О киберзащищенности информационных систем управления движением поездов

0
38

Проблема обеспечения киберзащищенности информационных систем управления стала особенно актуальной в последние годы. Это, в частности, связано с созданием новых эффективных программных средств деструктивных информационных  воздействий, таких, например, как Stuxnet. Это связано с тем, что западные страны расширили среду ведения военных действий на киберпространство. Это положение закреплено в Таллинском справочнике по международному праву, применимому к кибернетическим способам ведения военных действий (2013г.). В этом справочнике акцентируется внимание на кибератаке . которая «является кибероперацией, как наступательной, так и оборонительной, которая приведет к телесным повреждениям или человеческим потерям или нанесению ущерба или разрушению объектов». Кибератака может нарушить безопасное функционирование систем управления движением поездов и существенно снизить живучесть системы организации перевозочного процесса.

Терминология в области киберзащищенности информационных систем управления определена стандартами ИСО/МЭК 27032:2012 (ISO/IEC 27032:2012) «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности» и серией стандартов IEC 62443 «Сети связи промышленные. Безопасность сетей и систем».

Данные стандарты проходят гармонизацию с национальными стандартами, при этом ведется разработка новых стандартов в области обеспечения кибербезопасности:

  • проект ГОСТ Р МЭК 62443-1-1 «Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели»;
  • проект ГОСТ Р МЭК 62443-2-1-2013 «Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматизации»;
  • проект ГОСТ Р МЭК 62443-3-2013 «Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления».

В ОАО «РЖД» подготовлена окончательная версия СТО РЖД «Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения. Порядок оценки соответствия».

Эти стандарты и создаваемые в ОАО «НИИАС» Центром кибербезопасности нормативные документы  будут являться основой для задания требований и подтверждения соответствия киберзащищенности информационных систем управления движением поездов. Здесь под киберзащищенностью подразумевается комплексное понятие безопасного функционирования информационных систем управления, которое обеспечивается:

  • качеством и функциональной безопасностью составных программных и аппаратных средств;
  • отсутствием  недекларированных возможностей (НДВ);
  • защитой от несанкционированного доступа (НСД) — главным образом от кибератак.

Поскольку абсолютной безопасности не существует, то необходимо оценить уровень остаточных рисков на основании стандарта [1] и привести обоснование безопасности системы в виде документа, определенного стандартом  [2].

Требования к  качеству и функциональной безопасности информационных  систем управления движением поездов определены техническими регламентами Таможенного союза «О безопасности инфраструктуры железнодорожного транспорта» (ТС-001) и «О безопасности высокоскоростного железнодорожного транспорта» (ТС-003). Так, в части программного обеспечения указано, что проектировщик (разработчик) «…должен предусматривать программные средства, обеспечивающие безопасность функционирования объектов инфраструктуры железнодорожного транспорта и продукции» (ст.4 п.8-ТС-001 и ст.4 п.9 – ТС-003). В техническом регламенте по высокоскоростному движению указано, что «Программные средства высокоскоростного железнодорожного подвижного состава, как встраиваемые, так и поставляемые на материальных носителях, должны обеспечивать: а) работоспособность после перезагрузок, вызванных сбоями и (или) отказами технических средств, и целостность при собственных сбоях».  Эти требования распространяются на автоматизированные системы оперативного управления технологическими процессами, связанными с обеспечением безопасности движения и информационной безопасностью. Они распространяются на автоматизированные рабочие места работников подразделений железнодорожного транспорта, связанных с обеспечением безопасности движения и информационной безопасностью, а также на устройства управления, контроля и безопасности, на программные средства железнодорожного подвижного состава, на программное обеспечение центров ситуационного управления. Подтверждение соответствия заданным требованиям должны выполняться на обязательной основе путем  декларирования соответствия на основании собственных доказательств и доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра).

