Разработка и внедрение программы обеспечения безопасности промышленных систем управления
Первым шагом при внедрении программы информационной безопасности для промышленных систем управления является разработка убедительного бизнес-обоснования для удовлетворения уникальных потребностей организации. Бизнес-обоснование должно отражать интересы высшего руководства и в то же время основываться на опыте тех, кто уже имеет дело со многими из тех же рисков. Бизнес-кейс обеспечивает влияние на бизнес и финансовое обоснование создания интегрированной программы информационной безопасности. В нем должна содержаться подробная информация о следующем: Преимуществах создания интегрированной программы безопасности, включая повышение надежности и доступности системы управления. Приоритетных сценариях потенциальных затрат и ущерба, если программа информационной безопасности для ICS не будет внедрена. Подробный обзор процесса, необходимого для внедрения, эксплуатации, мониторинга, проверки, сопровождения и улучшения программы информационной безопасности. Затраты и ресурсы, необходимые для разработки, внедрения и сопровождения программы информационной безопасности. Прежде чем представить руководству экономическое обоснование, необходимо хорошо продумать внедрение системы безопасности и план затрат. Например, недостаточно просто запросить брандмауэр.
Выгоды
Политика ответственного управления рисками предусматривает, что угроза для промышленных систем управления должна измеряться и контролироваться для защиты интересов сотрудников, общественности, акционеров, клиентов, поставщиков, общества в целом и страны в целом. Анализ рисков позволяет оценить затраты и выгоды, с тем чтобы можно было принимать обоснованные решения о мерах защиты. Помимо снижения рисков, проявление должной осмотрительности и ответственности также помогает организациям: ✅ Повышает безопасность, надежность и доступность систем управления. Повышает моральный дух, лояльность и удержание сотрудников. ✅ Снижает обеспокоенность сообщества. Повышение доверия инвесторов. Уменьшение юридической ответственности. Удовлетворения нормативных требований. Укреплению корпоративного имиджа и репутации. Помощь со страховым покрытием и стоимостью. Улучшения инвесторов и банковских отношений.
Эффективная программа управления безопасностью и информацион-ной защищенностью является основополагающей для устойчивой бизнес-модели. Усовершенствованная защита систем управления и политики безопасности, относящиеся к конкретной системе управления, могут потенциально повысить надежность и доступность системы управления. Это также включает сведение к минимуму непреднамеренного воздействия на информационную безопасность системы управления в результате неправильного тестирования, политик и неправильно сконфигурированных систем.
Потенциальные последствия
Важность защищенных систем должна быть еще более подчеркнута, поскольку бизнес все больше полагается на взаимосвязанность. Атаки типа «отказ в обслуживании» (DoS) и вредоносные программы (например, черви, вирусы) стали слишком распространенным явлением и уже повлияли на ICS. Кибератаки могут иметь значительные физические и косвенные последствия. Управление рисками рассмотрено в разделе 3. Основными категориями воздействий являются следующие: Физические воздействия. Физические воздействия включают в себя ряд прямых последствий сбоя ICS. Потенциальные последствия, имеющие первостепенное значение, включают травмы персонала и гибель людей. Другие последствия включают потерю имущества (включая данные) и потенциальный ущерб окружающей среде. Экономические последствия. Экономические последствия — это эффект второго порядка по сравнению с физическими воздействиями, возникающими в результате инцидента промышленных систем управления. Физическое воздействие может привести к негативным последствиям для функционирования системы, что, в свою очередь, приведет к большим экономическим потерям для объекта, организации или других лиц, зависящих от ICS. Недоступность критически важной инфраструктуры (например, электроснабжения, транспорта) может иметь экономические последствия, выходящие далеко за рамки прямого физического ущерба системам. Эти последствия могут негативно сказаться на местной, региональной, национальной или, возможно, глобальной экономике. Социальные последствия. Другой эффект второго порядка, связанный с потерей доверия государства или общественности к организации, часто упускается из виду. Однако это вполне реальное последствие, которое может возникнуть в результате инцидента с промышленными системами управления. Программа контроля таких рисков рассмотрена в разделе 3. Обратите внимание, что пункты этого списка не являются независимыми. На самом деле, одно может привести к другому. Например, выброс опасных материалов может привести к травмам или смерти. Ниже приведены примеры потенциальных последствий инцидента, связанного с промышленными системами управления: Воздействие на национальную безопасность — содействие террористическому акту. Сокращение или остановка производства на одном или нескольких объектах одновременно. Травма или смерть сотрудников. Травмы или гибель людей в сообществе. Повреждение оборудования. Утечка, утечка или кража опасных материалов. Ущерб окружающей среде. Нарушение нормативных требований. Загрязнение продукта. Уголовная или гражданско-правовая ответственность. Утрата служебной или конфиденциальной информации. Потеря имиджа бренда или доверия клиентов. Нежелательные инциденты любого рода снижают ценность организации, но инциденты, связанные с охраной труда, могут