Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Пример удалённой высокооплачиваемой вакансии
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.
Где учиться на специалиста по ИБ
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия
В данной статье проведена систематизация требований к информационной безопасности (ИБ) АСУ ТП. Требования выбраны из доступных на настоящий момент стандартов, в первую очередь, из NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» и разрабатываемой новой редакции серии ISA/IEC 62443 «Security for Industrial Automation and Control Systems».
АСУ ТП взаимодействуют с объектами физического мира и обеспечивают защиту от аварий и катастроф. В англоязычной литературе АСУ ТП называют Industrial Control Systems (ICS) или Industrial Automation and Control Systems (IACS). В мире IT технологий их можно сравнить с Дон Кихотом, который остался верен простым, но не очень модным принципам в уже давно изменившемся мире.
Поэтому, была проведена параллель с функциональной безопасностью и рассмотрен комплекс требований, позволяющих обеспечить обе стороны безопасности АСУ ТП, и функциональную, и информационную.
Похожие проблемы следует решать и для других кибер-физических систем, включая IoT и встроенные управляющие системы.
В чем отличие АСУ ТП от других информационных (IT) систем?
Прежде чем рассматривать вопрос ИБ, хорошо бы сначала разобраться, а что, собственно говоря, такого в АСУ ТП, что вопросы их защиты и безопасности необходимо рассматривать отдельно от всего мира других IT?
Хороший сравнительный анализ, отвечающий на данный вопрос, содержится в уже упомянутом NIST SP 800-82. Ниже приводится фрагмент этого документа со сравнительными характеристиками АСУ ТП и абстрактной информационной системы (IT системы). С некоторыми моментами можно спорить, однако, надо при этом помнить, что в таблице сделана попытка максимально сконцентрироваться на возможных различиях, которые, тем не менее, могут не быть присущими для отдельно взятой информационной системы (например, в банковских система критична готовность и скорость доступа).
Сравнительный анализ информационных (IT) систем и АСУ ТП
Так в чем же все-таки проблема с информационной безопасность АСУ ТП?
Кроме того, что ИБ является проблемой сама по себе, в области АСУ ТП ситуация имеет свою специфику по причине наличия нескольких факторов.
Часто все обеспечение ИБ сводится к рассмотрению системы менеджмента ИБ (СМИБ), хотя СМИБ является необходимым, но не достаточным условием обеспечения ИБ для АСУ ТП. К тому же, в управлении ИБ АСУ ТП необходимо рассматривать три уровня: 1) предприятие, 2) программа по разработке и эксплуатации серии АСУ ТП, 3) единичная АСУ ТП. Об этом помнят не всегда, и происходит подмена понятий, когда для АСУ ТП, как технического объекта, пытаются выполнить все требования к СМИБ и упускают функциональные и технические характеристики.
Еще бывает так, что ИБ рассматривают только с точки зрения high-tech, как поток «черных» инноваций (Stuxnet, BlackEnergy, etc.) и, соответственно, набор тех или иных мер по защите от них.
Тем не менее, разумным является системный подход, включающий организационные и технические меры (триада «Люди – Процессы – Технологии»).
Еще одним моментом является лавинообразное увеличение за последние 5-10 лет количества стандартов в области ИБ. Многие стандарты активно перерабатываются и расширяются, что порождает некоторый хаос в требованиях.
