Защищенный комплект программ «PLATO RT» – реализация базовых требований информационной безопасности АСУ КВО
Портал «Мир компьютерной автоматизации»
В статье описывается разработанный АО «РТСофт» «Защищённый комплект программ «PLATO RT» (СЗИ ЗКП «PLATO RT»), реализованной с применением оригинальных отечественных технологий организации доверенного информационного взаимодействия процессов и групп пользователей автоматизированных систем управления критически важных объектов (АСУ КВО). В основе реализованного АО «РТСофт» подхода лежит гарантированная на уровне вычислительной архитектуры изоляция критически важных данных и процессов их обработки от деструктивного воздействия со стороны недоверенного программного обеспечения отечественного и зарубежного производства, а также потенциально вредоносных субъектов – информационных террористов, привилегированных пользователей и т. п. Предлагаемое программно-аппаратное решение может встраиваться в существующую на предприятии вычислительную инфраструктуру или функционировать в отдельном (скрытом) сегменте сети.
1. Актуальность
Как показывают результаты анализа ряда известных инцидентов, строить системы защиты для вычислительных сетей объектов критической информационной инфраструктуры на базе стандартных (типовых/шаблонных) решений на сегодняшний день недостаточно эффективно.
В этой связи 27 января 2017 года Госдума РФ приняла в первом чтении пакет правительственных законопроектов, которые касаются защиты критической информационной инфраструктуры РФ. По определению законодателей, объекты критической информационной инфраструктуры (КИИ) являются особым защищаемым классом, включающим информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в сфере специальных применений, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности и химической промышленности.
В свою очередь, в действующих руководящих документах ФСТЭК РФ рассматриваются так называемые «ключевые системы информационной инфраструктуры» (КСИИ), под которыми понимаются:
– системы органов государственной власти и органов местного самоуправления;
– системы финансово-кредитной и банковской деятельности;
– системы предупреждения и ликвидации кризисных и чрезвычайных ситуаций;
– географические и навигационные системы;
– программно-технические комплексы центров управления взаимоувязанной сети связи России;
– сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
– системы специального назначения;
– спутниковые системы, используемые для обеспечения органов управления и в специальных целях;
– системы управления добычей и транспортировкой нефти, нефтепродуктов и газа;
– системы управления водоснабжением;
– системы управления энергоснабжением.
Как видим, области определения понятий КИИ и КСИИ в значительной степени совпадают, что позволяет применить к объектам КИИ (в части АСУ технологическими процессами) положения, содержащиеся в Приказе № 31 от 14 марта 2014 г. ФСТЭК РФ «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (далее по тексту – Приказ № 31 ФСТЭК РФ) и в Информационном сообщении от 25 июля 2014 г. № 240/22/2748 «По вопросам обеспе- чения безопасности информации в ключевых системах информационной инфраструктуры…».
В рамках дальнейшего рассмотрения, автоматизированные системы управления всеми вышеперечисленными объектами будем обозначать аббревиатурой АСУ КВО (АСУ критически важных объектов), рассматривая положения Приказа 31 ФСТЭК РФ в качестве единого набора требований по их защите от угроз информационной безопасности.
2. Основные сведения
АО «РТСофт» является разработчиком и правообладателем сертифицируемой системы защиты изделия ЛКЖТ.ПП.50 1410-01 «Защищённый комплект программ «PLATO RT» (СЗИ ЗКП PLATO RT), реализованной с применением оригинальных отечественных технологий организации доверенного информационного взаимодействия процессов и групп пользователей АСУ КВО. В основе реализованного АО «РТСофт» подхода лежит гарантированная на уровне вычислительной архитектуры изоляция критически важных данных и процессов их обработки от деструктивного воздействия со стороны недоверенного программного обеспечения отечественного и зарубежного производства, а также потенциально вредоносных субъектов – внутренних нарушителей особых категорий: информационных террористов, привилегированных пользователей (системные администраторы, администраторы обеспечения безопасности информации, VIP-сотрудники), в отношении которых общепринятый набор организационно-технических мероприятий по вскрытию и нейтрализации, как правило, недостаточен.
Предлагаемое АО «РТСофт» программно-аппаратное решение может встраиваться в существующую на предприятии заказчика вычисли- тельную инфраструктуру или функционировать в отдельном (скрытом) сегменте сети.
Всё используемое программное обеспечение является отечественным, доверенным и защищённым, в его составе отсутствуют неавторизованные заимствованные фрагменты программного кода отечественных или зарубежных разработчиков.
Дополнительным свойством продукта является возможность реализации на объектах заказчика консолидированной обработки сведений как открытого, так и ограниченного доступа с организацией взаимодействия изолированных информационных контуров (сегментов ЛВС), предназначенных для хранения и обработки данных различных уровней конфиденциальности, посредством включения СЗИ ЗКП «PLATO RT» в состав изделия ОКЦ «ПЛАТАН-РТ» [1].