иметь более долгосрочные негативные последствия, чем другие виды инцидентов, для всех заинтересованных сторон — сотрудников, акционеров, клиентов и сообществ, в которых работает организация. Необходимо расставить приоритеты в списке потенциальных последствий для бизнеса, чтобы сосредоточиться на конкретных последствиях для бизнеса, которые высшее руководство сочтет наиболее привлекательными. Для получения оценки годового воздействия на бизнес следует оценить наиболее приоритетные элементы, указанные в списке приоритетных бизнес-последствий, предпочтительно, но не обязательно в финансовом выражении. Закон Сарбейнса-Оксли требует от руководителей корпораций давать заверения в соблюдении требований к точности и защите корпоративной информации.10 Кроме того, большинство внутренних и внешних аудиторских фирм требуют проявления должной осмотрительности, чтобы удовлетворить требования акционеров и других заинтересованных сторон организации. Внедряя комплексную программу обеспечения информационной безопасности, руководство проявляет должную осмотрительность.
Ресурсы для разработки бизнес-обоснования
Значительные ресурсы для получения информации, помогающей сформировать бизнес–обоснование, можно найти во внешних ресурсах других организаций, занимающихся аналогичными направлениями деятельности – либо индивидуально, либо на биржах обмена информацией, в организациях по торговле и стандартизации, консалтинговых фирмах — и во внутренних ресурсах соответствующих программ управления рисками или инженерных разработок и операций. Внешние организации часто могут дать полезные советы относительно того, какие факторы наиболее сильно повлияли на руководство, чтобы оно поддержало их усилия, и какие ресурсы внутри их организаций оказались наиболее полезными. В разных отраслях эти факторы могут отличаться, но могут быть сходства в ролях, которые могут выполнять другие специалисты по управлению рисками. Приложение D — содержит список и краткое описание некоторых текущих мероприятий в области безопасности промышленных систем управления. Внутренние ресурсы в области управления соответствующими рисками (например, информационная безопасность, риски для здоровья, техники безопасности и окружающей среды, физическая безопасность, непрерывность бизнеса) могут оказать огромную помощь, основываясь на их опыте работы с соответствующими инцидентами в организации. Эта информация полезна с точки зрения определения приоритетности угроз и оценки влияния на бизнес. Эти ресурсы также могут дать представление о том, какие менеджеры сосредоточены на борьбе с какими рисками и, следовательно, какие менеджеры могут быть наиболее подходящими или восприимчивыми к роли лидеров. Внутренние ресурсы в области проектирования и эксплуатации систем управления могут дать представление о том, как развертываются системы управления в организации, например, о следующем: Как обычно разделяются сети. Какие подключения удаленного доступа обычно используются. Как обычно проектируются системы контроля высокого риска или системы, оснащенные приборами безопасности. Какие меры противодействия безопасности обычно используются.
Создайте и обучите межфункциональную команду
Для межфункциональной команды по информационной безопасности важно делиться своими знаниями и опытом в различных областях для оценки и снижения рисков в промышленных системах управления. Как минимум, команда по информационной безопасности должна состоять из ИТ-персонала организации, инженера по управлению, оператора системы управления, экспертов в области безопасности и сотрудника отдела управления рисками предприятия. Знания и навыки в области безопасности должны включать архитектуру и проектирование сети, процессы и практику обеспечения безопасности, а также проектирование и эксплуатацию защищенной инфраструктуры. Современные представления о том, что безопасность является неотъемлемым свойством подключенных систем с цифровым управлением, предполагают привлечение эксперта по безопасности. Для обеспечения непрерывности и полноты команда по информационной безопасности должна также включать поставщика системы управления и/или системного интегратора. Команда информационной безопасности должна подчиняться непосредственно менеджеру по информационной безопасности на уровне миссии/бизнес-процесса или организации, который, в свою очередь, подчиняется менеджеру миссии/бизнес-процесса (например, начальнику объекта) или менеджеру по информационной безопасности предприятия (например, ИТ-директору компании), соответственно. Основные полномочия и ответственность возложены на подразделение по управлению рисками 1-го уровня, которое обеспечивает комплексный подход к управлению рисками в масштабах всей организации. Служба управления рисками работает с высшим руководством, чтобы согласовать уровень остаточного риска и подотчетности за информационную безопасность промышленных систем управления. Подотчетность на уровне руководства поможет обеспечить постоянную приверженность усилиям по обеспечению информационной безопасности. Хотя инженеры по управлению будут играть важную роль в обеспечении безопасности промышленных систем управления, они не смогут этого сделать без сотрудничества и поддержки как со стороны ИТ-отдела, так и со стороны руководства. ИТ-отдел часто обладает многолетним опытом в области безопасности, большая часть которого применима к промышленным системам управления. Поскольку культуры проектирования систем управления и ИТ часто существенно различаются, их интеграция будет необходима для разработки совместной системы безопасности и ее эксплуатации.