Я постарался учесть стандарты и техдоки по АСУ ТП, а также те источники, на которые они ссылаются. Получился следующий обширный перечень:
– серия ISO/IEC 27000 “Information technology – Security techniques – Information security management systems” всем известна, и на хабре обсуждалась многократно, стандарты переводятся на русский язык и принимаются в качестве ГОСТ Р;
– три части ISO/IEC 15408 “Information technology – Security techniques –Evaluation criteria for IT security” или так называемые «Общие критерии» (Common Criteria) также переведены на русский язык и приняты в качестве ГОСТ Р;
– серия стандартов ISA/IEC 62443 “Security for Industrial Automation and Control Systems”; эти стандарты требуют самого тщательного внимания, поскольку представляют собой «энциклопедию» ИБ АСУ ТП; первая редакция была разработана International Society of Automation (ISA) в 2000-х гг., а затем адаптирована в качестве стандарта Международной электротехнической комиссии (МЭК, по-английски IEC); в РФ некоторые части 62433 также приняты в качестве ГОСТ Р; в настоящее время силами ISA ведется разработка следующей редакции 62433; разработка отстает от графика, но уже сейчас там есть о чем почитать; рисунок ниже показывает структуру планируемой серии ISA/IEC 62443;
Рисунок 1. Структура серии стандартов ISA/IEC 62443
– публикации States National Institute of Standards and Technology (NIST) на тему ИБ включают три серии: SP 500 Computer Systems, SP 800 Computer Security, SP 1800 Cybersecurity Practice Guides; NIST разработал собственную СМИБ (NIST SP 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations”), а также Cybersecurity Framework (SCF); но нас наиболее интересует NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security”;
– публикации North American Electric Reliability Corporation (NERC) под общим названием Critical Infrastructure Protection (SIP), относящиеся, в первую очередь, к энергетическим системам;
– Cybersecurity Capability Maturity Model (C2M2), разработанная Министерством энергетики США (Department of Energy, DOE);
– рекомендованные практики, разработанные командой Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), входящей в состав Министерства внутренней безопасности США ( Department of Homeland Security, DHS);
– фреймворк Control Objectives for Information and Related Technologies (COBIT), разработанный International Professional Association ISACA;
– фреймворк Critical Security Controls for Effective Cyber Defense (CIS CSC) разработанный Center for Internet Security;
– также можно перечислить стандарты, разработанные для отдельных индустриальных отраслей, например, серия AGA 12 от American Gas Association (AGA), руководство API 1164 от American Petroleum Institute (API), применяемый на АЭС стандарт IEC 62645 “Nuclear power plants – Instrumentation and control systems – Cybersecurity requirements” и т.д.
Итак, есть множество стандартов, все они представляют тематику ИБ, говорят об одном и том же, но, зачастую, разными словами. Задача гармонизации требований будет решена в следующем разделе. Есть одна хорошая новость, которая несколько скрашивает ситуацию. Практически все стандарты и техдоки в области ИБ, особенно, в области ИБ АСУ ТП, написаны понятным техническим языком. В этом они выгодно отличаются от других стандартов, например, по функциональной безопасности АСУ ТП.
Теперь остается еще один вопрос: как совместить требования к информационной безопасности с требованиями к функциональной безопасности (ФБ)? Последняя важна тем, что АСУ ТП управляют физическими потенциально опасными объектами, и именно в этом состоят их основные риски.
Бывает, что специалисты по ИБ не в полной мере чувствуют специфику АСУ ТП, то есть, если систему не атакуют, то и проблемы нет. Но ведь угрозы и риски исходят не только от злоумышленников, но и от некомпетентного персонала, отказов оборудования, воздействий окружающей среды. А эти вопросы уже давно решены в рамках ФБ путем применения методов обеспечения надежности и управления процессами жизненного цикла.
Правда и то, что «надежностники» тоже скептически смотрят на security, не видя особых проблем в кибер угрозах. Системы безопасности (противоаварийной защиты, ПАЗ) крайне консервативны, поскольку требуют больших затрат на лицензирование и сертификацию. Например, для АЭС затраты на лицензирование могут составлять до 10% стоимости проекта.
Так что, иного пути, чем междисциплинарная интеграция усилий и знаний, на данный момент не существует. Гармонизация требований к ИБ и ФБ тоже будет рассмотрена ниже в данной публикации.
Общая картина требований к информационной безопасности АСУ ТП
Когда рассматривается какая-либо техническая система, связанная с возможными рисками, то алгоритм формирования требований к ней следующий:
– ранжировать уровни рисков, связать риски с функционированием системы, и, таким образом, ранжировать требуемые уровни безопасности системы;
– определить меры, направленные на достижение требуемых уровней рисков; крупноблочно, такими мерами являются: система менеджмента, процессы жизненного цикла, технические контрмеры защиты от нарушения работоспособности по причине отказов и/или внешних воздействий.
Когда я об этом, задумался, то общая картина у меня представилась таким образом.
