Разработка рекомендаций по организации защищенной передачи служебной информации турбинного цеха

Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.ViPNet CUSTOM – это название комплекса программного и программно-аппаратного обеспечения, который предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности:создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, выделенные физические, спутниковые и беспроводные каналы связи), путем организации виртуальной частной сети (VPN);развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту). Поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».В настоящее время в состав комплекса ViPNet CUSTOM входит более 10 различных компонент и модулей, позволяющих реализовать множество сценариев защиты информации в современных мультисервисных сетях связи.SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов: №98-ФЗ («о коммерческой тайне») №152-ФЗ («о персональных данных») №5485-1-ФЗ («о государственной тайне»)/Возможности SecretNet от несанкционированного доступа:Аутентификация пользователей.Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.Доверенная информационная среда.Контроль утечек и каналов распространения конфиденциальной информации.Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности.Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.Файрвол - программа или компьютер, используемые для защиты корпоративных компьютерных сетей от несанкционированного доступа. Основной принцип работы файрвола заключается в явном определении того, какие ресурсы корпоративной сети могут быть доступны снаружи. В предельном случае всеми ресурсами можно пользоваться только изнутри корпоративной сети.Автоматизированная система может быть аттестована по различным классам защищенности (3А, 3Б, 2А, 2Б, 1А, 1Б, 1В, 1Г, 1Д) в соответствии с РД Гостехкомиссии России: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В автоматизированной системе, которая защищена с помощью АПКШ «Континент», электронного замка «Соболь», СЗИ VIPNet, межсетевой экран может обрабатываться как конфиденциальная информация: СИОР (служебная информация ограниченного распространения) (ДСП), КТ, ПД. Перечень средств защиты конфиденциальной информации турбинного цеха Кировской ТЭЦ-4 приведены в таблице 2.1.Таблица 2.1Средства защиты конфиденциальной информации турбинного цеха Кировской ТЭЦ-4Класс СЗИПродуктСредства защиты информации от несанкционированного доступаСЗИ VIPNetМежсетевые экраныCheck PointАПКШАПКШ «Континент»Средства доверенной загрузкиЭлектронный замок «Соболь»Средства криптографической защитыАПКШ «Континент»2.5. Рекомендации по организации защищенной передачи служебной информации турбинного цеха Кировской ТЭЦ-4В таблице 2.2 приведены используемые на Кировской ТЭЦ-4 методы защиты конфиденциальной информации.Таблица 3.6Методы защиты конфиденциальной информации№п/пПодход к защите конфиденциальной информацииПримеры реализации1.Фильтрация исходящей информации по ключевым словам и регулярным выражениям для идентификации конфиденциальных данныхСистемы фильтрации трафика (CheckPoint, файрвол)2.Установка грифов конфиденциальности на защищаемые документы и отслеживание жизненного цикла помеченных документовСистемы мандатного доступа к документам и протоколирования обращений (Landox)3.Анализ протоколов систем защиты в унифицированном виде, выявление аномальной активности сотрудников и деятельности внешних злоумышленниковСистемы Zabbix4.Контроль над доступом пользователей к компьютерам и информационным системам с дополнительными элементами контроляОрганизационно – распорядительные мероприятия (служебная записка на имя директора)5.Разветвленная система разграничения прав доступа к конфиденциальным документамСистемыкласса Active directory, Novell Client6.Контроль над посещениями Web-ресурсов сотрудникамиСистемы Web-фильтрации (Squid, proxy)2.6. Разработка методики реализации организационно-технических мероприятий по обеспечению безопасной эксплуатации АСУ ТП Кировской ТЭЦ-42.6.1 Разработка рекомендаций по безопасному монтажу информационных магистралейИнформационной магистралью АСУ ТП является структурированная кабельная система (СКС). Следовательно, рекомендации по монтажу магистралей, соответствуют рекомендациям по монтажу СКС.