Информационная безопасность

Информационная безопасность

Информационная безопасность критически важной инфраструктуры – вопрос, имеющий огромное значение не только для отдельных предприятий, но и для государства в целом, поэтому российское правительство уделяет этой теме большое внимание. В 2018 году был принят закон 187-ФЗ «О безопасности критической информационной инфраструктуры». Он расшил перечень информационных систем, к безопасности которых выдвигается ряд обязательных требований со стороны государства. Теперь их владельцы несут ответственность за их безопасность, в том числе уголовную. Для таких систем вводится понятие «критическая информационная инфраструктура» (КИИ). К данной категории относятся информационные системы и сети, нанесение ущерба которым может привести к возникновению угрозы для здоровья и жизни людей, негативно повлиять на экономическую, политическую, экологическую и социальную устойчивость региона и государства в целом.

Требования к встроенным СЗИ АСТУ электросетевого комплекса ПАО «Россети»

Одной из систем, безопасность которых должна быть обеспечена в соответствии с Федеральным законом, являются электрические сети страны. Оператор электрических сетей в России, ПАО «Россети», сформулировало требования к встроенным средствам защиты информации (СЗИ) автоматизированных систем технологического управления (АСТУ) электросетевого комплекса. Эти требования, которые были утверждены распоряжением ПАО «Россети» от 30.05.2017 № 282 р., распространяются на аппаратно-программное обеспечение, применяемое в составе АСТУ, в том числе предназначенное для управления и встроенное в оборудование соответствующих подсистем. Применяются при выполнении работ по защите, созданию, модернизации и эксплуатации, приемке (включая процесс аттестации оборудования, материалов и систем в электросетевом комплексе ПАО «Россети») и испытаний систем, входящих в состав АСТУ ПАО «Россети» и его дочерних предприятий (ДЗО).

Компоненты АСТУ, поставляемые и эксплуатируемые на объектах электросетевого комплекса группы компаний «Россети», должны обладать встроенными СЗИ. Производитель АСТУ и/или электрооборудования обязан подтвердить соответствие встроенных СЗИ указанным требованиям в форме сертификации указанного оборудования и/или программного обеспечения в системе сертификации ФСТЭК.

ПАО «Россети» выделило следующие угрозы информационной безопасности систем:

  • внедрение вредоносного ПО и программных закладок;
  • несанкционированное уничтожение, модификация, копирование и блокирование информации, изменение конфигурации и настроек;
  • анализ и перехват потоков информации между удалёнными процессами;
  • нарушение целостности данных в рамках протокола обмена;
  • модификация информации;
  • несанкционированная конфигурация, настройка и нарушение штатного режима работы;
  • хищение оборудования.
Определен ряд мер по защите информации в АСТУ:
  • идентификация и аутентификация удаленных контроллеров ТМ;
  • аутентификация внешних пользователей и процессов;
  • контроль целостности программной среды;
  • защита информации, передаваемой по каналам связи;
  • применение межсетевых экранов на периметрах объектов;
  • управление доступом пользователей, регистрация событий доступа;
  • обнаружение и предотвращение сетевых вторжений;
  • антивирусная защита.
Защита каналов передачи данных в АСТУ должна быть обеспечена с помощью следующих мер:
  • Идентификация и аутентификация удалённых контроллеров ТМ («ГОСТ Р 28147-89. Криптоалгоритмы для данных, передаваемых по внешним каналам связи»);
  • Аутентификация внешних пользователей и процессов (ГОСТ 34.11. На базе однонаправленных ключевых хэш-функций реализуется двусторонняя аутентификация);
  • Контроль целостности программной среды («ГОСТ 34.11. Расчёт и хранение контрольной суммы с помощью ключевой криптографической хеш-функции»);
  • Защита информации, передаваемой по каналам связи («ГОСТ 34.11. Генерация имитовставки для передаваемой информации»);
  • Применение межсетевых экранов на периметрах объектов;
  • Управление доступом пользователей, регистрация событий доступа;
  • Обнаружение и предотвращение сетевых вторжений;
  • Антивирусная защита

Разработки компании «ПиЭлСи Технолоджи»

ООО «ПиЭлСи Технолоджи» – российская компания, которая занимается разработкой и внедрением инновационных решений, направленных на автоматизацию всех процессов в энергетике. Эта отрасль в любом государстве относится к стратегической, а, следовательно, нуждается в особой защите. Наряду с защитой аппаратного обеспечения на первый план выходит кибербезопасность.