Определите устав и сферу применения
Менеджер по информационной безопасности должен разработать политику, определяющую руководящий устав организации по информационной безопасности, а также роли, обязанности и подотчетность владельцев систем, руководителей задач/бизнес-процессов и пользователей. Менеджер по информационной безопасности должен определить и задокументировать цель программы обеспечения безопасности, затрагиваемые коммерческие организации, все задействованные компьютерные системы и сети, необходимый бюджет и ресурсы, а также распределение обязанностей. Сфера применения также может включать деловые вопросы, обучение, аудит, юридические и нормативные требования, а также сроки и обязанности. Руководящий устав организации, занимающейся информационной безопасностью, является составной частью архитектуры информационной безопасности, которая является частью архитектуры предприятия. Возможно, для ИТ-систем организации уже существует или разрабатывается программа информационной безопасности. Менеджер по информационной безопасности ICS должен определить, какие существующие методы следует использовать, а какие являются специфическими для системы управления. В долгосрочной перспективе будет легче добиться положительных результатов, если команда сможет делиться ресурсами с другими сотрудниками организации, которые преследуют аналогичные цели.
Определите политики и процедуры безопасности, специфичные для промышленных систем управления
Политики и процедуры являются основой любой успешной программы обеспечения безопасности. По возможности, политики и процедуры безопасности, специфичные для ICS, должны быть интегрированы с существующими операционными политиками и процедурами управления. Политики и процедуры помогают обеспечить согласованность и актуальность защиты от возникающих угроз. В приложении C в качестве важной уязвимости указано отсутствие политики безопасности. В приложении G— оверлей ICS — содержится множество рекомендаций по политике информационной безопасности промышленных систем управления. После проведения анализа рисков информационной безопасности менеджер по информационной безопасности должен изучить существующие политики безопасности, чтобы убедиться, что они адекватно учитывают риски для ICS. При необходимости следует пересмотреть существующие политики или создать новые политики. Как обсуждалось в разделе 3, руководство уровня 1 отвечает за разработку и доведение до сведения организации принципа толерантности к рискам – уровня риска, который организация готова принять, – что позволяет менеджеру по информационной безопасности определить уровень снижения рисков, который следует предпринять, чтобы снизить остаточный риск до приемлемых уровней. Разработка политик безопасности должна основываться на оценке рисков, которая позволит определить приоритеты и цели организации в области безопасности таким образом, чтобы риски, связанные с угрозами, были в достаточной степени снижены. Необходимо разработать процедуры, поддерживающие эти политики, чтобы они были полностью и надлежащим образом внедрены в промышленных системах управления. Процедуры обеспечения безопасности следует документировать, тестировать и периодически обновлять в ответ на изменения в политике, технологиях и угрозах.
