Нейтрализация инсайдерских угроз функционированию программных компонентов на

архитектуры безопасности PLATO-RT®.

обработки конфиденциальных данных на объектах критически важных информационно-управляющих систем

Область применения:
Автоматизированные

системы управления технологическими процессами (АСУ ТП)
Автоматизированные системы диспетчерского управления (АСОДУ)
Автоматизированные систему управления производственными процессами (MES)
Системы управления предприятием (ERP – системы)
Информационно – аналитические системы, Информационно – управляющие системы

Назначение и область применения «Plato RT»

платформы (ПИП) «Wonderware System Platform»;
Программный продукт (ПП) «PowerFactory»;
Программный продукт компании

GE «PowerOn™ Fusion»
Программный продукт SAP HANA
Программный комплекс средств защиты (КСЗ) ЗКП «Platо RT», включающий (Internal-IT):
а) программный комплекс обеспечения безопасности информации (ПК ОБИ);
б) программный комплекс функционального контроля (ПК ФК);
в) программные интерфейсы (API) взаимодействия с функциональными подсистемами КСЗ ЗКП «Platо RT» (управления доступом, регистрации и учета, обеспечения целостности, технологического преобразования информации);
г) подсистема хранения данных КСЗ;
д) общесистемное программное обеспечение (ОСПО) – доверенная программная среда функционирования КСЗ, организуемая с использованием Инструментального комплекта средств интеграции БИГЕ.466451.099-01 (далее ИКСИ);
е) комплект эксплуатационной документации на изделие.

Состав ЗКП «Plato RT»

их обработки от любых деструктивных воздействий, как со стороны программных

«закладок», вирусов, так и злоумышленников (информационных террористов, инсайдеров и др.).
Решение встраивается в существующую у заказчика вычислительную инфраструктуру и/или функционирует в отдельном (скрытом) сегменте сети.
Обеспечена возможность реализации на объектах заказчика консолидированной обработки сведений как открытого, так и ограниченного доступа с организацией взаимодействия изолированных информационных контуров (сегментов ЛВС), предназначенных для хранения и обработки данных различных уровней конфиденциальности.
В составе продукта реализовано 106 требований (63%) из 167, содержащихся в базовом наборе, определенном Приказом №31 2014г. ФСТЭК РФ).
Входящие в состав продукта технологии «бесшовной» интеграции гетерогенных процессов и БД, а также Банк цифровых моделей объектов предметной области (планируется к поставке с 02.2018 г.) реализуют соответствие концепции «Индустрии 4.0».

ВОЗМОЖНОСТИ ПЛАТО-РТ

3

В целом, продукт применяется для построения высоконадежных, гарантированно защищенных сегментов критически важных систем в составе широкого класса систем: АСУ ТП, САЦ, ERP…

данных;
Несанкционированный доступ к защищаемой информации, передаваемой по каналам связи.
Добывание защищаемой

информации за счет использования электронных устройств негласного получения информации,
Осуществление компьютерных атак в отношении оборудования и информационных ресурсов.

Внутренний нарушитель:
Несанкционированное изъятие съемных носителей
Копирование защищаемой информации
Захват (копирование) машинных носителей защищаемой информации
Несанкционированное изменение состава технических средств изделия
Несанкционированная установка посторонних программных средств
Модификация ведущихся в электронном виде регистрационных протоколов
Внедрение вредоносного программного обеспечения
Скрытое (несанкционированное) использование вредоносным ПО привилегированных инструкций процессоров, поддерживающих аппаратную виртуализацию (АВ),
Попытки преодоления системы защиты
Попытки несанкционированного доступа «внешних» объектов автоматизации к защищаемым ресурсам

Организационно – технические мероприятия:
размещение оборудования в строгом соответствии с требованиями предписаний;
Оборудование помещений в соответствии требованиями по защите информации
Физическая защита оборудования
Регламентация доступа персонала

Организационно – технические мероприятия
Использование программно – аппаратных средств - Plato_RT

ЗКП «Platо RT»

в составе СВТ
Особенности реализации:
организация на каждом узле изолированной от

угроз со стороны базовой ОС защищенной области бескомпроматного хранения и передачи данных
объективный контроль и управление исполнением недоверенных приложений, помещенных в контейнер

предприятия / организации)
Бескомпроматность хранения и передачи чувствительных для бизнеса (критических)

данных, реализация организационно-распорядительных функций, доверенный (защищенный) обмен сообщениями и документами, вскрытие вредоносной активности и гарантированную (на уровне архитектуры) объективную регистрацию инцидентов безопасности. Организация дополнительного (встроенного) информационного контура, гарантированно защищенного как от внешних угроз (в лице любознательных искателей брешей в программном обеспечении), так и от внутренних - в лице инсайдеров. 
 