Информационная безопасность – ключевой аспект разработок компании «ПиЭлСи Технолоджи». Создавая специализированное программное обеспечение и программно-технические комплексы с использованием встроенных решений на базе ПТК TOPAZ, специалисты «ПиЭлСи Технолоджи» сумели реализовать все перечисленные выше требования к защите информации в энергосистемах. В частности, исключительной особенностью этих программных продуктов является отечественная разработка, благодаря чему удалось отказаться от использования исходных кодов аналогичных систем зарубежного производства. Комплексные системы обеспечения информационной безопасности, которые ООО «ПиЭлСи Технолоджи» проектирует, разрабатывает и внедряет, имеют все необходимые свидетельства на используемые товарные знаки и регистрационные свидетельства на программное обеспечение. Данные системы совместимы с системами других производителей («Шнейдер Электрик», «Сименс», АББ и др.), при этом обеспечивают независимость критически важных процессов от оборудования и программного обеспечения зарубежного производства.

В контроллерах и серверах используется операционная система на базе LINUX. Разрешение № РРС 00-044430 свидетельствует о допустимости применения данных решений на опасных производственных объектах. Кроме того, компания «Пи Эл Си Технолоджи» имеет лицензию ФСТЭК России № 1329 от 23.10.2014 г. на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации. Рассмотрим ключевые особенности упомянутой выше системы TOPAZ, которая является одной из центральных разработок «ПиЭлСи Технолоджи» и к настоящему времени успешно внедрена на многих предприятиях стратегически важных отраслей.

Комплекс решений «TOPAZ»

Рис. 1. Экосистема защищенных решений «TOPAZ»

TOPAZ – это обширный комплекс программных и аппаратных решений (ПТК), создающих целую «экосистему» (рис. 1), в которой поддерживается высочайший уровень защищенности. Достаточно сказать, что в настоящее время программно-технический комплекс TOPAZ с успехом используется при построении:

  • систем безопасности объектов критической информационной инфраструктуры 1, 2 и 3 категорий значимости (Приказ ФСТЭК России от 29 декабря 2017 г. № 239);
  • систем 1, 2 и 3 классов защищенности АСУ ТП (Приказ ФСТЭК России от 14 марта 2014 г. № 31);
  • государственных информационных систем 1, 2 и 3 классов защищенности (Приказ ФСТЭК России от 11 февраля 2013 г. № 17).

В этих и других системах ПТК TOPAZ обеспечивает информационную безопасность самых разных подсистем. Входящие в его состав решения используются для идентификации и аутентификации, управления доступом, для ограничения программной среды, в подсистемах сбора, регистрации и аудита событий информационной безопасности, для обеспечения целостности и доступности, для управления конфигурацией, межсетевого экранирования и сегментирования промышленной сети и т.д.

Основное достоинство представленной линейки решений – единая аппаратная платформа, гарантирующая информационную защиту системы. Необходимо отметить и программное обеспечение, полностью разработанное отечественными специалистами и не содержащее исходных кодов аналогичных систем зарубежного производства (о чем уже говорилось выше). Это ПО успешно прошло сертификацию в ФСТЭК России и может применяться в ключевых системах, к которым предъявляются особые требования, таких как:

  • АСУ энергоснабжением;
  • АСУ наземным и воздушным транспортом;
  • АСУ добычей и транспортировкой нефти и газа;
  • АСУ экологически опасными производствами;
  • автоматизированные системы предупреждения и ликвидации чрезвычайных ситуаций.

На заводе ООО «ПиЭлСи Технолоджи» обеспечен полный цикл собственного производства микропроцессорных систем, управляемых специализированным ПО. В контроллерах и серверах применяется единая операционная система на базе ядра Linux – ОС «TOPAZ LINUX».

Эта защищенная ОС с прикладным технологическим программным обеспечением используется в устройствах синхронизации времени и VPN-шлюзах (межсетевых экранах), устройствах сбора и передачи данных и промышленных коммутаторах, промышленных маршрутизаторах и многих других устройствах. Механизмы безопасности, которые применяются ОС «TOPAZ LINUX», реализуются на самых разных уровнях: от ядра ОС до промышленных протоколов. Например, обязательно выполняется идентификация и аутентификация на уровне ОС, СУБД, SCADA и т.п. Имеется разграничение доступа по ролевой и дискреционной моделям. Ведется аудит событий безопасности, причем обеспечена возможность передачи результатов аудита на верхний уровень системы. Поддерживаются криптографические функции для шифрования данных при необходимости. Выполняется фильтрация промышленных протоколов и сегментирование промышленных сетей. Осуществляется контроль целостности программной среды. Наряду с этими функциями ОС «TOPAZ LINUX» обеспечивает возможность подключения дополнительных модулей безопасности для аутентификации и контроля действий наладчиков.

Оборудование TOPAZ

Кратко охарактеризовав программную часть ПТК, перейдем к его аппаратному обеспечению и расскажем о некоторых ключевых решениях.