В целом продукт применяется для построения высоконадёжных, гарантированно защищённых сегментов критически важных систем, оснащаемых нижеперечисленными (встраиваемыми) компонентами СЗИ:
– программным комплексом обеспечения безопасности информации (ПК ОБИ);
– программным комплексом функционального контроля (ПК ФК);
– программными интерфейсами (API) взаимодействия с подсистемами СЗИ ЗКП «PLATO RT» (управление доступом, регистрация и учёт, обеспечение целостности, технологическое преобразование информации);
– подсистемой хранения данных;
– общесистемным программным обеспечением (ОСПО) – доверенной программной средой функционирования СЗИ, организуемой с использованием Инструментального комплекта средств интеграции БИГЕ.466451.099-01 (далее ИКСИ) и встроенного защищённого гипервизора безопасности HyperON БИГЕ.99001-01.
Сертифицируемая в настоящее время (по состоянию на 15.05.2017г.) версия СЗИ для обработки сведений уровня не выше «конфиденциально» функционирует под управлением нижеперечисленных операционных систем: – Microsoft Windows Server 2008 R2 x64, Microsoft Windows Server 2012 x64 – для серверов; – Microsoft Windows 7x32, Microsoft Windows 7x64, Microsoft Windows 8x32, Microsoft Windows 8x64 – для клиентских рабочих мест.
Рекомендуемые характеристики аппаратных средств, при которых будет обеспечена комфортная работа пользователей и приемлемое время реакции системы на запросы, составляют:
1. Для ПВЭМ клиентских рабочих мест пользователей:
– процессор: Intel core i5(i7) с поддержкой VT и VMX;
– ОЗУ: не менее 4 Гбайт;
– 2 сетевых карты, одна из которых технологический тракт – карта с чипсетами Rtl 8169 (для карт PCI могут использоваться модели TP Link TG3269, D-Link DGE-530T или их аналоги), Rtl 8168E (для карт PCI-Express могут использоваться модели TP Link TG3468, D-Link DGE-560T или их аналоги). При установке и настройке платы, в качестве поставщика драйвера должен выступать её производитель;
– 2 HD-диска, один из которых технологический тракт с интерфейсом SATA 2 (не менее 500 Мбит);
– базовая ОС (64 бит) MS Windows 7/8.
2. Для Серверов:
– процессор: двухъядерный Intel/AMD с тактовой частотой не менее 2,6 ГГц, кэш не менее 4 Mбайт, с поддержкой VT и VMX;
– оперативная память: не менее 8 Гбайт PC-6400;
– 2 сетевых карты, одна из которых – технологический тракт, с требованиями, аналогичными предъявляемым к клиентским рабочим местам (см. п. 1 выше).
3. Ключевые преимущества
3.1. Как указывалось выше, СЗИ ЗКП «PLATO RT» построена только из авторизованных компонентов отечественной разработки, для обеспечения гарантий его последующего беспрепятственного применения в составе АСУ ТП КВО, обрабатывающих информацию ограниченного доступа.
3.2. СЗИ ЗКП «PLATO RT» обеспечивает двухслойную (внешнюю и внутреннюю) изоляцию защищаемых баз данных и процессов автоматизированной обработки посредством применения уникальной технологии «встраиваемых периметров защиты».
3.3. СЗИ ЗКП «PLATO RT» обеспечивает гарантируемый (на уровне архитектуры) перехват и нейтрализацию угроз со стороны всех, в том числе привилегированных, категорий пользователей (VIP-сотрудник, системный администратор, администратор ОБИ).
3.4. СЗИ ЗКП «PLATO RT» предусматривает организацию на каждой вычислительной установке скрытой от базовой ОС и недоступной для администратора защищённой области хранения данных, дополненной средствами объективной регистрации и автоматической обработки возникающих инцидентов безопасности. Данный механизм исключает сокрытие последствий несанкционированных действий пользователя любой категории, при этом защищённые средства удалённого контроля блокируют работу вычислительной установки до устранения причин возникновения инцидента.
3.5. СЗИ ЗКП «PLATO RT» использует двух- контурную схему мониторинга и управления состоянием узлов ЛВС объекта, с реализацией в независимом контуре (так называемом «технологическом тракте») функций контроля целостности и доступности объектов защиты нижеперечисленных классов:
– сегментов вычислительной инфраструктуры (нижний уровень);
– технологических и бизнес-процессов (верхний уровень).
Для передачи управляющих воздействий при этом могут использоваться оба контура (информационный и технологический тракты).
