Обеспечение непрерывности безопасности бизнеса на уровне АСУ ТП

Баскаков А.В.
выпускник группы CSO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ.
Начальник группы по ИБ ООО «ТЦ Комус»
Ведущий аудитор по стандарту ISO/IEC 27001:2005

Обеспечение непрерывности бизнеса и как составляющую этого процесса непрерывность безопасности – главная цель, которую ставит владелец бизнеса (бизнес-заказчик) перед менеджментом, в том числе управленцем по безопасности.

В современном мире обеспечение непрерывности бизнеса выходит из плоскости вопросов только корпоративной безопасности, распространяется еще и на промышленные автоматизированные системы управления технологическими процессами (АСУ ТП). Основные компоненты и системы на производственных объектах, в том числе АСУ ТП, работают круглосуточно в режиме реального времени. Процесс обработки информации происходит также в режиме реального времени. От непрерывности функционирования этих систем зависит безопасность предприятия.

Ключевыми особенностями в обеспечение информационной безопасности АСУ ТП в сравнении с корпоративными автоматизированными системами является необходимость особого подхода, учитывающего существующую специфику этих систем. Специфика АСУ ТП заключается в  специальных требованиях, предъявляемых к используемым способам и механизмам защиты информации при планировании организационных и технических мер.

Обеспечение безопасности АСУ ТП в мировой практике регулируются различными стандартами, в том числе: ANSI/ISA-99 «ISA-99 Security for Industrial Automation and Control Systems», NIST SP800-82 «Guide to Industrial Control Systems», «20 Critical Security Controls», NERC CIP и др. В России стандартов  по обеспечение безопасности АСУ ТП нет.

Целью работы является:

Разработать требования и структуру стандарта обеспечения непрерывности безопасности бизнеса на уровне АСУТП.
Для достижения этой цели необходимо решить следующие задачи:

• проанализировать международные стандарты безопасности на уровне АСУ ТП;
• определить проблемные зоны в обеспечении непрерывности безопасности на уровне АСУТП;
• обосновать необходимость разработки стандарта безопасности на уровне АСУ ТП для российских условий;
• провести обзор существующих методик оценки зрелости;
• разработать адаптивную модель зрелости в обеспечении непрерывности безопасности бизнеса;
• разработать функциональную модель процесса управления непрерывностью безопасности бизнеса;
• обосновать специфику применения указанной модели для управления непрерывностью безопасности бизнеса на уровне АСУ ТП;
• разработать проект структуры и содержание разделов стандарта обеспечения непрерывности безопасности бизнеса на уровне АСУТП.

В первом разделе рассмотрены стандарты безопасности на уровне АСУ ТП: ANSI/ISA-99, NIST SP800-82, «20 Critical Security Controls», NERC CIP. На основе их анализа сделаны следующие выводы:

• обеспечение безопасности важная проблема в области управления непрерывностью бизнеса. Обсуждаемый объект управления – АСУ ТП, это система реального времени и важно, чтобы  время реакции на инцидент приближалось к моменту появления инцидента. Возможные инциденты должны быть максимально идентифицированы, а контрмеры четко сформулированы, дежурный  персонал подготовлен к применению контрмер через обучение и регулярно проводимые учения;
• в настоящее время в мировой практике не существует единого стандарта по решению проблемы безопасности на уровне АСУ ТП, на основе которого можно рекомендовать создание процесса управления безопасностью. И российские и зарубежные компании в области обеспечения безопасности на уровне АСУ ТП  ориентируются на один из рассмотренных стандартов, единого подхода нет. В России стандартов по обеспечению безопасности на уровне АСУ ТП нет;
• в существующих стандартах безопасности АСУ ТП вопросы управления процессом обеспечения безопасности либо не рассматриваются, либо проработаны слабо.  При этом все стандарты в большей степени ориентированы на технические меры по обеспечению безопасности. Вопрос интеграции со стандартом ISO 27001, который, по сути, ориентирован на управление безопасностью находиться в «замороженном» состоянии и не проработан;
• без системы управления безопасности на уровне АСУ ТП говорить об управлении непрерывностью бизнеса организации невозможно.

Постановка задачи по внедрению и продвижению любого процесса управления в организации должна соответствовать уровню организационного и технологического развития, и в частности, процессов обеспечения безопасности. Требования к реализации мероприятий по безопасности должны формулироваться с учетом уровня зрелости этих процессов в конкретной организации.  Для определения стадии организационного и технологического развития организации и ее процессов в мировой практике существует понятие «модель зрелости».