Промышленный контроллер TOPAZ

Центральным звеном любой автоматизированной системы, в том числе системы построенной в экосистеме TOPAZ, является контроллер. Промышленный контроллер TOPAZ оборудован множеством защитных функций. Он может выполнять идентификацию/аутентификацию пользователей – как локальную, так и удаленную, по протоколу RADIUS. Обеспечивает гибридную настройку правил доступа к защищенной информации в зависимости от заданной роли пользователя (администратор, оператор и т.п.). Также промышленный контроллер TOPAZ защищает память от снятия остаточной информации (так называемое гарантированное затирание). Он контролирует целостность программной среды и фиксирует несанкционированное изменения конфигурации/настроек/установок, выполняет аудит событий безопасности с возможностью отправки информации на верхний уровень по протоколам SYSLOG, SNMP и др. Причем информация может быть зашифрована: промышленный контроллер TOPAZ поддерживает криптографические алгоритмы (в том числе ГОСТ).

Сетевые устройства связи

Важную роль в обеспечении информационной безопасности системы играет сетевое оборудование связи: маршрутизаторы, коммутаторы и пр. В рамках ПТК TOPAZ разработаны как маршрутизаторы с функцией VPN, так и различное оборудование с функцией межсетевого экрана.

VPN (от Virtual Private Network – «виртуальная частная сеть») – это технология, позволяющая реализовать в сети отдельное, дополнительное, соединение (или несколько соединений) поверх основного для передачи особо секретных данных. Маршрутизатор TOPAZ с функцией VPN поддерживает протоколы IPSec и Open VPN для выполнения данной задачи. Также он способен:

  • шифровать трафик по алгоритмам ГОСТ;
  • создавать статистическую и динамическую маршрутизацию (RIP v1/v2, OSPF v2, BGP v4);
  • обеспечивать маршрутизацию на основе правил для интерфейсов;
  • отслеживать ТСР сессий, контролировать корректность установления соединений.

Еще одно устройство связи ПТК TOPAZ – это маршрутизатор с функцией межсетевого экрана. Он служит для межсетевого экранирования, способен обеспечивать защищенный удаленный доступ и блокировать недоверенные маршруты.

Коммутатор с функцией межсетевого экрана имеет гораздо большие «полномочия». Он может осуществлять фильтрацию по МАС и IP-адресам (в том числе промышленным протоколам) с использованием адресных листов. Поддерживает технологии локальной сети VLAN, способен отслеживать ТСР-сессии, контролируя корректность установки соединения. Данный коммутатор контролирует доступ разных пользователей к настройкам в соответствии с их полномочиями и соответственно поддерживает механизмы идентификации/аутентификации. В нем реализованы механизмы фильтрации трафика, которые позволяют коммутатору отсеивать запросы на получение данных по протоколу SNMP от неавторизованных клиентов и защитить устройства от иных несанкционированных запросов.

Преимущество встроенных механизмов для защиты информации

Таким образом, мы видим, что в целях защиты информации ООО «ПиЭлСи Технолоджи» применяет технологию встраивания защитных средств и механизмов непосредственно в оборудование программно-технического комплекса. Такой подход дает целый ряд преимуществ. Во-первых, функции информационной безопасности изначально реализованы в контроллерах АСТУ и ВСУ ТП, что позволяет выполнить все требования регулятора и повышает надежность системы. Во-вторых, так проще заказчику, ведь он в лице одной компании получает как исполнителя, так и поставщика, отвечающего за всю защищенную систему. В-третьих, в такой системе контроль целостности передаваемой информации по каналам связи реализован периодической проверкой состава ПО путем формирования и сверки с эталонной контрольной суммой файлов системы. Также в такой системе организованы доверенные каналы передачи данных и доверенная загрузка обновлений, реализован принцип разграничения прав доступа на основе дискреционной модели и в соответствии с матрицей доступа, настраиваемой на этапе проведения пуско-наладочных работ. Для снижения вероятности НСД предусмотрено использование ВОЛС, подключаемых прямо к каналам верхнего и среднего уровней АСУ.

Рис. 2 Примеры реализации

Защита от НСД к шкафам управления реклоузерами, защита SIM-карт и серверов ССПИ

  • Система СКУД и СБ может быть развернута на существующем оборудовании TOPAZ в ДП. Требуется организация ведения реестра SIM-карт на сервере СКУД и СБ в ДП
  • Шкаф дооснащается модулем контроля доступа, который позволит контролировать доступ к шкафу при открытии двери и выявлять попытки НСД третьих лиц
  • При НСД, срабатывают механизмы гарантированного уничтожения ключевой информации (ключей и сертификатов VPN) на сервере ССПИ и/или конфигурации и файловой системы сервера ССПИ, чтобы контроллер перестал выполнять коммуникационные функции.
  • Компактная IP-видеокамера в шкафу. Видеопоток направляется на сервер ССПИ, который осуществлять выборку фотографий и передает на сервер фиксации доступа в ДП.
  • Организованы доверенные каналы передачи данных и доверенная загрузка обновлений, позволяющие обеспечить защиту от перехвата и подмены информации и предотвратить доступ к внутренней сети компании
Преимущества решения «TOPAZ» в области информационной безопасности масштабны:
  1. Реализация функций защиты информации, встроенных непосредственно в устройства «TOPAZ», на базе которого строится АСТУ, АСУ ТП, ССПИ, АСКУЭ и т.п. – экономически и функционально выгодное решение.
  2. Наличие встроенных средств защиты информации, соответствующих требованиям российского законодательства для обеспечения безопасности АСУ ТП и КИИ.
  3. Поддержка расширенного репозитория прикладного ПО для устройств «TOPAZ» (SCADA, телемеханика, промышленные протоколы, встроенная криптография и т.п.).
  4. 100 %-ная российская разработка и сертифицированное производство с учетом требований заказчиков и регуляторов.
  5. Отсутствие недекларированных возможностей в ОС и прикладном ПО.
  6. Совместимость с решениями отечественных вендоров в области информационной безопасности.

Соответствия требованиям регуляторов и заказчиков

Система информационной безопасности, разработанной на базе ПТК «TOPAZ», в полной мере соответствует

  • Требованиям ПАО «Россети» к встроенным средствам защиты информации автоматизированных систем технологического управления электросетевого комплекса группы компаний «Россети» (Распоряжение № 282Р).
  • Требованиям ФСТЭК РД НДВ по 4 уровню контроля отсутствия недекларированных возможностей.
  • Требованиям ФСТЭК – профиль защиты ОС.
  • Требованиям приказов ФСТЭК № 31 и № 239 в части реализации технических мер защиты на объектах КИИ и в АСУТП/ССПИ.
  • Требованиям ФСБ России к шифровальным (криптографическим) средствам в части реализации криптографических алгоритмов ГОСТ.
  • ГОСТу 15408-2012 (часть 2, 3) в части реализации функциональных требований безопасности и требований доверия безопасности.
  • Стандартам IEC 62351 (часть 3, 5, 7-10) в части реализации механизмов безопасности.

Написать нам

Для получения коммерческого предложения и консультации по продукту.

Ваше письмо будет передано в корпоративный отдел продаж.

Перейти к заявке
Техподдержка

Ваше письмо будет передано техническому специалисту.

При первичном обращении требуется регистрация.

Перейти к запросу
КОМПЛЕКСНЫЙ СЕРВИС
«ПиЭлСи Технолоджи» реализует проекты «под ключ» благодаря собственному научно-производственному комплексу и полному циклу производства и внедрения
Производство микропроцессорных устройств ПиЭлСи Технолоджи
Производство микропроцессорных устройств
Проектные отделы ПиЭлСи Технолоджи
Проектные отделы
Внедренческие подразделения ПиЭлСи Технолоджи
Внедренческие подразделения
Сборочное производство ПиЭлСи Технолоджи
Сборочное производство
Филиалы в федеральных округах ПиЭлСи Технолоджи
Филиалы в федеральных округах
Инженерный центр ПиЭлСи Технолоджи
Инженерный центр
Конструкторское бюро ПиЭлСи Технолоджи
Конструкторское бюро
Метрологическая лаборатория ПиЭлСи Технолоджи
Метрологическая лаборатория
Отдел разработки программного обеспечения ПиЭлСи Технолоджи
Отдел разработки программного обеспечения
Учебный центр ПиЭлСи Технолоджи
Учебный центр
Инженерный центр ПиЭлСи Технолоджи
Инженерный центр
онструкторское бюро ПиЭлСи Технолоджи
Конструкторское бюро
етрологическая лаборатория ПиЭлСи Технолоджи
Метрологическая лаборатория
Отдел разработки программного обеспечения ПиЭлСи Технолоджи
Отдел разработки программного обеспечения
Учебный центр ПиЭлСи Технолоджи
Учебный центр

Признанный лидер в сфере инновационных разработок и производстве оборудования связи


Основным направлением деятельности ООО «ПиЭлСи Технолоджи» является производство оборудования для систем автоматики и телемеханики. Вся выпускаемая продукция производится с применением самых передовых технологий на современном автоматизированном оборудовании и с использованием только качественных комплектующих.


Сейчас мы располагаем автоматической линией поверхностного монтажа, с остоящей из высокоточного принтера трафаретной печати DEK Horizon 03iX, двух универсальных автоматов установки компонентов Hanwha Precision Machinery производительностью до 56 000 комп/час, конвейерной конвекционной печи ERSA, объединенных между собой высоконадежными конвейерными системами NUTEK, что позволяет загружать пустые платы на входе и быстро получать на выходе готовый печатный узел без вмешательства человека в ход процесса.