3.6. На нижнем уровне управления изделие обеспечивает отображение и контроль текущего функционального состояния всех элементов распределённой гетерогенной (неоднородной) вычислительной инфраструктуры заказчика, включающей доступность:
– вычислительных установок – узлов ЛВС объекта применения;
– линий/каналов/направлений связи;
– интерфейсов доступа к услугам передачи, хранения и прикладной обработки данных;
– прикладных и общесистемных (доверенных) процессов обработки данных.
3.7. На верхнем уровне управления распределённой вычислительной инфраструктурой изделие реализует событийно-ориентированный механизм контроля хода и результатов выполнения регламентных процессов решения критически важных задач с использованием автоматических/автоматизированных режимов запуска сценариев обработки (так называемых «реакторов») при возникновении нештатных ситуаций.
3.8. Для хранения эталонных конфигураций и текущего состояния контролируемых узлов, а также сценариев обработки используется встроенная подсистема хранения данных ИКСИ, реализующая функции специализированной файловой системы на основе API-интерфейсов многомерной темпоральной СУБД. Эксклюзивность решения достигается вклю- чением возможностей экстренного уничтожения и технологического закрытия (преобразования) критически важных («чувствительных») данных пользователей-клиентов в online-режиме.
3.9. На уровне архитектуры изделия реализовано требование Приказа № 31 ФСТЭК РФ о разделении функций по управлению функционированием (администрированию) автоматизированной системы и управлению (администрированию) системой защиты.
Соответствие функциональных возможностей СЗИ ЗКП «PLATO RT» базовым наборам мероприятий по защите информации АСУ КВО приведено в табл. 1.
Табл. 1. Соответствие функциональных возможностей СЗИ ЗКП «PLATO RT» базовым наборам мероприятий по защите информации АСУ КВО (Приказ №31 2014г. ФСТЭК РФ)
Наименование мероприятий по защите информации | Оргтехмероприятия | СЗИ ЗКП | Примечание |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
Разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ |
|
Идентификация и аутентификация пользователей, являющихся работниками оператора |
| ПК ОБИ |
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
| ИКСИ ПК ОБИ |
|
Управление идентификаторами, в том числе создание, присвоение, изменение, уничтожение идентификаторов |
| ИКСИ ПК ОБИ |
|
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
Да |
Нет |
|
Исключение отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых символов (защита обратной связи при вводе аутентификационной информации) |
Да |
Нет |
|
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
|
ИКСИ (компонент «CAPI»)
|
|
Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа |
| ПК ОБИ ПК ФК | Требование не входит в базовый набор мероприятий по ЗИ |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||
Разработка правил и процедур (политик) управления доступом субъектов доступа к объектам доступа |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ |
|
Управление (заведение, активация, блокирование и уничтожение) учётными записями пользователей, в том числе внешних |
|
ПК ОБИ |
|
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
|
ПК ОБИ |
|
Управление (экранирование, фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами автоматизированной системы управления, а также между автоматизированными системами управления |
|
ИКСИ (компонент «CAPI»)
|
|
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование автоматизированной системы управления |
|
ПК ОБИ
|
|
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование автоматизированной системы управления |
|
ПК ОБИ ПК ФК |
|
Ограничение неуспешных попыток входа в автоматизированную систему управления (доступа к системе) |
|
ПК ОБИ |
|
Предупреждение пользователя при его входе в автоматизированную систему управления о том, что в ней реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации |
Нет |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Оповещение пользователя после успешного входа в автоматизированную систему управления о его предыдущем входе в автоматизированную систему управления |
Нет |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Ограничение числа параллельных сеансов доступа для каждой учётной записи пользователя автоматизированной системы управления |
|
ИКСИ |
Требование не входит в базовый набор мероприятий по ЗИ |
Блокирование сеанса доступа в автоматизированную систему управления после установленного времени бездействия (неактивности) пользователя или по его запросу |
|
HyperON |
Требование не входит в базовый набор мероприятий по ЗИ |
Разрешение (запрет) действий пользователей, разрешённых до идентификации и аутентификации |
|
ПК ОБИ |
|
Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе её хранения и обработки |
|
ПК «Подсистема хранения данных» |
Требование не входит в базовый набор мероприятий по ЗИ |
Реализация защищённого удалённого доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
|
ИКСИ |
|
Регламентация и контроль использования в автоматизированной системе управления технологий беспроводного доступа |
Да |
Нет |
|
Регламентация и контроль использования в автоматизированной системе управления мобильных технических средств |
Да |
Нет |
