реализуется с помощью блоков вычисления максимума. Интерпретатор работает по следующему правилу: определяя таким образом искомый уровень значимости (критичности) информации. Нечеткие множества «Низкая(-ий)», «Средняя(-ий)», «Высокая(-ий)» для переменных Х1, Х2, Х3, УЗ задаются с помощью функций принадлежности, форма и относительное расположение которых определяются экспертом (или группой экспертов), исходя из субъективных представлений о возможных последствиях (ущербе) от реализации угроз безопасности информации. На рис. 2 приведен пример построения нечетких множеств для переменной Х1, приведенной к безразмерному виду (в относительных единицах) в диапазоне [0, 1]. Рис. 2. Пример задания функций принадлежности Класс защищенности системы (К1 - первый класс, К2 - второй класс, К3 - третий класс) определяется в зависимости от уровня значимости (критичности) обрабатываемой информации: Следующим шагом после установления уровня значимости (критичности) информации и класса защищенности системы является определение обязательного (базового) набора организационных и технических мер защиты информации для соответствующего класса защищенности АСУ ТП согласно требованиям ФСТЭК и оценка соответствия реального состояния ИБ на объекте этим требования (аудит ИБ). Приказ ФСТЭК № 31 содержит 21 группу мер защиты информации (см. таблицу ниже), каждая из которых включает в себя различное количество (от 3 до 31) конкретных мер защиты. Обозначим через частный показатель полноты использования j-й меры защиты (j=1,2,…,) в i-й группе мер (i=1,2,…,21), где принимает значение 0, если соответствующая мера защиты не применяется, 0,5 - если данная мера защиты используется частично и 1 - если данная мера защиты используется в полном объеме; - количество мер защиты в i-й группе, рекомендованных для данного класса защищенности АСУ ТП. Тогда каждой i-й группе мер защиты можно присвоить групповой показатель полноты использования мер защиты из базового набора мер защиты, выраженный в %, и абсолютный показатель количества неиспользованных или частично использованных мер защиты из рекомендованного базового набора : (1) где функция равна 1, если =1, и 0, если =0 или 0,5. Так, если некоторая группа (например, 1-ая) включает в себя 8 мер защиты, из которых на конкретном объекте выполнены в полном объеме 6 мер, частично - 1 и не выполнена 1 мера защиты, то имеем: =8, =81,3%, = 2. Заполнив два последних столбца таблицы, эксперт (аудитор) получает полную картину для вынесения суждения (заключения) о соответствии рассматриваемой АСУ ТП требованиям Приказа ФСТЭК № 31 к обеспечению защиты информации. Помимо групповых оценок - показателей и , (i = 1; 2 … 21), можно вычислить также интегральные оценки выполнения (полностью или частично) требований по защите информации, характеризующие среднее значение групповых показателей () и разброс значений групповых показателей ( и ): Рис. 3. Диаграмма групповых показателей использования мер защиты информации ( ; ) На рис. 3 приведен пример диаграммы, показывающей значения всех 21 групповых показателей и для некоторой АСУ ТП. Таблица 1. Исследование мер защиты информации Номер группы мер i Группы мер защиты информации Число мер защиты () Показатель , % Показатель 1 Идентификация и аутентификация субъектов доступа и объектов доступа 8 2 Управление доступом субъектов доступа к объектам доступа 18 3 Ограничение программной среды 5 4 Защита машинных носителей информации 9 5 Регистрация событий безопасности 9 6 Антивирусная защита 3 7 Обнаружение вторжений 3 8 Контроль (анализ) защищенности информации 6 9 Обеспечение целостности 9 10 Обеспечение доступности 8 11 Защита среды виртуализации 11 12 Защита технических средств 6 13 Защита автоматизированной системы и ее компонентов 31 14 Обеспечение безопасной разработки программного обеспечения 7 15 Управление обновлениями программного обеспечения 4 16 Планирование мероприятий по обновлению защиты информации 4 17 Обеспечение действий в нештатных (непредвиденных) ситуациях 6 18 Информирование и обучение персонала 4 19 Анализ угроз безопасности информации и рисков от их реализации 4 20 Выявление инцидентов и реагирование на них 7 21 Управление конфигурацией автоматизированной системы управления и ее системы защиты 6 Пример Как видно из рис. 3, по ряду позиций (группы 1, 2, 6, 16, 18-20) имеет место выполнение (полное или частичное) требований по защите информации, наименьшие значения групповых показателей выполняются по третьей, пятой, восьмой, одиннадцатой, двенадцатой и четырнадцатой группах мер защиты. Наибольший «всплеск» абсолютных значений показателя достигается в тринадцатой группе мер (), что в значительной степени объясняется большим количеством защитных мер (), предусмотренных в этой группе. Среднее значение групповых показателей в данном случае принимает значение , что говорит о достаточно высоком уровне соответствия АСУ ТП требованиям ФСТЭК по защите информации. Минимальное и максимальное значения групповых показателей использования защитных мер составляют соответственно и . Для более полного выполнения требований ФСТЭК необходимо внедрение дополнительных мер защиты из базового набора (ранее не реализованных), обеспечивая в первую очередь увеличение тех групповых показателей, которые принимают наименьшие значения (то есть , , , , , ). Очевидно, что выбор указанных дополнительных мер должен приводить к сокращению числа частных показателей внутри перечисленных групп, принимающих значения 0 и 0,5. Заключение Предложен подход к комплексной оценке выполнения системы требований по обеспечению защиты информации в АСУ ТП, установленных Приказом ФСТЭК России № 31 от 14.03.2014. Показано, что использование механизма логического вывода, а также частных и групповых показателей полноты использования базовых мер защиты информации позволяет формализовать процедуру экспертной оценки уровня значимости (критичности) обрабатываемой информации и класса защищенности АСУ ТП, выявить слабые места защиты, более обоснованно подойти к выбору состава организационных и технических мер защиты информации в соответствии с требованиями ФСТЭК России.
×