Рисунок 2. Концепция информационной безопасности
Во главе угла лежит управление рисками. Контекст ИБ включает оценку угроз, уязвимостей и рисков вместе с взаимосвязанным процессом применения контрмер по снижению рисков. Организация работ по обеспечению приемлемого уровня рисков определяется категориями «люди», процессы», «технологии».
Рисунок 3. Контекст обеспечения и оценивания информационной безопасности (источник: ISA/IEC 62443)
На особенностях описания АСУ ТП и концепции обеспечения ИБ необходимо остановиться подробнее.
Для описания особенностей разберемся с тремя типами моделей АСУ ТП, которые предлагается рассматривать в интересах ИБ.
Прежде всего, это референсная модель АСУ ТП, определяющая пять уровней:
– Уровень 4: управление предприятием;
– Уровень 3: операционное управление производством;
– Уровень 2: управление и мониторинг физических процессов (SCADA);
– Уровень 1: локальное управление процессом и оборудованием, включая функции защиты и безопасности (Control System);
– Уровень 0: физический процесс и оборудование (датчики и исполнительные механизмы).
То, что обычно подразумевается под АСУ ТП, по сути занимает уровни 0, 1 и 2.
Рисунок 4. Референсная модель АСУ ТП (источник: ISA/IEC 62443)
Модель физической архитектуры АСУ ТП является наиболее распространенной. Она описывает физические компоненты, объединенные посредством сетей.
Рисунок 5. Модель физической архитектуры АСУ ТП (источник: ISA/IEC 62443)
Модель зонирования АСУ ТП может быть получена из предыдущей модели путем разбиения на группы, зависящие от требований к уровню обеспечения ИБ, функционального назначения и реализуемых политик ИБ. Именно данная модель является основой для анализа угроз, уязвимостей, рисков и контрмер по снижению рисков до требуемого уровня.
Рисунок 6 Модель зонирования АСУ ТП (источник: ISA/IEC 62443)
Далее, процесс обеспечения ИБ зависит от определения того, как АСУ ТП применяется на целевом объекте. Такое описание включает:
– выполняемые функции;
– применяемые программные, аппаратные и сетевые компоненты и интерфейсы;
– критерии выполнения целевых процессов (эффективность, безопасность, экологичность и т.п.);
– материальные и нематериальные активы, вовлеченные в область применения АСУ ТП (производственные мощности, интеллектуальная собственность, репутация бизнеса, качество продукции, средства защиты персонала и окружающей среды и т.п.);
– анализ нежелательных последствий, заключающихся в возможном финансовом ущербе, а также в ущербе жизни и здоровью людей, окружающей среде, производству продукции, конфиденциальной информации и общественному имиджу.
Концепция обеспечения информационной безопасности
Уровни информационной безопасности
В основе концепции обеспечения ИБ лежит деление АСУ ТП на уровни ИБ (Security Level, SL). Определяются уровни ИБ в зависимости от характерных угроз и уязвимостей, рисков, целевых функций частей и компонентов АСУ ТП, и, связанных с этим политик безопасности.
Считается, что уровни ИБ заимствованы из ранее предложенных и успешно применяемых в АСУ ТП уровней ФБ, называемых также Safety Integrity Level (SIL).
В стандартах можно найти несколько подходов к разделению АСУ ТП на Security Level. Мы остановимся на зонировании, предложенном все в том же ISA/IEC 62443:
– Security Level 0 (No specific requirements or security protection necessary); определение уровня, для которого не нужны меры обеспечения ИБ, порождает некоторую неопределенность, поскольку непонятно, можно ли вообще отказаться от обеспечения ИБ; на практике можно руководствоваться конкретной ситуацией и исходить из принципа разумной достаточности; обычно нулевой уровень устанавливается не для зон в целом, а для отдельных компонентов, который по какой-либо причине не дотягивают до следующего уровня Security Level 1;
– Security Level 1 (Protection against casual or coincidental violation); защита от случайных или совпадающих нарушений ИБ обеспечивается, в первую очередь, процедурным путем;
– Security Level 2 (Protection against intentional violation using simple means with low resources, generic skills and low motivation); начиная со второго уровня, рассматривается защита от злонамеренных нарушений; на втором уровне рассматриваются обычные неспециализированные атаки, такие как вирусы или использование известных уязвимостей; обычно такие атаки отражаются в автоматическом режиме;
– Security Level 3 (Protection against intentional violation using sophisticated means with moderate resources, ICS specific skills and moderate motivation); на данном уровне необходимо обеспечить защиты от злоумышленников, обладающих достаточными знаниями и ресурсами, чтобы совершить атаку на целевую систему; такие злоумышленники используют малоизвестные уязвимости операционных систем и индустриальных протоколов, а также программные инструменты, которые требуют специальных знаний;
– Security Level 4 (Protection against intentional violation using sophisticated means with extended resources, ICS specific skills and high motivation); данный уровень отличается от предыдущего тем, что здесь злоумышленник привлекает значительные ресурсы, например, организованная группа может использовать кластер компьютеров с высокой вычислительной мощностью на продолжении длительного времени.