|
Управление взаимодействием с автоматизированными (информационными) системами сторонних организаций (внешние системы) |
|
ИКСИ |
|
Обеспечение доверенной загрузки средств вычислительной техники |
|
HyperON | Требование не входит в базовый набор мероприятий по ЗИ |
III. Ограничение программной среды (ОПС) | |||
Разработка правил и процедур (политик) ограничения программной среды |
| ИКСИ ПК ОБИ ПК ФК |
|
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| ИКСИ HyperON
| Требование относится только к АСУ ПТП КВО 1 кл. |
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| ИКСИ ПК ФК | Реализуется посредством сценариев ЗКП «PLATO RT»
|
Установка (инсталляция) только разрешённого к использованию программного обеспечения и (или) его компонентов |
| ИКСИ HyperON
|
|
Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
|
ИКСИ |
Требование не входит в базовый набор мероприятий по ЗИ |
IV. Защита машинных носителей информации (ЗНИ) | |||
Разработка правил и процедур (политик) защиты машинных носителей |
| ИКСИ (СЭД-компонент «Ъ») |
|
Учёт машинных носителей информации | Да | Нет |
|
Управление доступом к машинным носителям информации | Да | Нет |
|
Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
Да |
Нет | Требование не входит в базовый набор мероприятий по ЗИ |
Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных автоматизированных системах управления |
Да |
Нет | Требование не входит в базовый набор мероприятий по ЗИ |
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
| ИКСИ HyperON |
|
Контроль ввода (вывода) информации на машинные носители информации |
| Нет | Требование относится только к АСУ ПТП КВО 1кл. |
Контроль подключения машинных носителей информации |
| ИКСИ HyperON |
|
Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
Нет |
Нет | Требование не входит в базовый набор мероприятий по ЗИ |
V. Регистрация событий безопасности (РСБ) | |||
Разработка правил и процедур (политик) регистрации событий безопасности |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК |
|
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| ПК ОБИ ПК ФК |
|
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| ПК ОБИ ПК ФК |
|
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| ИКСИ HyperON ПК «Подсистема хранения данных» |
|
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объёма (ёмкости) памяти |
| ИКСИ ПК ФК | Реализуется посредством сценариев ЗКП “PLATO RT”
|
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| ПК ОБИ ПК ФК |
|
Генерирование временных меток и (или) синхронизация системного времени в автоматизированной системе управления |
Нет |
Нет |
|
Защита информации о событиях безопасности |
| ПК «Подсистема хранения данных»
|
|
Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей |
| ПК ОБИ ПК ФК | Требование не входит в базовый набор мероприятий по ЗИ |
VI. Антивирусная защита (АВЗ) | |||
Разработка правил и процедур (политик) антивирусной защиты | Да | Нет |
|
Реализация антивирусной защиты | Нет | Нет | Требуются внешние сертификационные средства |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | Да | Нет |
|
VII. Обнаружение вторжений (СОВ) | |||
Разработка правил и процедур (политик) обнаружения вторжений | Да | Нет | Требование относится только к АСУ ПТП КВО 1кл. |
Обнаружение вторжений |
|
Нет | Требуются внешние сертификационные средства Требование относится только к АСУ ПТП КВО 1кл. |
Обновление базы решающих правил | Да | Нет | Требование относится только к АСУ ПТП КВО 1кл. |
VIII. Контроль (анализ) защищённости информации (АНЗ) | |||
Разработка правил и процедур (политик) контроля (анализа) защищённости |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК |
|
Выявление, анализ уязвимостей и оперативное устранение вновь выявленных уязвимостей |
| Нет |
|
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| ПК ФК |
|
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| ИКСИ HyperON ПК ФК |
|
Контроль состава технических средств, программного обеспечения и средств защиты информации |
| ИКСИ HyperON ПК ФК |
|
Контроль правил генерации и смены паролей пользователей, заведения и удаления учётных записей пользователей, реализации правил разграничения доступа, полномочий пользователей |
|
ПК ОБИ |
|
IX. Обеспечение целостности (ОЦЛ) | |||
Разработка правил и процедур (политик) обеспечения целостности |
| HyperON ПК ФК ПК ОБИ |
|
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| HyperON ПК ФК |
|
Контроль целостности информации, содержащейся в базах данных | Да | Нет | Требование не входит в базовый набор мероприятий по ЗИ |
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
|
ПК ОБИ ПК ФК |
|
Обнаружение и реагирование на поступление в автоматизированную систему управления незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к её функционированию (защита от спама) |
Нет |
Нет | Требуются внешние сертификационные средства Требование не входит в базовый набор мероприятий по ЗИ |
Контроль содержания информации, передаваемой из автоматизированной системы управления (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещённой к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации |
|
ИКСИ |
Контейнеры ИКСИ содержат описание свойств вложенных объектов, сигнатурный анализ вложений – не реализован (ограничения безопасности) |
Ограничение прав пользователей по вводу информации в автоматизированную систему управления |
|
ИКСИ | Требование относится только к АСУ ПТП КВО 1кл. |
Контроль точности, полноты и правильности данных, вводимых в автоматизированную систему управления | Да | Нет |
|
Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | Да | Нет |
|
X. Обеспечение доступности (ОДТ) | |||
Разработка правил и процедур (политик) обеспечения доступности |
| ПК ФК |
|
Использование отказоустойчивых технических средств | Да | Нет |
|
Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования системы |
Нет |
Нет | Требуются внешние сертификационные средства |
Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
Да |
Нет |
|
Периодическое резервное копирование информации на резервные машинные носители информации |
| ИКСИ ПК ФК |
|
Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
| ИКСИ ПК ФК |
|
Кластеризация автоматизированной системы управления и (или) её сегментов |
| ИКСИ ПК ФК ПК ОБИ |
|
Контроль состояния и качества предоставления поставщиком телекоммуникационных услуг вычислительных ресурсов (мощностей), в том числе по передаче информации |
|
Нет |
|
XI. Защита среды виртуализации (ЗСВ) | |||
Разработка правил и процедур (политик) защиты среды виртуализации |
| HyperON |
|
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
|
HyperON ПК ОБИ |
|
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
|
HyperON ПК ОБИ |
|
Регистрация событий безопасности в виртуальной инфраструктуре |
| HyperON ПК ФК |
|
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
|
ИКСИ ПК ОБИ ПК ФК |
|
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией |
|
HyperON
|
|
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | Да | Нет |
|
Контроль целостности виртуальной инфраструктуры и её конфигураций |
| HyperON ПК ФК ПК «Подсистема хранения данных» |
|
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
Да |
Нет | Требование относится только к АСУ ПТП КВО 1кл. |
Реализация и управление антивирусной защитой в виртуальной инфраструктуре | Да | Нет | Требуются внешние сертификационные средства |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
Да |
Нет |
|
XII. Защита технических средств (ЗТС) | |||
Разработка правил и процедур (политик) защиты технических средств |
| ПК ОБИ ПК ФК |
|
Защита информации, обрабатываемой техническими средствами, от её утечки по техническим каналам | Нет | Нет | Требуются внешние сертификационные средства Требование не входит в базовый набор мероприятий по ЗИ |
Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, исполнительные устройства и средства защиты информации, а также средства обеспечения функционирования |
Да |
Нет |
|
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ |
Да |
Нет |
Требуются внешние сертификационные средства |
Размещение устройств вывода (отображения) информации, исключающее её несанкционированный просмотр |
Да |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ
|
Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
Да |
Нет |
|
XIII. Защита автоматизированной системы и её компонентов (ЗИС) | |||
Разработка правил и процедур (политик) защиты автоматизированной системы и её компонентов |
| ПК ОБИ ПК ФК |
|
Разделение функций по управлению (администрированию) автоматизированной системой управления, управлению (администрированию) системой защиты, функций по обработке информации и иных функций автоматизированной системы управления |
|
ПК ОБИ ПК ФК HyperON
|
|
Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом |
Нет |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при её передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
|
ИКСИ |
Реализовано, за исключением защиты информации при передаче по беспроводным каналам связи |
Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) |
| ИКСИ HyperON
| Требование не входит в базовый набор мероприятий по ЗИ |
Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
Нет |
Нет |
Термин «технология мобильного кода» требует дополнительного уточнения |
Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
Да |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации |
Да |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
|
ИКСИ | Требование не входит в базовый набор мероприятий по ЗИ |
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| ИКСИ HyperON
|
|
Исключение возможности отрицания пользователем факта отправки информации другому пользователю |
| ИКСИ HyperON | Требование не входит в базовый набор мероприятий по ЗИ |
Исключение возможности отрицания пользователем факта получения информации от другого пользователя |
| ИКСИ HyperON | Требование не входит в базовый набор мероприятий по ЗИ |
Использование устройств терминального доступа для обработки информации |
| ИКСИ
| Требование не входит в базовый набор мероприятий по ЗИ |
Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| HyperON ПК «Подсистема хранения данных» |
|
Выявление, анализ и блокирование скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешённых сетевых протоколов |
|
Нет | Требование не входит в базовый набор мероприятий по ЗИ |
Разбиение автоматизированной системы управления на сегменты (сегментирование) и обеспечение защиты периметров сегментов |
|
ИКСИ ПК ОБИ |
|
Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения |
|
HyperON ПК ФК |
Требование не входит в базовый набор мероприятий по ЗИ |
Изоляция процессов (выполнение программ) в выделенной области памяти |
| ИКСИ HyperON | Реализовано только для процессов в составе КСЗ Требование не входит в базовый набор мероприятий по ЗИ |
Защита беспроводных соединений, применяемых в автоматизированной системе управления | Нет | Нет | Требуются внешние сертификационные средства |
Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы |
|
ИКСИ ПК ОБИ |
Требование не входит в базовый набор мероприятий по ЗИ |
Защита автоматизированной системы управления от угроз безопасности информации, направленных на отказ в обслуживании |
Да |
Нет |
|
Защита периметра (физических и (или) логических границ) автоматизированной системы управления при её взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями |
|
ИКСИ ПК ОБИ |
|
Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения |
Нет |
Нет | Требуются внешние сертификационные средства Требование не входит в базовый набор мероприятий по ЗИ |
Использование в автоматизированной системе управления различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) |
|
ИКСИ HyperON
|
Требование не входит в базовый набор мероприятий по ЗИ |
Использование прикладного (специального) программного обеспечения, имеющего возможность функционирования в средах различных операционных систем |
|
ИКСИ HyperON |
Требование не входит в базовый набор мероприятий по ЗИ |
Создание (эмуляция) ложных компонентов автоматизированной системы управления, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации |
Нет |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Воспроизведение ложных и (или) скрытие истинных отдельных технологий и (или) структурно-функциональных характеристик автоматизированной системы управления или её сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных технологиях и (или) структурно-функциональных характеристиках |
Нет |
Нет |
Требование не входит в базовый набор мероприятий по ЗИ |
Перевод автоматизированной системы или её устройств (компонентов) в заранее определённую конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) |
|
ИКСИ HyperON
|
Требование не входит в базовый набор мероприятий по ЗИ |
Защита мобильных технических средств, применяемых в автоматизированной системе управления | Да | Нет | Требуются внешние сертификационные средства |
XIV. Обеспечение безопасной разработки программного обеспечения (ОБР) | |||
Разработка правил и процедур (политик) обеспечения безопасной разработки программного обеспечения |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ |
|
Анализ уязвимостей и угроз безопасности информации в ходе разработки программного обеспечения | Нет | Нет | Требуются внешние сертификационные средства |
Статический анализ кода программного обеспечения в ходе разработки программного обеспечения | Нет | Нет | Требуются внешние сертификационные средства |
Ручной анализ кода программного обеспечения в ходе разработки программного обеспечения | Нет | Нет | Требование не входит в базовый набор мероприятий по ЗИ |
Тестирование на проникновение в ходе разработки программного обеспечения | Нет | Нет | Требуются внешние сертификационные средства |
Динамический анализ кода программного обеспечения в ходе разработки программного обеспечения | Нет | Нет | Требуются внешние сертификационные средства |
Документирование процедур обеспечения безопасной разработки программного обеспечения разработчиком и представление их заказчику (оператору) |
| ИКСИ (СЭД-компонент «Ъ») |
|
XV. Управление обновлениями программного обеспечения (ОПО) | |||
Разработка правил и процедур (политик) управления обновлениями программного обеспечения (включая получение, проверку и установку обновлений) |
| ИКСИ (СЭД-компонент «Ъ») ПК ФК |
|
Получение обновлений программного обеспечения от разработчика или уполномоченного им лица | Да | Нет |
|
Тестирование обновлений программного обеспечения до его установки на макете или в тестовой зоне | Да | Нет |
|
Централизованная установка обновлений программного обеспечения |
| ПК ФК
| Реализуется посредством сценариев ЗКП «PLATO RT» Требование не входит в базовый набор мероприятий по ЗИ |
XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН) | |||
Разработка правил и процедур (политик) планирования мероприятий по обеспечению защиты информации |
| ИКСИ (СЭД-компонент «Ъ») |
|
Определение лиц, ответственных за планирование, реализацию и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления |
| ИКСИ (СЭД-компонент «Ъ») |
|
Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированных системах управления |
| ИКСИ (СЭД-компонент «Ъ») |
|
Контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утверждённым планом |
| ИКСИ (СЭД-компонент «Ъ») |
|
XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС) | |||
Разработка правил и процедур (политик) обеспечения действий в нештатных (непредвиденных) ситуациях |
| ИКСИ (СЭД-компонент «Ъ») ПК ФК |
|
Разработка плана действий на случай возникновения нештатных (непредвиденных) ситуаций |
| ИКСИ (СЭД-компонент «Ъ») |
|
Обучение и отработка действий персонала в случае возникновения нештатных (непредвиденных) ситуаций | Да | Нет |
|
Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций | Да | Нет |
|
Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления на случай возникновения нештатных (непредвиденных) ситуаций |
| ПК ФК
| Реализуется посредством сценариев ЗКП «PLATO RT» (только в части ПО и ИО) |
Обеспечение возможности восстановления автоматизированной системы управления и (или) её компонентов в случае возникновения нештатных (непредвиденных) ситуаций |
| ПК ФК
| Реализуется посредством сценариев ЗКП «PLATO RT» (только в части ПО и ИО) |
XVIII. Информирование и обучение персонала (ИПО) | |||
Разработка правил и процедур (политик) информирования и обучения персонала |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК | Реализуется с использованием стендовой базы УЦ ЗАО «РТСофт» |
Информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК | Реализуется с использованием стендовой базы УЦ ЗАО «РТСофт» |
Обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК | Реализуется с использованием стендовой базы УЦ ЗАО «РТСофт» |
Проведение практических занятий с персоналом по правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК | Реализуется с использованием стендовой базы УЦ ЗАО «РТСофт» |
XIX. Анализ угроз безопасности информации и рисков от их реализации (УБИ) | |||
Разработка правил и процедур (политик) анализа угроз безопасности информации и рисков от их реализации |
| ИКСИ (СЭД-компонент «Ъ», экспресс-анализатор ALBA) |
|
Периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации автоматизированной системы управления |
| ИКСИ (СЭД-компонент «Ъ», экспресс-анализатор ALBA) |
|
Периодическая переоценка последствий от реализации угроз безопасности информации (анализ риска) |
| ИКСИ (СЭД-компонент «Ъ», экспресс-анализатор ALBA) |
|
XX. Выявление инцидентов и реагирование на них (ИНЦ) | |||
Разработка правил и процедур (политик) выявления инцидентов и реагирования на них |
| ИКСИ (СЭД-компонент «Ъ») ПК ОБИ ПК ФК |
|
Определение лиц, ответственных за выявление инцидентов и реагирование на них |
| Нет |
|
Обнаружение, идентификация и регистрация инцидентов |
| ПК ОБИ ПК ФК |
|
Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов |
| ИКСИ (СЭД-компонент «Ъ»)
|
|
Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий |
| ИКСИ (СЭД-компонент «Ъ», экспресс-анализатор ALBA) |
|
Принятие мер по устранению последствий инцидентов |
| ИКСИ (СЭД-компонент «Ъ») |
|
Планирование и принятие мер по предотвращению повторного возникновения инцидентов |
| ИКСИ (СЭД-компонент «Ъ») |
|
XXI. Управление конфигурацией автоматизированной системы управления и её системы защиты (УКФ) | |||
Разработка правил и процедур (политик) управления конфигурацией автоматизированной системы управления и её системы защиты |
| ИКСИ (СЭД-компонент «Ъ») ПК ФК |
|
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию автоматизированной системы управления и её системы защиты |
| Нет |
|
Управление изменениями конфигурации автоматизированной системы управления и её системы защиты |
| ИКСИ (СЭД-компонент «Ъ») ПК ФК | Реализуется посредством сценариев ЗКП «PLATO RT» (только в части ПО и ИО) |
Анализ потенциального воздействия планируемых изменений в конфигурации автоматизированной системы управления и системы защиты на обеспечение защиты информации и согласование изменений в конфигурации автоматизированной системы управления с должностным лицом (работником), ответственным за обеспечение безопасности автоматизированной системы управления |
| ИКСИ (СЭД-компонент «Ъ», экспресс-анализатор ALBA) |
|
Документирование информации (данных) об изменениях в конфигурации автоматизированной системы управления и её системы защиты |
| ИКСИ (СЭД-компонент «Ъ») ПК ФК ПК «Подсистема хранения данных» |
|
Регламентация и контроль технического обслуживания, в том числе дистанционного (удалённого), технических средств и программного обеспечения автоматизированной системы управления |
| ИКСИ ПК ФК
| Реализуется посредством сценариев ЗКП «PLATO RT» (только в части ПО и ИО) |
ВСЕГО требований(мероприятий): 167 |
| Реализовано в СЗИ ЗКП «PLATO RT» – 106 (63%) |
|
Как видно из табл. 1, всего в составе продукта программно-техническими средствами реализовано 106 требований (63%) из 167, содержащихся в базовом наборе мероприятий, определённых Приказом №31 2014 г. ФСТЭК РФ. Предполагается, что оставшаяся часть требований подлежит реализации посредством разработки и применения комплекса организационно-технических мероприятий, а также (при необходимости) привлечения дополнительных сертифицированных средств защиты.
4. Что дает применение продукта различным категориям пользователей
Для категории I (руководство предприятия/организации):
– бескомпроматность хранения и передачи критической информации АСУ ТП, реализацию организационно-распорядительных функций, доверенный (защищённый) обмен документами, вскрытие вредоносной активности и гарантированную (на уровне архитектуры) объективную регистрацию инцидентов безопасности;
– организацию дополнительного (встроенного) информационного контура, гаранти- рованно защищённого как от внешних угроз (в лице любознательных искателей брешей в программном обеспечении и нечистых на руку взломщиков), так и от внутренних – в лице инсайдеров, к которым можно отнести привилегированных сотрудников, системных администраторов, администратора ОБИ.