Требования к отсутствию недекларированных возможностей определяются Руководящим документом ФСТЭК России «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Недекларированные возможности (НДВ) — функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки. Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации. Для  информационных систем управления движением поездов нарушение конфиденциальности информации не актуально. Требования по отсутствию НДВ, обычно предъявляются на уровне 4 класса защищенности, который в настоящее время ограничивается контролем исходного состояния ПО, статическим анализом исходных текстов программ, контролем полноты и отсутствия избыточности исходных текстов, контролем соответствия исходных текстов ПО его объектному (загрузочному) коду. Эти требования свидетельствуют о том, что в системе классификации по уровню контроля отсутствия недекларированных возможностей имеет место большой разрыв требований к классам защищенности. Высокие требования к классам 1,2,3, связанным с защитой секретной информации  и очень низкие требования к классу 4 – уровень конфиденциальной информации.  В настоящее время практически при сертификационных испытаниях по классу защищенности 4 можно обойтись без испытаний исходных кодов программ, что во много раз упрощает работы.   Этим пользуются недобросовестные испытательные лаборатории. Необходим нормативный документ ОАО «РЖД», в котором должны проводиться не только статические испытания отдельных файлов, но  и испытания связей между ними. Речь идет  о контроле связей функциональных объектов по управлению и информации,  контроле наличия заданных конструкций в исходных текстах, формировании перечня и анализе критических маршрутов выполнения функциональных объектов, анализе алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т. п., построенных по исходным текстам контролируемого ПО. Это гарантирует представление разработчиком исходных кодов программ.  Именно такой подход к подтверждению соответствия по требованиям отсутствия НДВ в настоящее время рассматривается ФСТЭК России.

Требования отмеченных выше регламентов Таможенного союза (ТС) охватывают вопросы информационной безопасности. Они распространяются на   автоматизированные системы и автоматизированные рабочие места «…оперативного управления технологическими процессами, связанными с обеспечением безопасности движения и информационной безопасностью».  В ст.4 п.31 регламента ТС «О безопасности высокоскоростного железнодорожного транспорта» задается, что             «Программные средства высокоскоростного железнодорожного подвижного состава, как встраиваемые, так и поставляемые на материальных носителях, должны обеспечивать…защищенность от компьютерных вирусов, несанкционированного доступа, последствий отказов, ошибок и сбоев при хранении, вводе, обработке и выводе информации, возможности случайных изменений информации».

Меры по реализации требований регламентов ТС, меры по защите от несанкционированного доступа (НСД), от кибератак  детализированы в  Приказе ФСТЭК России №31 от 14.03.2014г. «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».  В этом документе всесторонне рассмотрены вопросы нарушения безопасного функционирования информационных систем управления (автоматизированных систем) вследствие информационных атак, направленных на нарушение процесса управления. Такого рода информационные атаки принято называть кибератаками. Требования к защите от НСД  базируются на определении класса защищенности системы управления в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ). Уровень УЗ в информационных системах управления движением поездов определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование) и/или доступности (неправомерное блокирование) информации, в результате которого возможно нарушение штатного режима функционирования или незаконное вмешательство в процессы функционирования системы управления.

Степень возможного ущерба устанавливается заказчиком или оператором экспертным или иным методом и может быть: высокой, если в результате нарушения одного из свойств безопасности информации, повлекшего нарушение штатного режима функционирования системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера,  средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера, низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера. Информация, обрабатываемая в системе управления движением поездов (за исключением опасных грузов)  не имеет высокого уровня значимости, связанного с ущербом федерального значения. Она имеет средний уровень значимости (критичности) (УЗ 2) или низкий уровень значимости (критичности) (УЗ 3), поскольку для одного из свойств безопасности информации (целостности, доступности) определена средняя или низкая степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Следовательно, информационные системы управления движением поездов следует отнести ко второму (К2) или третьему (К3) классам защищенности.

Состав мер защиты информации и их базовые наборы на примере  микропроцессорных систем электрической централизации (класс защищенности К2) устанавливается следующим образом:

  • требуются идентификация, аутентификация и управление доступом, защита машинных носителей информации, антивирусная защита, контроль защищенности информации, обеспечение целостности и доступности информации,  защита системы электрической централизации в целом  и ее компонентов, а также  обеспечение безопасной разработки и управление обновлениями программного обеспечения системы в полном объеме требований в соответствии с приказом ФСТЭК России №31;
  • не требуется применение средств обнаружения вторжений  и ограничения прав пользователей.

