ИC промышленных предприятий: защитить нельзя взломать.

Презентация:



Advertisements
Похожие презентации
"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies.
Advertisements

Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.
Почему Россия может проиграть кибер-войну? Борис Симис Директор по развитию Positive Technologies.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Информационная безопасность на предприятии Руководитель программы Д.А. Полторецкий НП ОДПО «Институт направленного профессионального образования»
Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.
VGate R2 Конкурс продуктов VirtualizationSecurityGroup.Ru Лысенко Александр 24 июня 2011 года Ведущий эксперт по информационной безопасности.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Безопасность: от «бумажных» процессов к реальной защищенности Дмитрий Степанюк Positive Technologies.
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
Внедрение систем мониторинга и защиты информации Информация – это своеобразный товар, как правило, весьма ценный.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Хостинг для операторов персональных данных. IT – инфраструктура в аренду Сеть центров обработки данных на территории РФ Катастрофоустойчивая инфраструктура.
Нормативно-методические документы Политики информационной безопасности города Москвы – практическая реализация требований Федерального и регионального.
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
Транксрипт:

ИC промышленных предприятий: защитить нельзя взломать

Positive Technologies Российская компания-разработчик программного обеспечения. Офисы в Москве, Лондоне, Сеуле, Риме, Тунисе. Специализация: Поиск уязвимостей в информационных системах Оценка защищенности корпоративных информационных систем Оценка соответствия уровня защиты отраслевым, международным и государственным стандартам Собственные программные продукты MaxPatrol и Xspider Лицензии и сертификаты ФСТЭК, ФСБ, Минобороны, Газпромсерт SecurityLab.ru, Positive hack days

Потребители АСУТП систем Промышленные предприятия (электричество, газ, водоснабжение, нефть ……) Системы умный дом (отопление, счетчики, сигнализация……) Системы регулирования движения (умные регулировщики ……) Бизнес центры (пожарная сигнализация, водо и электро-снабжение……) Транспортные средства (скоростные поезда, автомобили, метро……)

Мир ИТ безопасности Тысячи уязвимостей ежегодно Сотни производителей Security Lifecycle Система сертификаций

АСУТП системы 10 лет назад Закрытые разработки Длительный срок эксплуатации: лет Спроектированы без учета требований по информационной безопасности

Мифы об АСУТП безопасности

Мифы АСУТП безопасности Миф 1. Закрытые сети Статистика Positive Research – большинство АСУТП сетей подключены к внешним сетям: Ошибки настроек сетевого оборудования Интеграция с ERP системами Работы подрядчиков Удаленный доступ, распределенные сети

Мифы АСУТП безопасности Миф 2. АСУТП системы - специальные разработки, их нельзя взломать Статистика Positive Research – 90% АСУТП систем может быть взломано с использованием Metasploit

Мифы АСУТП безопасности Миф 3. АСУТП системы – ограничены по функционалу, их взлом не приведет к реальному инциденту Stuxnet. 2010

АСУТП безопасность – в чем проблемы?

Нормативная база Пока только верхнеуровневые документы Многие промышленные объекты в частных руках (вспомним ФЗ-152) Проработка законов – это годы; а свет, тепло и газ нужны сейчас!

Методическая база и кадры Специалисты по ИТ безопасности не понимают в АСУТП. И наоборот Нет культуры ИТ безопасности в производстве Отсутствуют стандарты и рекомендации Производители АСУТП очень инертны, за исключением …

Технические решения АСУТП – 3 уровня: инфраструктурный, прикладной, датчики Есть решения только по защите инфраструктуры Стандартные базовые ИБ процедуры (антивирусы, патчи и тд) почти не работают

АСУТП безопасность – что делать?

Государственная политика Международный опыт: Control System Security Program Центр реагирования на инциденты Стратегия по защите систем управления Набор рекомендаций, практик, учебников Набор специализированных утилит Предложения по архитектуре систем безопасности

На уровне предприятий Проводить аудиты (не бояться!): Результаты донести до руководства, вендоров, коллег Взаимодействовать с производителем АСУТП Контролировать производственную сеть Выставлять требования к АСУТП подрядчикам

Центр контроля защищенности

На уровне эксперта Изучать международные стандарты (NIST SP800-82, API 1164, CIP-002-1, CIP-003-1, CIP ) Получать компетенции

Все будет хорошо…

Thanks! Question?