В пределах одной зоны размещения оборудования (см. модель зонирования АСУ ТП) целесообразно обеспечивать один и тот же уровень ИБ, а между зонами информационный обмен осуществляется по контролируемым каналам и «сверху-вниз», т.е. или на одном уровне ИБ, или от более высокого уровня ИБ к более низкому уровню ИБ, но не наоборот.
Для каждого из уровней ИБ в АСУ ТП задается несколько групп требований:
– управление идентификацией и аутентификацией;
– контроль использования ресурсов;
– обеспечение интегрированности (целостности);
– обеспечение конфиденциальности данных;
– доступность ресурсов;
– контроль и ограничение потоков данных;
– время реакции на события.
Соответственно, объем рассмотренных ниже требований к СМИБ, жизненному циклу АСУ ТП и защитным контрмерам зависит от установленного уровня ИБ.
Система менеджмента информационной безопасности
По проблеме организации СМИБ уже существует множество материалов. Важно помнить, что менеджмент СМИБ может устанавливаться на нескольких уровнях: 1) предприятие, 2) программа по разработке и эксплуатации серии АСУ ТП, 3) единичная АСУ ТП.
Для СМИБ уровня предприятия, как для управленческой системы, реализуется цикл Деминга: Plan – Do – Check – Act.
Для СМИБ, применяемой в рамках проектов по разработке АСУ ТП, реализуется жизненный цикл, который рассмотрен ниже.
Жизненный цикл информационной безопасности
Для АСУ ТП реализуется V-образный жизненный цикл, который характеризуется выполнением мероприятий по верикации и валидации (обзоры, анализ или тестирование после каждого из этапов разработки). Пример жизненного цикла разработки ПО для АСУ ТП представлен ниже.
Рисунок 7. V-образный жизненный цикл разработки ПО АСУ ТП (источник: IEC 61508)
Данный жизненный цикл реализует требования к ФБ и потому называется Functional Safety Life Cycle. Для того, чтобы соответствовать Security Life Cycle, в спецификации должны быть определены требования к ИБ. Требования к ИБ должны включать реализацию направленных на снижение рисков контрмер, таких, как обеспечение конфиденциальности, интегрированности и доступности, управление идентификацией и аутентификацией и т.д. Эти требования затем реализуются и проверяются на всех этапах жизненного цикла.
Важной концепцией ИБ является «защита в глубину» (Defense in Depth), также пришедшая из области ФБ. «Защита в глубину» подобна многоуровневой глубокоэшелонированной обороне, когда, после проникновения атакующего через один из защитных уровней, он встречается с новой, возможно, принципиально другой защитой атакуемого объекта.
Связь информационной и функциональной безопасности
В публикациях на тему функциональной безопасности мне удалось свести все многообразие требований к нескольким группам:
— управление функциональной безопасностью (Functional Safety Management);
— реализация жизненного цикла функциональной безопасности (Functional Safety Life Cycle);
— защита от систематических отказов проектирования системы и ПО (System and Software Failures Avoidance);
— защита от случайных отказов аппаратных средств (Random Failures Avoidance).
Рисунок 8. Концепция требований к функциональной безопасности
Если спроецировать эти группы требований на область ИБ, то картина получится приблизительно та же.