About the authors

Vladimir Ivanovich Vasilyev

Ufa State Aviation Technical University

Email: vasilyev@ugatu.ac.ru

Aleksey Mikhailovich Vulfin

Ufa State Aviation Technical University

Email: vulfin.alexey@gmail.com

Murat Bakeevich Guzairov

Ufa State Aviation Technical University

Email: guzairov@ugatu.su

Anastasia Dmitrievna Kirillova

Ufa State Aviation Technical University

Email: kirillova.andm@gmail.com

References

  1. Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2016 г. URL: https://ics-cert.kaspersky.ru/reports/2017 /03/28/threat-landscape-for-industrial-automa-tion-systems-in-the-second-half-of-2016/ (д.о. 17.07.2017).
  2. Зинина О. Анализ угроз информационной безопасности 2016-2017. URL: https://www.anti-malware.ru/analytics/Threats _Analysis/Analysis_information_security_threats_2016_2017 (д.о. 17.07.2017).
  3. WannaCry в промышленных сетях: работа над ошибками. URL: https://ics-cert.kaspersky.ru/reports/2017/06/08/wannacry-in-industrial-networks/ (д.о. 17.07.2017).
  4. European Programme for Critical Infrastructure Protection. URL: https://ec.europa.eu/energy /en/topics/infrastructure/protection_critical_infrastructure (д.о. 20.08.2017).
  5. ICS456: Essentials for NERC Critical Infrastructure Protection. URL: https://www.sans. org/course/essentials-for-nerc-critical-infrast-ructure-protection (д.о. 20.08.2017).
  6. ISA/IEC 62443 Industrial Automation and Control Systems Security. URL: https://www.isa.org/isa99 (д.о. 20.08.2017).
  7. NIST SP 800-82 Guide to Industrial Control Systems Security. URL: http://csrc.nist.gov/ publications/nistpubs/800-82/SP800-82-final. pdf (д.о. 20.08.2017).
  8. Об утверждении «Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды». Приказ ФСТЭК России №31 от 14.03.2014. // Российская газета, 2014.
  9. Защита АСУ ТП в России: исследуем новые требования ФСТЭК / Сопоставление требований ФСТЭК от 14 марта 2014 г. №31 с требованиями международных стандартов. URL: https://ptsecurity.com/upload/corporate /ru/download/FSTEC_N31_NERK_NIST_ISA_IEC.pdf (д.о. 17.07.2017).
  10. Зак Ю.А. Принятие решений в условиях нечетких и размытых данных: Fuzzy-технологии. М.: Книжный дом «ЛИБРОКОМ», 2013. - 352 с.

Statistics

Views

Abstract: 89

PDF (Russian): 14

Dimensions

Article Metrics

Metrics Loading ...

PlumX


Copyright (c) 2017 Vasilyev V.I., Vulfin A.M., Guzairov M.B., Kirillova A.D.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies