Какие организационно-распорядительные документы по защите информации необходимы для соответствия нормативным требованиям? Как правильно классифицировать АСУ ТП по требованиям защиты информации в разрезе уровней и сегментов и выполнить моделирование угроз? Каковы нюансы обеспечения ИБ при использовании проприетарных протоколов?
Специалисты UBS знают ответы.

Услуги


Аудит соответствия деятельности по использованию, вводу/выводу в/из эксплуатации и модернизации АСУ ТП

Аудит соответствия деятельности (включая внутреннюю организационно-распорядительную документацию) по использованию, вводу/выводу в/из эксплуатации и модернизации АСУ ТП, действующим нормативным документам (законодательство РФ, ГОСТы, ОСТы, РД и т.д.), а также стандартам (NIST SP800-82, ISA SP99, NERC CIP v5, IEC 61784-4 и др.) и «лучшим практикам» в области защиты ключевых систем информационной инфраструктуры (КСИИ), критически важных объектов, технологических систем, обеспечения безопасности программно-аппаратных комплексов и данных.

В рамках аудита соответствия деятельности, в частности, оказываются услуги по приведению текущего состояния деятельности в соответствие с требованиями следующих базовых нормативных документов РФ:

  • приказ ФСТЭК России от 14 марта 2014 г. №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
  • федеральный закон от 21 июля 2011 г. N 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
  • методический документ ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007
  • методический документ ФСТЭК России «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007
  • методический документ ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007 (в части не противоречащей Приказу ФСТЭК России №31)
  • методический документ ФСТЭК России «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 19.11.2007 (в части не противоречащей Приказу ФСТЭК России №31)
  • методический документ ФСТЭК России «Положение о реестре ключевых систем информационной инфраструктуры», утв. ФСТЭК России 04.03.2009
  • методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации, утв. ФСТЭК России 18.11.2008
  • методические рекомендации по формированию аналитического прогноза по комплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период, утв. ФСТЭК России 23.04.2011
  • ГОСТ РО 0043-002-2012. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов
  • положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утв. Приказом ФСТЭК России от 29 мая 2009 г. №191

Результат

  • отчёт, содержащий оценку соответствия, перечень несоответствий, рекомендации по их устранению, а также перечень мер, реализация которых позволит обеспечить соответствие деятельности заданным требованиям

Аудит защищённости программно-технических компонентов АСУ ТП

Аудит защищённости программно-технических компонентов АСУ ТП выполняется на следующих уровнях:

  • уровень полевых датчиков и исполнительных механизмов (актуаторы, заслонки, клапаны и др.)
  • уровень автоматического управления и учёта (программируемые логические и настраиваемые контроллеры (ПЛК), реле и др.)
  • уровень оперативного управления и диспетчеризации (распределенная система управления, системы управления OPC-серверами и клиентами, системы человеко-машинного интерфейса (HMI))

В частности, оказываются следующие услуги:

  • анализ защищённости программируемых логических контроллеров
  • обеспечение безопасности на сетевом уровне
  • аудит систем резервирования
  • анализ защищённости сегментов промышленной сети и обмена данными между нею и внешними узлами
  • проверка процедур обновления системного и прикладного программного обеспечения

Результат

  • отчёт, содержащий описание выявленных уязвимостей, недостатков конфигураций и несоответствий ИБ-политикам и рекомендации по их устранению с целью повышения уровня защищённости АСУ ТП.

Вопросы? Ответим в течение часа.