Решение задач  киберзащищенности информационных систем управления движением поездов должно производиться на всех этапах их жизненного цикла. На рис. 1 приведена V-диаграмма жизненного цикла системы управления (объекта железнодорожного транспорта).

BEFCVdwqfdq2

Рис.1 Этапы жизненного цикла информационной системы управления движением поездов

На стадии конкурса до принятия решения о создании системы заказчик совместно с разработчиком и центром кибербезопасности ОАО «НИИАС»  формируют концепцию системы, анализируют условия применения, оценивают возможные риски, определяют допустимые риски и с учетом этого устанавливают и распределяют требования к системе.

На стадии разработки  и установки системы центр кибербезопасности выполняет функции контроля  выполнения разработчиком  положения приказа №31 ФСТЭК России (этапы 6,7,8). Именно на этих этапах формируется доказательство безопасности в соответствии с требованиями стандарта [2]. На этапе 9  валидации системы  должны завершиться сертификационные испытания программных средств системы на отсутствие НДВ. Это, главным образом, анализ исходных текстов программ системы на предмет отсутствия НДВ. Для этого аккредитованным испытательным центром (лабораторией) проводятся статические, а при  необходимости и динамические испытания исходных кодов программ. Положительный результат этих испытаний – сертификат, выданный ФСТЭК России.   На этом же этапе должно быть подтверждено соответствие требованиям  технических регламентов ТС в части качества и функциональной безопасности программных средств системы. Подтверждение соответствия производится путем декларирования соответствия с привлечением аккредитованного  в РСФЖТ испытательного центра (лаборатории).

На рис. 2 красным цветом показаны необходимые для выдачи экспертного заключения по кибербезопасности процессы оценки рисков, доказательства безопасности, сертификации, подтверждения соответствия.  Подтвержение соответствия в части защиты от НСД  проводится на этапе приемки системы аккредитованным в системе ФСТЭК России испытательным центром (лабораторией). Это подтверждение производится

 

BEFCVdwqfdq1

Рис.2. Подтверждение соответствия по кибербезопасности системы управления

 

путем  аттестации  системы на реальном объекте,  который имеет  определенные информационные  связи  и содержит конкретные подключения  к информационной среде ОАО «РЖД». Именно при таких  условиях возможно установить уязвимости системы, выработать организационные и технические решения  по их устранению. Возможности устранения киберугроз и опасных отказов на стадии приемки системы следует оценивать с помощью экспертного органа, который создается при центре кибербезопасности из наиболее квалифицированных и авторитетных испытательных центров ОАО «РЖД». С помощью специалистов экспертного органа центром кибербезопасности формируется экспертное заключение  по кибербезопасности информационной системы управления движением поездов.

В процессе эксплуатации системы должен осуществляться непрерывный мониторинг информационных атак (этап 12 на рис.1). В процесс е эксплуатации осуществляется техническое обслуживание и ремонт не только базовых аппаратных средств системы, но и встроенных или удаленных средств информационной защиты системы.  При модификации,  и  тем более модернизации системы, повторно оцениваются риски (рис.1 — прим.1 к этапу 3) и при необходимости  повторно поэтапно обеспечивается киберзащищенность системы (рис.1 — прим. 2 к этапу  13).

Заключение

  1. Требования оценки рисков, доказательства безопасности, подтверждения соответствия качества и функциональной безопасности, отсутствия недекларированных возможностей в  программных средствах, а также информационной защиты   систем управления  движением поездов определены техническими регламентами  Таможенного союза.
  2. Методика испытаний  программных средств на отсутствие недекларированных возможностей должна содержать обязательное условие испытаний исходных кодов программ.
  3. Подтверждение соответствия положениям приказа №31 ФСТЭК России по защите информации  в системе управления должно проводиться аккредитованными испытательными центрами (лабораториями) на реальных объектах в процессе приемки системы в опытную (предварительную) эксплуатацию.

Литература

  1. ГОСТ Р 54505 — 2011. Безопасность функциональная. Управление рисками на железнодорожном транспорте
  2. ГОСТ Р 54504 — 2011. Безопасность функциональная. Политика, Программа обеспечения безопасности. Доказательство безопасности объектов железнодорожного транспорта.

 

Шубинский И.Б., Макаров Б.А.