Проектирование и монтаж структурированной кабельной системы осуществляется на уровне современных мировых и российских стандартов.Этапы проектирования СКС1) Техническое задание. На этом этапе Исполнитель до начала разработки Проектной документации помогает Заказчику сформулировать оптимальные требования и отразить все важные аспекты создаваемых подсистем. Техническое задание  по проектированию и прокладке СКС включает требования Заказчика по категории или классу системы, числу рабочих мест и коммутационных узлов, их расположению и т.д. Для увеличения долговечности СКС в её подсистемы необходимо заложить запасы по пропускной способности и количеству линий. При наличии возможности необходимо выполнить предпроектное обследование с выездом на объект строительства с целью уточнения исходных данных, определение технических решений, выяснения трасс прокладки кабелей и пр.Несмотря на помощь и поддержку Исполнителя при создании Технического задания, большая ответственность возлагается на представителя Заказчика, т.к. от степени проработки и точности Технического задания зависит насколько СКС будет удовлетворять требованиям Заказчика в дальнейшем.2) Эскизный проект. На этом этапе Заказчику предоставляется технико-коммерческое предложение по проекту, в котором подробно описывается как будут выполнены предъявленные Заказчиком требования, какие типовые или альтернативные технические решения возможно применить при реализации проекта. Здесь же содержится описание выбранных для построения СКС комплектующих и их эксплуатационные параметры.Обязательно прилагается спецификация оборудования, материалов и монтажных работ с ценами, где описывается количество и стоимость оборудования для реализации системы, а также объем и стоимость предстоящих работ.3) Рабочий проект. На этом этапе производится разработка Рабочего проекта, документа на основе которого непосредственно производятся строительно-монтажные работы. Рабочий проект содержит в себе описание всех технических решений, включает в себя все необходимые документы, чертежи, схемы, журналы, спецификации и описания необходимые для производства монтажных работ на объекте.Рабочий проект составленный профессионально и качественно позволяет осуществить монтаж СКС даже независимыми, но разумеется, квалифицированными сторонними исполнителями. В связи с высокими требованиями существующих сетевых протоколов к сетям передачи данных, проектирование структурированных кабельных систем требует наличия квалифицированных специалистов, которые в своей работе знают и учитывают требования как стандартов и ГОСТов по СКС, так и рекомендации фирм-производителей оборудования. Инженеры-проектировщики, при этом, в ряде случаев, должны пройти обучение  в соответствующих авторизованных учебных центрах.  Стандарты и требованияНа территории РФ основным документом, регламентирующим монтажные работы по СКС является ГОСТ Р 53246-2008 «Системы кабельные структурированные. Проектирование основных узлов системы». В качестве дополнительных материалов, а так же в качестве обязательного требования для сертификации большинства систем СКС, при монтаже используются иностранные и международные стандарты ISO/IEC11801 и ANSI-TIA-EIA-568b. Кроме того, как и все проектные работы, проекты СКС выполняются с учетом  требований ЕСКД и соответствующих ГОСТов.Методика проектирования, система контроля качестваРаботы по проектированию выполняются на этапах «Эскизный проект», «Технический проект», «Рабочая документация». Кроме того, на этапе ввода системы в действие должна быть разработана эксплуатационная документация, учитывающая изменения, внесенные в рабочую документацию в процессе пусконаладочных и строительно-монтажных работ, опытной эксплуатации и приемочных испытаний. Эксплуатационная (или исполнительная) документация также включает в себя руководства по использованию и поддержке системы в процессе эксплуатации. Перед началом проектирования, для ускорения работ, желательно получить от заказчика первоначальную документацию. В составе такой документации могут быть: планировки помещений, генеральный план местности (при прокладке наружных трасс), техническое задание, желательно, кроме того, получить предполагаемую расстановку рабочих мест, коммутационных узлов  и т.