Во втором разделе рассмотрены следующие модели зрелости: Open Information Security Management Maturity Model (O-ISM3); Enterprise Information Management Maturity Model (EIM MM); NISTIR-7358 методология PRISMA; Community Cyber Security Maturity Model (CCSMM). На основании сравнительного анализа рассмотренные моделей зрелости сделаны следующие выводы:

•  единой трактовки понятия зрелости нет, каждая модель решает собственную проблематику;
• применение разработанных моделей зрелости без понимания базовой модели (т.е. для решения каких вопросов она разрабатывалась и на основе какой постановки задачи) – затруднительно;
• модель зрелости должна учитывать вполне конкретный набор метрик, через которые раскрывается уровень зрелости организации. Эта идея была продемонстрирована на основе анализа моделей зрелости;
• следует разрабатывать собственную модель зрелости, на основе собственной базовой  модели (как мы ее видим) с необходимыми для нас метриками. А рассмотренные варианты моделей зрелости полезно использовать как образец.

Рассмотренные варианты моделей зрелости следует использовать как образец для разработки адаптивной модели зрелости, к которой предлагаются следующие требования: разработать  модель  на основе собственной базовой  модели процесса обеспечения непрерывности бизнеса, с необходимыми для этого процесса метриками и пятиуровневой шкалой зрелости.

Представлена разработанная для целей работы адаптивная модель зрелости процесса обеспечения непрерывности бизнеса. Ключевыми моментом разработанной адаптивной модели зрелости является разделение метрик на два направления. Первое направление определяет обеспеченность условиями для внедрения процесса. Без определения состояния обеспеченности не имеет смысла говорить о развитии процесса обеспечения непрерывности бизнеса в дальнейшем, так как без наличия ряда метрик выстроить управляемый процесс невозможно. Второе направление определяет степень реализации подпроцессов при декомпозиции процесса обеспечения непрерывности бизнеса. Конечная цель адаптивной модели зрелости, это повышение уровня зрелости процесса до максимального уровня.

В третьем разделе представлено моделирование процесса обеспечения непрерывности бизнеса. Цель моделирования: формализовать и описать процесс обеспечения непрерывности безопасности бизнеса, понять функции участников этого процесса и их роли для того, чтобы в дальнейшем использовать эту модель в качестве референсной.  Точка зрения: Модель строилась с точки зрения владельца бизнеса, который: определяет стратегию бизнеса; утверждает проект стратегии ИБ; утверждает проект политик(и) ИБ; утверждает проект угроз и целей защиты; утверждает проект карты рисков; выделяет ресурсы на обеспечение этой стратегии; назначает владельца процесса.

Инструментом моделирования выбрана нотация стандарта IDEF0, в которой вход (I) при наличии управления (C) преобразуется в выход (O) посредством (при помощи) механизма (исполнителя) (M). Если при этом некоторый вход одновременно является и управляющими воздействиями, то в соответствии со стандартом IDEF0 он показывается только как управление.

Методологической основой, которая формирует требования по управлению процесса обеспечения непрерывности бизнеса, являются положения международных стандартов по системам управления информационной безопасностью серии 27ххх.

Результатом моделирование явилось описание в нотации IDEF0 процесса обеспечения непрерывности безопасности бизнеса с соответствующими подпроцессами.

В заключительном разделе, на основании рассмотренных в первом разделе стандартов, сформулированы требования к тем ключевым аспектам, которых должен касаться проект стандарта по ИБ на уровне АСУ ТП для российских предприятий с учетом представленной специфики и на основе разработанных адаптивной модели зрелости и функциональной модели процесса обеспечения непрерывности бизнеса.
В работе первый раздел формирует требования к содержанию проекта стандарта  по ИБ на уровне АСУ ТП, который представлен в четвертом разделе. При этом, в четвертом разделе учитываются существующие проблемы и рассмотренные особенности стандартов АСУ ТП, представленных в первом разделе работы. Второй раздел работы представляет модель зрелости, связанную с базовой моделью процесса обеспечения непрерывности бизнеса, разработанную как модель управления ИБ  на основе существующих международных стандартов. При этом модель зрелости является неотъемлемой частью управления процессом обеспечения непрерывности бизнеса и влияет на его качество, совершенствование и регулирование.

Основные результаты работы:

• проанализированы современные стандарты безопасности АСУ ТП, проблемы их применения, сформулированы требования к структуре и содержанию российского варианта стандарта безопасности АСУ ТП;
• проанализированы международные модели зрелости, определены проблемы их применения в российских условиях;
• предложена адаптивная модель зрелости компании в части обеспечения непрерывности безопасности бизнеса;
• разработана функциональная модель процесса управления непрерывности безопасности бизнеса;
• на основе разработанных моделей зрелости и функциональной модели процесса управления непрерывности безопасности бизнеса разработана структура и определено содержание разделов проекта стандарта безопасности на уровне АСУ ТП.

Основные выводы:

• Модель зрелости необходимо предложить экспертному сообществу и необходимо ее адаптировать на основе полученных замечаний;
• Разработанная функциональная модель является высокоуровневой моделью, которая в дальнейшем подлежит детализации;
• Структура и содержание проекта безопасности на уровне АСУ ТП необходимо предложить экспертному сообществу для утверждения и дальнейшей проработке.