Новые стандарты по ИБ И etherCUT
К международному дню защиты информации наши регуляторы утвердили новые стандарты в части защиты сетей.
Интересно отметить, что современные сети передачи данных по своему уровню возможного влияния на технологический процесс и безопасность объектов с точки зрения регулятора уже идентичны электросетям с уровнем напряжения выше 1000В. Такая аналогия может стать актуальной после прочтения первого стандарта в части управления сетью:
ГОСТ Р ИСО/МЭК 27033-2-2021 раздел 8.4: Организационные меры обеспечения безопасности могут включать в себя правильное назначение прав административного персонала, эксплуатационные принципы, такие как принцип «четырех глаз» (для принятия решения требуется одобрение сразу нескольких людей)…..
Принцип «четырех глаз» является прямой аналогией нормам, заложенным в ПУЭ в части порядка обслуживания электроустановок напряжением выше 1000В. Таким образом видится, что на объектах КИИ с АСУ ТП возможно не сразу но со временем порядок работы с сетью в части ее переконфигурирования или модификации должен быть организационно оформляться соответствующими допусками и разрешениями. В настоящее время на многих объектах КИИ такие действия персонала никак не фиксируются и не регламентируются, поскольку для их проведения часто нет необходимости оформления допуска персонала к шкафам АСУ ТП – все работы могут выполняться с локальных АРМ АСУ ТП.
В стандарте ГОСТ Р ИСО/МЭК 27019-2021 раздел 9.1.2 зафиксированы принципы, ранее изложенные в стандарте ПАО ФСК ЕЭС СТО 56947007- 29.240.10.302-2020: Для защиты сетевого оборудования, обеспечивающего доступ к критическим сетям, необходимо учитывать следующее: Удаление или отключение с помощью программного обеспечения или физического отключения всех служб и портов сетевого оборудования, не требующихся для нормальной эксплуатации (например неиспользуемые порты коммутатора), аварийная эксплуатация или техническое обслуживание, включая как коммуникационные порты, так и физические порты ввода-вывода.
На практике отключение всех портов не всегда удобно. Как правило, для диагностики и обслуживания необходимо иметь в разных локациях оборудования АСУ ТП точки подключение ноутбуков наладочного персонала. Для этих целей необходимо определять стационарные точки такого подключения с обеспечением контроля их активации.
Для удаленного доступа в новых стандартах прямо определяется необходимость регламентации физического доступа: ГОСТ Р 59383-2021 раздел 4.2: Взаимосвязь между логическим и физическим доступом. В настоящем стандарте основное внимание уделяется управлению логическим доступом. Как правило, управление логическим доступом интегрировано с управлением физическим доступом. Логический доступ к ресурсу в автоматизированной (информационной) системе организации должен поддерживаться защищенной физической инфраструктурой, обеспечивающей эффективный набор мер защиты и ограничений на действия субъектов доступа.
В современных реалиях удаленный доступ к диагностике и настройке АСУ ТП объектов является достаточно актуальным. И этот доступ может организовываться как через корпоративные сети, так и через сети общего пользования. И в том и в другом случае должен решаться вопрос организации логического доступа к сети. Однако вопрос по организации ограничения физического доступа должен затрагивать не только возможность «включится» физически в сеть со стороны злоумышленника, но и вопрос контроля времени активной сессии удаленного управления с последующим физическим размыканием канала удаленного доступа со стороны объекта. Как правило, оценка потребного времени удаленного обслуживания АСУ ТП в течение года может не превышать 50 часов. В этом смысле ручное подключение удаленных каналов связи только на время выполнения работ существенно влияет на поверхность атаки (доступное время активного состояния канала связи с потенциально повышенными привилегиями будет незначительным для того чтобы рассматривать этот метод проникновения как приоритетный).