Как идентифицировать критичные активы в индустриальных сетях?

Стратегия
Один из первых шагов при построении системы защиты — идентификация (классификация) объекта защиты. Это и в обычной системе не так просто, а уж в индустриальных системах и подавно. Выбрать все — это крайний вариант, но слишком уж дорогостоящий, а местами и чреватый (поставишь систему защиты, а она заблокирует какое-нибудь важное управляющее воздействие). Поэтому надо уметь отделять действительно критические элементы индустриальных систем (ICS), от некритичных. Последние тоже надо будет защищать, но не так серьезно.

Существует стандарт комиссии по ядерному урегулированию (NRC) — Office of Nuclear Regulatory Research’s Regulatory Guide 5.71 (RG 5.71). Этот документ уточняет и детализирует требования по информационной безопасности, установленные в другом документе более высокого уровня — 10 Code of Federal Regulation, а точнее в секции 73.54 (10 CFR 73.54). Так вот в 5.71 приведен алгоритм идентификации критичных активов индустриальных сетей. Он достаточно прост, но при этом позволяет учесть все действительно критичные активы, напрямую или косвенно связанные с критическими системами, сервисами или сетями.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Cug

    По сути в схеме — простая шпаргалка-напоминалка. Уходя на работу выключи свет, утюг, газ, закрой окна, запри дверь на ключ, поставь на охрану.

    Ответить
  2. Сергей

    Алексей, поправьте схему: с блока Контролирует по ветке "Нет" линия на вход блока защищает, а с него по ветке "Да" линия на критичную.

    Ответить
  3. Анонимный

    Можно проще:
    1 — критичный актив?
    ДА -> критичный актив.
    НЕТ -> не критичный актив.

    Ответить
  4. Алексей Лукацкий

    Сергей, там вроде все правильно. Еще раз проверил и не вижу ошибки.

    Ответить
  5. Алексей Лукацкий

    Женя, не, так не проще. У тебя система может быть напрямую не критичная, но от нее зависит явно критичная. Например, канал связи или модемный пул для удаленного доступа и т.п.

    Ответить
  6. Алексей Лукацкий

    Cug, в ИБ вообще все просто 😉 Если следовать здравому смыслу и вот таким вот шпаргалкам 😉

    Ответить
  7. Анонимный

    2 Алексей:
    😉
    тогда возвращаемся к ФБ:
    "Давать работать иностранцам везде, где нет интересов национальной безопасности" у нас везде есть интересы национальной безопасности!

    Схема примитивная потому, что можно построить цепочку от "Машенька разлила масло" до ядерного реактора… И мы опять упремся в оценку рисков… а это дело, как ты знаешь лучше меня… попахивает субъективизмом…

    Ответить
  8. Алексей Лукацкий

    Ну палку-то зачем перегибать 😉 Хотя натянуть все на национальную безопасность можно без особых проблем. Как это демонстрируют наши регуляторы в последнее время

    Ответить
  9. Анонимный

    Опять же возвращаясь к НДВ…и OSI
    — система электроснабжения — критический актив
    — драйвер — критический актив…

    Ответить
  10. Анонимный

    А как тебе фраза "следуя здравому смыслу, угроза 3.1 считается не актуальной"

    Ответить
  11. Cug

    Алексей, где ИБ = обеспечение ИБ + обеспечение ИБ в соответствии с законодательством (существующим), а где здравый смысл!
    Две большие разницы 😉
    Но основная мысль понятна — к шпаргалкам надо прикладывать здравый смысл и будет щастье! Надеюсь, к этому и придем.

    Ответить
  12. Фин

    Капитан Очевидность схему рисовал 🙂

    Почему нельзя было проще написать: критические активы — это элементы (системы) задействованные в критически важных процессах, а также системы обеспечения и контроля элементов (систем), задействованных в критически важных процессах.

    Ответить
  13. Алексей Лукацкий

    Ну надо же мне было показать свое умение пользоваться PowerPoint и дать ссылку на ни разу мной (и никем на моей памяти) не упомянутый стандарт по ИБ для ядерной энергетики 😉

    Ответить
  14. Фин

    Такой вопрос: допустим есть (по схеме) система которая контролирует или управляет критически важными системами, сервисами или сетями. Она по схеме — критический актив. А, в свою очередь, у этой системы (которая защищает бла-бла-бла), есть своя система контроля доступа. Так вот, в схему эта система не входит, по схеме получится некритичная, а на деле критичная, так как если её например скомпрометировать, то по цепочке будет скомпрометированы критически важные процессы.

    По-моему идентифицировать активы надо руководствуясь ЗДРАВЫМ СМЫСЛОМ, а не такими вот бумажками, если у человека абстрактное мышление отсутствует, то ему никакие бумажки не помогут. Более того, такие бумажки — вред, так как еще более запутывают процесс идентификации.

    Ответить
  15. Анонимный

    ЗДРАВЫЙ СМЫСЛ у каждого свой…

    Ответить
  16. Алексей Т.

    Система критическая, если: обеспечивает, поддерживает, контролирует или управляет, контролирует доступ, обеспечивает безопасность критических функций. Намного проще и нагляднее, чем рисованная схема. Лучше бы ФСТЭК советовали как исключить угрозы НДВ. 🙂 Но стандарты конечно полезные для тех, кому они нужны. Хотя если картинка оттуда, то возможно и весь стандарт "капитан очевидность"…

    Ответить
  17. Unknown

    ИМХО нормальная инструкция. Главный нюанс, что она будет эффективна при анализе "сверху" — "вниз" (дедуктивном, от общего к частному), а вот в обратном направлении возможны проблемы…

    Наверное "здравый смысл" должен состоять в том, что бы не начинать с того, что "Аннушка уже купила подсолнечное масло, и не только купила, но даже и разлила", или что махание крыльями бабочек в Бразилии может плохо закончится… :-))

    Ответить
  18. Фин

    именно, здравый смысл это для того чтобы вовремя остановиться, найти ту самую золотую середину, которую никакими законами не пропишешь, но она должна быть, чтобы не включать пыль с марса в скоуп)
    Алексей Лукацкий, я прошу прощения за то что немного резковато отозвался о схеме, я думал она в стандарте есть как некое руководство. Если Вы просто рисовали её как иллюстрацию — то это безусловно нормальный полезный рисунок 🙂

    Ответить
  19. Алексей Лукацкий

    Критиковать чужие стандарты и документы могут все. Вы свое напишите 😉

    Ответить
  20. Алексей Лукацкий

    Фин, она из стандарта 😉 Продолжаем критику 😉

    Ответить
  21. Фин

    Да надо бы почитать сначала его 😉

    Ответить