Категория –II (оперативно-диспетчерская служба / конечные пользователи)
Минимизация количества ручных операций по авторизации абонентов и их работе в соответствии с заданным профилем, автоматический запуск/завершение технологических (регламентных) процессов, подготовка и рассылка итоговых отчетных документов о функционировании системы, реализации организационно-распорядительных функций.
 
Категория – III (специалисты подразделений автоматизации)
Оптимизация ресурсов (прежде всего – временных) на реализацию полнофункционального объективного контроля текущего состояния и сопровождение территориально-распределенного вычислительного процесса на объектах заказчика (объективный контроль целостности технических и программных средств, смена версий, оперативность локализации сбоев/отказов и их устранения).
 
Категория IV ( специалисты по ИБ /администраторы ОБИ)
 
Обеспечение службы ИБ сертифицированными (РД ФСТЭК) средствами, исключение каналов утечки чувствительной информации, разделение трактов управления функциональной и информационной безопасностью, гарантированное обнаружение и проактивная нейтрализация угроз, регламентированных моделью нарушителя (в том числе – инсайдерских угроз).

Дополнительные функциональные возможности Плато-РТ

3

В целом, продукт применяется для построения высоконадежных, гарантированно защищенных сегментов критически важных систем в составе широкого класса систем: АСУ ТП, САЦ, ERP…

существующая инфраструктура
Комплексное решение задач безопасности, контроля и управления функционированием вычислительной

инфраструктурой

Отечественное, доверенное, защищенное программное обеспечение
Сертификат ФСТЭК
Основные системотехнические решения внедрены и подтвердили надежность в системе федерального масштаба

контроля защищенности, целостности, доступности
Plato-RT*
Plato-RT
Plato-RT
Plato-RT
Примечание: Plato-RT* - требуется разработка

Контроль производится на каждом узле средствами ЗКП «Plato RT» с

хранением результатов (инцидентов) в независимой области под управлением гипервизора безопасности и представлением данных на АРМ функционального контроля (ФК) по технологическому тракту.
Управление функционированием производится с АРМ ФК в автоматическом (посредством сценариев) и/или автоматизированном режиме

Контроль ограничений конфиденциальности, заданных настройками политики безопасности производится на каждом

узле с хранением результатов (инцидентов) в независимой области.
Управление безопасностью в рамках объекта (включая АРМ ФК) производится с АРМ ОБИ по отдельному (выделенному) каналу.

(в составе изделия ОКЦ «Platan RT»)

построения системы защиты информации (СЗИ):
1. Каждая ЛСУ представляет собой отдельный

закрытый сегмент (З/С) в составе объекта автоматизации (ОА), на всех защищаемых узлах ЛСУ устанавливается клиентский комплект ПО из состава ЗКП «Плато РТ». Локальный контроль и управление функционированием системы защиты каждой ЛСУ обеспечивается соответствующим АРМ ФК из состава ЗКП «Плато РТ».
2. Каждый ОА состоит из закрытого сегмента, включающего одну и более защищенную ЛСУ (см. п.1), и условно-открытого сегмента (О/C), содержащего АРМ из состава АСУ предприятия, реализующей организационно-распорядительные функции. Однонаправленное информационное взаимодействие сегментов (от канального до прикладного уровней) реализуется средствами ОКЦ «Платан РТ», оснащенного комплектом ПО - Адаптеров сопряжения . На каждом ОА (в закрытом сегменте) организуется отдельный АРМ ОБИ.
Масштабированию (по горизонтали) подлежат все ОА, построенные в соответствии с пп.1, 2. При этом, для контроля и управления состоянием всех ОА Заказчика, а также их взаимодействия (по вертикали) с внешними системами (общего или специального назначения) организуется отдельный ОА, включающий закрытый и открытый сегменты и оснащенный ПО платформы системной интеграции (ПСИ).
Взаимодействие между узлами закрытого(ых) сегмента(ов) реализуется 2-мя независимыми физическими трактами : информационно-технологическим (для выполнения технологических процессов) и специальным (для объективного контроля состояния ИБ и управления СЗИ).

ПО ЗАЩИТЕ ИНФОРМАЦИИ АСУ ТП КВО
(Приказ №31 2014г. ФСТЭК РФ)

rtsoft@rtsoft.ru
www.rtsoft.ru
Спасибо за внимание!