Во-первых, исходя из роли АСУ ТП в обеспечении ФБ и ИБ, производится градация и разделение систем на уровни. Для обеспечения и оценивания ФБ вводятся Safety Integrity Levels (SIL), а для обеспечения и оценивания ИБ – Security Levels (SL).
Во-вторых, в рамках СМИБ должно быть реализовано управление ИБ. Поскольку многие процессы ИБ и ФБ имеют пересечение, между ними должна осуществляться координация.
В-третьих, как было показано выше, процессы разработки, верификации и валидации, направленные на обеспечение как ФБ, так и ИБ, могут быть реализованы в рамках единого жизненного цикла (Safety & Security Life Cycle).
В-четвертых, в области ФБ и ИБ есть общие риски, обусловленные возможными отказами аппаратных средств. Методами защиты от таких отказов являются резервирование, диагностирование, защита от помех и других экстремальных воздействий и т.п. Таким образом, для обеспечения ИБ и ФБ применяются одни и те же контрмеры.
В-пятых, в АСУ ТП возникают так называемые систематические отказы, вызванные недостатками проектирования ПО и системной составляющей. Те же недостатки приводят к уязвимостям, которые, могут быть использованы злоумышленниками. Ряд контрмер может быть применен для обеспечения как ИБ, так и ФБ (например, контроль доступа к оборудованию и информации). Таким образом, возникает необходимость координации между контрмерами, направленными на обеспечение ИБ и ФБ.
И, наконец, в рамках управления ИБ и ФБ должно осуществляться оценивание мер по обеспечению этих двух составляющих безопасности.
Все сказанное выше представлено на диаграмме, которая может быть основой для координации деятельности по обеспечению ИБ и ФБ.
Рисунок 9. Концепция гармонизированных требований к функциональной и информационной безопасности
Особенности обеспечения информационной безопасности АСУ ТП заключаются в том, что такие системы взаимодействуют с процессами физического мир и первичным их свойством является защита людей и окружающей среды от техногенных рисков. Информационная безопасность АСУ ТП важна, поскольку уязвимости могут быть использованы как раз для физической атаки людей, окружающей среды и материальных активов.
С учетом вышесказанного, обеспечение и оценивание информационной и функциональной безопасности АСУ ТП должно осуществляться координировано в рамках единого жизненного цикла (Safety & Security Life Cycle).
Решение проблемы информационной и функциональной безопасности АСУ ТП лежит в как в организационной, так и в технической плоскости.
Организационная составляющая, в первую очередь, заключается в постоянном обучении персонала и всяческом развитии культуры безопасности.
Среди технических мер по защите АСУ ТП наиболее эффективным является размещение оборудования и ПО в зонах с различным уровнем информационной безопасности (Security Level), среди которых наивысший уровень имеет зона, включающая систему противоаварийной защиты (ПАЗ). Еще одной эффективной технической мерой может быть использование специализированного (проприетарного) ПО, такого, как операционные системы и сетевые протоколы.
Для защиты от атак и киберинцидентов необходимо выделять случайную (уязвимости, вызванные случайными отказами оборудования) и систематическую (уязвимости, вызванные недостатками проектирования) составляющие.
Для эффективного устранения первого типа уязвимостей необходимо призвать на помощь старую добрую теорию надежности, дополненную методами обеспечения функциональной безопасности, такими, как резервирование данных и питания, диагностика, физическая защита, перевод оборудования и объекта управления в безопасное состояние и т.п.
Остальные уязвимости можно и нужно устранять в рамках уже наработанного индустрией опыта, руководствуясь концепцией построения защиты в глубину (Defense in Depth). Однако, механизмы хакерских атак будут также развиваться, и нулевого риска здесь быть не может.
Целью АСУ ТП всегда было благородное служение человечеству путем защиты его от техногенных рисков. Однако, в результате грязных киберинтриг, эта часть мира IT оказалась совершенно не подготовленной к современным реалиям, выступив с копьями наперевес против ветряных мельниц кибероружия.
Очевидно, что методы борьбы должны быть адекватными, а в кибервойнах АСУ ТП заведомо обречены на поражение. Поэтому, Дон Кихот (АСУ ТП, и, особенно противоаварийная защита) должен воевать с проблемами в технологических процессах, и это поле боя должно быть отделено и защищено от остального киберпространства.