п.После получения от заказчика первоначальной документации, на объект выезжает рабочая группа, состоящая из инженера-проектировщика и бригадира монтажной бригады. Вместе они проводят обследование объекта и принимают решения о выборе конкретной схемы реализации системы. После чего, проектный отдел приступает к разработке проекта СКС.Оформление текстовой документации ведется в соответствии с «РД 50-34.698.90.Информационная технология. Методические указания. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». Планы, схемы и чертежи выполняются в соответствии со стандартами серии Система Проектной Документации для Строительства (СПДС) — ГОСТ 21.ххх. Для подготовки чертежей используются системы автоматизированного проектирования — AutoCAD, ArchiCAD и другие.Если позволяет время, и желание заказчика следовать государственным стандартам, то сначала выполняется эскизный проект с ориентировочными расчетными параметрами, определением структуры сети и т.д. Затем следует рабочий проект,  определяющий, в том числе виде планов и схем, все основные решения по организации сети, ее прокладке с перечнем используемого оборудования и материалов. На основании рабочего проекта выполняется сметный расчет, и при готовности объекта, начинается монтаж структурированной кабельной системы (подготовительные работы можно проводить и  на  этапе эскизного проектирования). Во время монтажа осуществляется весь необходимый строительный контроль, в том числе и контроль со стороны проектного отдела за качеством работ, а также текущее информационное обеспечение. После завершения основных монтажных работ, на этапе приемо-сдаточных испытаний, с помощью инженерного состава проектного отдела проводится полное тестирование сети СКС (предварительное, текущее тестирование осуществлялось силами монтажных бригад), формирование соответствующего отчета и, при необходимости, начало процесса сертификации системы у компании-производителя. На последнем этапе производится формирование исполнительной документации, содержащей в себе полные данные о структуре сети, результаты тестирования сети, эксплуатационную информацию и т.д.Общий надзор за качеством работ осуществляется начальником проектного отдела и  менеджером проекта – главным инженером проектировщиком. 2.6.2 Разработка рекомендаций по тестированию информационных магистралейПо завершении монтажа производится процедура тестирования кабельных линий на соответствие требованиям стандартов СКС. Процедура тестирования позволяет подтвердить качество монтажа, выявить скрытые дефекты, убедиться в обеспечении нормальной работы всех требуемых Техническим заданием сетевых протоколов.На основе полученных результатов тестирования Производитель компонентов выдает гарантию на смонтированную систему сроком от 15 до 25 лет в зависимости от производителя.СКС – это достаточно ответственный элемент инфраструктуры, со своими требованиями к уровню монтажа и качеству самих компонентов системы. Работоспособность тех, или иных приложений, использующих инфраструктуру СКС, зависит от большого количества параметров этой системы. В связи с этим, для контроля этих параметров, проводят процедуры тестирования СКС. Тестирование, или измерения в СКС выполняются на всех этапах строительства и эксплуатации кабельной системы и являются необходимым условием обеспечения нормального функционирования и быстрого восстановления работоспособности каналов итрактов в аварийных ситуациях.Измерения производятся в процессе входного контроля, приемо-сдаточных испытаний и эксплуатации СКС, причем последние измерения делятся на профилактические, аварийные и контрольные. Основной вывод, о соответствии тестируемой электрической медной линии нормам, делается по результатам контроля четырех параметров (затухание и переходное затухание в полосе частот до 100 МГц, а также длина и правильность разводки), современные тестеры СКС контролируют также ряд других, дополнительных характеристик. Для оптического тракта, основной параметр – это затухание сигнала.