Внедрить систему управления рисками безопасности промышленных систем управления
С абстрактной точки зрения, управление рисками ICS — это еще один риск, добавленный к списку рисков, с которыми сталкивается организация (например, финансовых, связанных с безопасностью, информационных технологий, окружающей среды). В каждом конкретном случае менеджеры, ответственные за миссию или бизнес-процесс, разрабатывают и проводят программу управления рисками в координации с подразделением высшего руководства по управлению рисками. Специальная публикация NIST 800-39 «Управление рисками информационной безопасности – взгляд на организацию, миссию и информационную систему» [20] является основой такой программы управления рисками. Как и в других областях деятельности/бизнес-процессов, персонал, связанный с ICS, применяет свои специализированные знания в данной области для создания и проведения управления рисками безопасности промышленных систем управления и взаимодействия с руководством предприятия для поддержки эффективного управления рисками на всем предприятии. В специальной публикации NIST 800-37 «Руководство по применению системы управления рисками к федеральным информационным системам» [21] представлена система управления рисками, в которой рассматривается процесс ее внедрения. В следующих разделах кратко описывается этот процесс и применение RMF к среде промышленных систем управления. Процесс RMF включает в себя набор четко определенных задач, связанных с рисками, которые должны выполняться отдельными лицами или группами в рамках четко определенных организационных ролей (например, ответственный за управление рисками, уполномочивающий сотрудник, уполномоченный представитель, директор по информационным технологиям, старший специалист по информационной безопасности, архитектор предприятия, архитектор информационной безопасности, владелец/распорядитель информации, владелец информационной системы, поставщик общего контроля, специалист по безопасности информационной системы и специалист по оценке контроля безопасности). Многие функции управления рисками имеют аналоги, определенные в обычных процессах жизненного цикла разработки системы. Задачи RMF выполняются одновременно с процессами жизненного цикла разработки системы или как их часть с учетом соответствующих зависимостей. Организации могут также пожелать проконсультироваться с ISA-62443-2-1 «Безопасность для систем промышленной автоматизации и управления: разработка программы обеспечения безопасности систем промышленной автоматизации и управления», в которой описывается другой взгляд на элементы, содержащиеся в системе управления кибербезопасностью, для использования в среде систем промышленной автоматизации и управления [34]. В нем приведены рекомендации по выполнению требований, описанных для каждого элемента. Разделы с 4 по 6 наиболее точно соответствуют стандарту NIST SP 800-39; другие разделы соответствуют другим специальным публикациям NIST и дополнению ICS в Приложении G к этому документу. Все эти руководящие документы признают, что один формат не подходит для всех; скорее, при разработке или адаптации руководства к конкретной организации следует применять знания в предметной области.
Классификация ресурсов систем и сетей промышленных систем управления по категориям
Команда по информационной безопасности должна определить, провести инвентаризацию и классифицировать приложения и компьютерные системы в рамках ICS, а также сети внутри ICS и взаимодействующие с ними. Основное внимание должно уделяться системам, а не только устройствам, и должно включать в себя ПЛК, контроллеры управления, SCADA и системы на базе приборов, которые используют устройства мониторинга, такие как HMI. Ресурсы, которые используют маршрутизируемый протокол или доступны по коммутируемому каналу, должны быть задокументированы. Команда должна пересматривать и обновлять список активов промышленных систем управления ежегодно и после каждого добавления или удаления активов. Существует несколько инструментов инвентаризации ИТ-ресурсов коммерческих предприятий, которые могут идентифицировать и документировать все аппаратное и программное обеспечение, размещенное в сети. Необходимо соблюдать осторожность, прежде чем использовать эти инструменты для идентификации активов ICS; команды должны сначала провести оценку того, как работают эти инструменты и какое влияние они могут оказать на подключенное оборудование управления. Оценка инструментов может включать тестирование в аналогичных средах, не связанных с системой управления производством, чтобы убедиться, что инструменты не оказывают негативного воздействия на производственные системы. Влияние может быть обусловлено характером информации или объемом сетевого трафика. Хотя такое воздействие может быть приемлемым в ИТ-системах, оно может быть неприемлемо в промышленных системах управления. Автоматизированная система управления запасами (например, Компьютеризированная система управления техническим обслуживанием (CMMS), Автоматизированная система управления объектами (CAFM), Информационная модель здания (BIM), геопространственная информационная система (GIS), Данные для обмена информацией о строительстве и эксплуатации зданий (COBie, обмен информацией об автоматизации управления зданиями (BAMie), поддержка Конструктор систем управления (SMS) позволяет организации вести точный учет того, что находится в системе, как по соображениям безопасности, так и по бюджетным соображениям.