Для категории II (диспетчерская служба объекта автоматизации):
– минимизацию количества ручных операций по авторизации в распределённой системе сбора и обработки данных, запуску/ завершению технологических (регламентных) процессов, подготовке и рассылке итоговых отчётных данных (документов) о работе системы, реализации организационно-распорядительных функций.
Для категории III (специалисты подразделений автоматизации):
– оптимизацию ресурсов (прежде всего временных) на реализацию полнофункционального объективного контроля текущего состояния и сопровождение территориально-распределённого вычислительного процесса в АСУ ТП КВО (контроль целостности технических и программных средств, смена версий, оперативность локализации сбоев/отказов и их устранения).
Для категории IV (специалисты по ИБ / администраторы ОБИ):
– обеспечение службы ИБ сертифицированными (РД ФСТЭК) средствами,
– исключение каналов утечки критической информации,
– разделение трактов управления функциональной и информационной безопасностью,
– гарантированное обнаружение и проактивную нейтрализацию угроз, регламентированных моделью нарушителя (в том числе – инсайдерских угроз).
В табл. 2 содержится перечень 30-ти основных функциональных возможностей СЗИ ЗКП «PLATO RT», ориентированных на соответствующие категории пользователей (отмечены знаком +).
Табл. 2. Привязка функциональных возможностей СЗИ изделия ЗКП ««PLATO RT» к различным категориям пользователей АСУ ТП КВО
Наименование функциональной возможности | Категории пользователей | |||
(I) Руководство организации | (II) Диспетчерская служба | (III) Специалисты подразделений автоматизации | (IV) Специалисты по ИБ (Адм.ОБИ) | |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||||
Управление идентификаторами, в том числе создание, присвоение, изменение, уничтожение идентификаторов |
|
| + | + |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||||
Управление (заведение, активация, блокирование и уничтожение) учётными записями пользователей, в том числе внешних пользователей | + |
| + | + |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + |
Управление (экранирование, фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами автоматизированной системы управления, а также между автоматизированными системами управления | + | + | + |
|
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование автоматизированной системы управления | + |
| + |
|
Ограничение неуспешных попыток входа в автоматизированную систему управления (доступа к системе) | + | + | + |
|
Блокирование сеанса доступа в автоматизированную систему управления | + | + | + |
|
Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе её хранения и обработки |
|
| + |
|
Реализация защищённого удалённого доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + |
| + |
|
Обеспечение доверенной загрузки средств вычислительной техники |
|
| + | + |
III. Ограничение программной среды (ОПС) | ||||
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| + | + |
|
V. Регистрация событий безопасности (РСБ) | ||||
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
|
| + | + |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
|
| + | + |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| + | + | + |
Защита информации о событиях безопасности |
|
| + | + |
Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей | + |
| + | + |
VIII. Контроль (анализ) защищённости информации (АНЗ) | ||||
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| + | + | + |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
| + | + | + |
Контроль правил генерации и смены паролей пользователей, заведения и удаления учётных записей пользователей, реализации правил разграничения доступа, полномочий пользователей |
|
| + | + |
IX. Обеспечение целостности (ОЦЛ) |
| |||
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| + | + | + |
X. Обеспечение доступности (ОДТ) | ||||
Кластеризация автоматизированной системы управления и (или) её сегментов | + |
| + |
|
XI. Защита среды виртуализации (ЗСВ) | ||||
Регистрация событий безопасности в виртуальной инфраструктуре | + |
| + | + |
Контроль целостности виртуальной инфраструктуры и её конфигураций | + |
| + | + |
XIII. Защита автоматизированной системы и её компонентов (ЗИС) | ||||
Разделение функций по управлению (администрированию) автоматизированной системой управления, управлению (администрированию) системой защиты, функций по обработке информации и иных функций автоматизированной системы управления | + |
| + | + |
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
|
| + | + |
Защита периметра (физических и (или) логических границ) автоматизированной системы управления при её взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями |
|
| + | + |
Использование в автоматизированной системе управления различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) |
|
| + | + |
Перевод автоматизированной системы или её устройств (компонентов) в заранее определённую конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) | + |
| + | + |
XIX. Анализ угроз безопасности информации и рисков от их реализации (УБИ) | ||||
Периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации автоматизированной системы управления | + |
| + |
|
XXI. Управление конфигурацией автоматизированной системы управления и её системы защиты (УКФ) | ||||
Управление изменениями конфигурации автоматизированной системы управления и её системы защиты |
|
| + | + |
Документирование информации (данных) об изменениях в конфигурации автоматизированной системы управления и её системы защиты | + |
| + | + |