В обязательном порядке проводятся, как технологические, плановые, измерительные работы на прокладываемых линиях (на этапе монтажа силами монтажных бригад и инженерным составом на приемо-сдаточных испытаниях), так и внеплановые работы по тестированию медных и оптоволоконных линий связи. Причем тестирование проводится как для конечных потребителей, так и для других компаний, выполняющих монтажные работы в сфере СКС. Тестирование СКС осуществляется современным измерительным комплексом Fluke DTX-1800 и оптическими измерительными устройствами FOD.Эксплуатация СКСЭффективность СКС во многом связана с точностью документации на неё и правильностью её эксплуатации.По окончании монтажа Исполнитель обязан передать Заказчику Исполнительную документацию на СКС, которая должна как минимум включать в себя:описание СКС, включая её структуру;инструкцию для обслуживающего персонала;кабельные журналы, отражающие постоянные соединения и текущуюкроссировку в монтажных шкафах.Для поддержания документации всегда в актуальном состоянии в неё необходимо вносить все изменения производимые с СКС. Наличие полной и актуальной эксплуатационной документации позволит в любой момент быстро и четко контролировать текущее состояние сети.2.7 Структура системы безопасности АСУ ТП турбинного цеха Кировской ТЭЦ-4С учетом установки дополнительного программно-аппаратного обеспечения структура системы безопасности АСУ ТП турбинного цеха Кировской ТЭЦ-4 приведена на рис. 2.1.Рис. 2.1 - Структура системы безопасности АСУ ТП турбинного цеха Кировской ТЭЦ-4Как видно из схемы после модернизации системы ИБ АСУ ТП турбинного цеха Кировской ТЭЦ-4 было выделено 5 уровней системы:Сеть общего пользования (интернет) выделена в отдельный уровень;Корпоративная сеть Кировской ТЭЦ-4 соединена с сетью общего пользования и сегментов серверов через межсетевые экраны;Серверы с информацией выделены в отдельный сегмент;Создана подсеть для операторов управления турбинного цеха Кировской ТЭЦ-4;Связь абонентских пунктов операторов с контроллерами управления, датчиками и элементами управления осуществляется через криптошлюзы;Все абонентские пункты управления оборудованы электронными замками «Соболь».ЗаключениеЦелью ВКР является разработка рекомендаций по организации защищенной передачи служебной информации турбинного цеха Кировской ТЭЦ-4.В первой главе рассмотрены понятия объектов критической инфраструктуры. Рассмотрены виды объектов критической инфраструктуры.Рассмотрено текущее состояние объектов критической инфраструктуры в России. Главной особенностью критически важных объектов (КВО) является использование специализированных АСУ ТП. К данным системам выдвигаются особые требования.Описаны наиболее уязвимые компоненты ИТ-инфраструктуры критически важных объектов.Описаны факторы, затрудняющие защиту ИТ-инфраструктур критически важных объектов.Рассмотрено состояние российской регулятивной базы для области информационной безопасности критически важных объектов.Рассмотрена нормативная база в области безопасности АСУ ТП.Описаны основные угрозы безопасности объектов критической инфраструктуры.Рассмотрены цели и задачи мониторинга безопасности объектов критической инфраструктуры.Во второй главе рассмотрены возможные угрозы безопасности АСУ ТП.В работе осуществлена разработка рекомендаций по безопасному монтажу информационных магистралей.Рассмотрены варианта реализации защищенного канала связи. Разработан перечень рекомендаций по обеспечению безопасной передачи служебной информации турбинного цеха Кировской ТЭЦ-4.Осуществлен выбор программно-аппаратных средств для реализации защищенной передачи служебной информации в АСУ ТП Кировской ТЭЦ-4.Разработана методика реализации организационно-технических мероприятий по обеспечению безопасной эксплуатации АСУ ТП Кировской ТЭЦ-4.Таким образом, цель работы можно считать достигнутой, а задачи решенными.Список литературыБачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2013. – 352 с.Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: 2014. – 256 с.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2013. – 192с.Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2014. – 312 с.Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2013. – 368 с.Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2014. – 336 с.Назаров С.В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2015, с. 24Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2013. – 378 с.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2014. – 544 с.Сердюк В.А. Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий/В.А. Сердюк, М.: Высшая Школа Экономики (Государственный Университет), 2014 – 576 с.Чекмарев Ю.В. Вычислительные системы, сети и коммуникации/Ю.В. Чекмарев, М.: Книга по требованию, 2013 – 184 с.Поляк-Брагинский А.В. Локальные сети. Модернизация и поиск неисправностей/А. Поляк-Брагинский, Спб.: БВХ-Петербург, 2015 – 832 с.Шаньгин В.Ф. Защита компьютерной информации/В.Ф. Шаньгин, М.: Книга по требованию, 2014 – 544 с.Подшибякин М.А., Коноплев Н.П., Чураков Д.Г., Новак И.В., Демидов Е.Н. Методика и результаты тестирования программного обеспечения АСУТП АЭС с ВВЭР // Материалы II Всероссийской научнотехнической конференции «Обеспечение безопасности АЭС с ВВЭР». - Подольск, 19-23 ноября 2011 г. УДК 621.039.58.Менде А., Виттиг Е., Подшибякин М.А., Коноплев Н.П., Новак И.В. Подход к проведению и некоторые результаты тестирования с использованием модели объекта управления аппаратуры TXS для блока № 1 АЭС «Тяньвань». // Вопросы атомной науки и техники. Серия: Обеспечение безопасности АЭС. Выпуск 5: Реакторные установки с ВВЭР. ISBN 5948830152, 2011.Быков М.А., Зайцев С.И., Беляев Ю.В., Алехин Г.В., Егоров А.П., Гусев В.И. Совершенствование программнорасчетного комплекса ТРАП-97. Учет пространственных эффектов в реакторе. // Теплоэнергетика, № 1, 2013.Быков М.А., Лисенков Е.А., Зайцев С.И., Сиряпин Н.В. Дополнительная верификация расчетного кода КОРСАР/ГП1. Течь 11% из верхней камеры смешения на ПСБ-ВВЭР» // IV международная научнотехническая конференция «Обеспечение безопасности с ВВЭР», Подольск, 2013.Воронов А.А., Основы теории автоматического управления: Особые линейные и нелинейные системы. – М.: Энергоиздат, 2014. – 303 с.Евстигнеев А.В., Микроконтроллеры AVR семейства classic фирмы ATMEL – 3-е изд., стер. – М.: Издательский дом «ДодэкаXXI», 2014. – 288 с.Корнеев В.В., Киселев А.В., Современные микропроцессоры. – 3-е изд. – СПб.: БХВ-Петербург, 2013. – 448 с.Лукас В.А., Теория управления техническими системами, Екатеринбург: УГГГА, 2015 – 675 с.Бессекерский В.А., Попов Е.П., Теория систем автоматического управления, СПБ: Профессия, 2013 – 752 с.Федоров Ю.Н., Справочник инженера по АСУТП, М.: 2014 – 928 с.Харбор Р., Филлипс Ч., Системы управления с обратной связью, СПБ: Лаборатория базовых знаний, 2014 – 616 с.Клюев А.С., Проектирование систем автоматизации технологических процессов, СПБ: Энергоатомиздат, 2013 – 464 с.Баронов В.В., Автоматизация управления предприятием, СПБ: Инфра-М, 2014 – 239.ПаркД., Передача данных в системах контроля и управления, М.: 2014 – 432 с.Мусаев А.А., Алгоритмы аналитического управления производственными процессами, М.: 2013 – 432 с.Мусаев А.А., Автоматизация диспетчеризации производственных процессов промышленных предприятий, М.: 2012 – 232 с.Горелик Т.Г., АСУ ТП магистральных подстанций. Новые технические решения и опыт внедрения, М.: 2013 – 122 с.Нестеров А.Л., Проектирование АСУТП. Методическое пособие Книга 1, М.: 2014 – 212 с.Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2015. – 320 с.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2014. – 544с.Статья «Системы мониторинга объектов критической инфраструктуры» [Электронный ресурс], режим доступа: http://centin.ru/services/monitoring/Статья «Защита объектов критической инфраструктуры в России и в мире» [Электронный ресурс], режим доступа: http://www.dailycomm.ru/m/12237/Статья «Информационная безопасность критически важных объектов» [Электронный ресурс], режим доступа: http://www.pcweek.ru/numbers/detail.php?ID=155847ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. (Принят и введен в действие Постановлением Госстандарта России от 12 мая 1999 № 160).