Выберите элементы управления безопасностью промышленных системах управления
Средства контроля безопасности, выбранные на основе классификации безопасности промышленных систем управления, задокументированы в плане обеспечения безопасности, чтобы обеспечить обзор требований к безопасности для программы информационной безопасности промышленных систем управления, а также описание существующих или планируемых средств контроля безопасности для удовлетворения этих требований. Разработка планов обеспечения безопасности рассматривается в специальной публикации NIST 800-18 Revision 1 «Руководство по разработке планов обеспечения безопасности для федеральных информационных систем» [19]. План обеспечения безопасности может быть как одним документом, так и набором всех документов, в которых рассматриваются проблемы безопасности системы и планы противодействия этим проблемам. В дополнение к средствам контроля безопасности, Специальная публикация NIST 800-53 редакция 4 «Средства контроля безопасности и конфиденциальности для федеральных информационных систем и организаций» [20] содержит набор средств управления программами информационной безопасности (PM), которые обычно реализуются на уровне организации и не направлены на отдельные информационные системы организации. В этом разделе рассматривается, как организация устанавливает и реализует эти средства контроля за управлением программами. Успешное внедрение средств контроля безопасности для информационных систем организации зависит от успешного внедрения средств контроля за управлением программами в масштабах всей организации. Способ, которым организации внедряют средства управления программами, зависит от конкретных организационных характеристик, включая, например, размер, сложность и миссию/бизнес-требования соответствующих организаций. Элементы управления программами дополняют элементы управления безопасностью и ориентированы на программные требования к информационной безопасности в масштабах всей организации, которые не зависят от какой-либо конкретной информационной системы и необходимы для управления программами информационной безопасности. Организации документируют элементы управления программами в плане программы информационной безопасности. План программы обеспечения информационной безопасности в масштабах всей организации дополняет индивидуальные планы обеспечения безопасности, разработанные для каждой информационной системы организации. В совокупности планы обеспечения безопасности для отдельных информационных систем и программа информационной безопасности охватывают все средства контроля безопасности, используемые организацией.
Выполните оценку рисков
Поскольку каждая организация располагает ограниченным набором ресурсов, организациям следует оценивать воздействие на деятельность организации (т.е. миссию, функции, имидж и репутацию), активы организации, отдельных лиц, другие организации и нацию в целом (например, используя FIPS 199 [15] или более детализированный подход). Как обсуждалось в разделе 3, организации могут испытывать последствия неблагоприятных событий на уровне отдельных систем ICS (например, сбои в работе в соответствии с требованиями), на уровне миссии/бизнес-процесса (например, неспособность полностью выполнить миссию/бизнес-цели) и на организационном уровне (например, несоблюдение правовых или нормативных требований, нанесение ущерба репутации или отношениям или подрыв долгосрочной жизнеспособности). Неблагоприятное событие может иметь множество последствий и различные типы воздействия, на разных уровнях и в разные сроки. NIST SP 800-53 [22] и оверлей промышленных систем управления в приложении G включают базовые средства контроля безопасности, которые основаны на этом определении воздействия. Организация может выполнить детальную оценку рисков для систем с наибольшим воздействием и оценку рисков для систем с меньшим воздействием, если это будет сочтено целесообразным и если позволят ресурсы. Оценка рисков поможет выявить любые слабые места, которые повышают риски для информационной безопасности, и найти подходы к их снижению. Оценка рисков проводится несколько раз в течение жизненного цикла системы. Направленность и уровень детализации зависят от уровня развития системы.
Внедрите средства контроля безопасности
Организациям следует провести детальную оценку рисков и их воздействия на деятельность организации (т.е. миссию, функции, имидж и репутацию), активы организации, отдельных лиц, другие организации и нацию в целом, а также определить приоритетность мер по снижению рисков. Организациям следует сосредоточиться на снижении рисков с наибольшим потенциальным эффектом. Внедрение средств контроля безопасности соответствует корпоративной архитектуре организации и архитектуре информационной безопасности. Средства контроля для снижения конкретного риска могут различаться в зависимости от типа систем. Например, элементы управления аутентификацией пользователей в промышленных системах управления могут отличаться от корпоративных систем расчета заработной платы и систем электронной коммерции. Менеджер по информационной безопасности ICS должен документировать и сообщать о выбранных элементах управления, а также о процедурах их использования. Можно выявить некоторые риски, которые могут быть устранены с помощью “быстрых решений” — недорогих и эффективных методов, которые могут значительно снизить риск. Примерами таких решений являются ограничение доступа к Интернету и устранение доступа к электронной почте на станциях управления оператора или консолях. Организации должны как можно скорее определить, оценить и внедрить подходящие быстродействующие решения для снижения рисков безопасности и быстрого получения выгод. У Министерства энергетики (DOE) есть документ “21 шаг по улучшению кибербезопасности сетей SCADA” [33], который может быть использован в качестве отправной точки для определения конкретных действий по повышению безопасности систем SCADA и других микросхем.