Методика оценки необходимости применения обновлений безопасности в промышленных системах

Обложка

Цитировать

Полный текст

Аннотация

Рассматривается проблема применения обновлений кибербезопасности (патчей) для программного обеспечения (ПО) автоматизированных систем управления технологическими процессами (АСУ ТП) с длительным жизненным циклом. Проблема исследуется в рамках этапа эксплуатации системы. Основное внимание уделяется: большому числу уязвимостей, обнаруживаемых в ПО; сложности анализа влияния уязвимости на безопасность системы и функции, выполняемые системой; требованиям к тестированию совместимости обновлений и сертификации ПО после внесения изменений. На основе метода анализа отказов (англ. Failure Mode and Effects Analysis, FMEA) предложена методика, позволяющая упростить анализ влияния уязвимости на кибербезопасность. Она предполагает рассмотрение не каждой отдельной уязвимости, а меньшего по мощности множества сценариев атак. При анализе сценариев атаки также учитывается действие мер защиты. Методика включает в себя простые критерии применения обновлений безопасности по результатам анализа. Приведен пример анализа уязвимости по предлагаемой методике.

Об авторах

К. В Семенков

Институт проблем управления им. В. А. Трапезникова РАН

Автор, ответственный за переписку.
Email: semenkov@ipu.ru
г. Москва, Россия

В. Г Промыслов

Институт проблем управления им. В. А. Трапезникова РАН

Email: vp@ipu.ru
г. Москва, Россия

Список литературы

  1. IEC TR 62443-2-3. Technical report. Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment. – Geneva: International Electrotechnical Commission, 2015. – 61 p.
  2. Методика тестирования обновлений безопасности программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г. [Metodika testirovaniya obnovlenii bezopasnosti programmnykh, programmno-apparatnykh sredstv: appr. by FSTEC of Russia on October 28, 2022. (In Russian)]
  3. Souppaya, M., Scarfone, K. Guide to enterprise patch management planning: preventive maintenance for technology. Special Publication (NIST SP) – 800-40r4. – Gaithersburg, MD: National Institute of Standards and Technology, 2022. – DOI: https://doi.org/10.6028/NIST.SP.800-40r4
  4. National Information Assurance (IA) Glossary. CNSS Instruction No. 4009. – Fort Meade: Committee on National Security Systems Instruction, 2015. – 103 p.
  5. CVE. – URL: https://cve.mitre.org (дата обращения: 02.10.2024). [Accessed October 2, 2024].
  6. Банк данных угроз безопасности информации. – URL: https://bdu.fstec.ru/vul (дата обращения: 02.10.2024). [Bank dannykh ugroz bezopasnosti informatsii. – URL: https://bdu.fstec.ru/vul (accessed October 2, 2024). (In Russian)]
  7. CERT-FR avis. – URL: https://www.cert.ssi.gouv.fr/avis/ (дата обращения: 02.02.2024). [Accessed February 2, 2024].
  8. ISO/IEC TS 9569:2023. Technical specification. Information security, cybersecurity and privacy protection – Evaluation criteria for IT security – Patch Management Extension for the ISO/IEC 15408 series and ISO/IEC 18045. – Geneva: International Standard Organization/IEC, International Electrotechnical Commission, 2023. – 36 p.
  9. Руководство по организации процесса управления уязвимостями в органе (организации): утв. ФСТЭК России 17 мая 2023 г. [Rukovodstvo po organizatsii protsessa upravleniya uyazvimostyami v organe (organizatsii): appr. by FSTEC of Russia on May 17, 2023. (In Russian)]
  10. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г. [FSTEHK Rossii. Metodika otsenki urovney kritichnosti uyazvimostey programmnykh, programmno-apparatnykh sredstv: appr. by FSTEC of Russia on October 28, 2022. (In Russian)]
  11. Scarfone, K., Souppaya, M., Dodson, D. Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. Special Publication (NIST SP) - 800-218. – Gaithersburg, MD: National Institute of Standards and Technology, 2022. – DOI: https://doi.org/10.6028/NIST.SP.800-218
  12. Методика оценки угроз безопасности информации: утв. ФСТЭК России 5 февраля 2021 г. [Metodika otsenki ugroz bezopasnosti informatsii: appr. by FSTEC of Russia on February 5, 2021. (In Russian)]
  13. ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели: стандарт. – М.: Стандартинформ, 2020. – 72 p. [IEC/TS 62443-1-1:2009 Industrial communication networks. – Network and system security. – Part 1-1: Terminology, concepts and models (IDT). – Geneva: International Electrotechnical Commission, 2009. – 81 p.]
  14. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – М.: Стандартинформ, 2016. – 24 с. [GOST R 56939-2016. Zashchita informatsii. Razrabotka bezopasnogo programmnogo obespecheniya. Obshchie trebovaniya. – Moscow: Standartinform, 2016. – 24 s. (In Russian)]
  15. ГОСТ 19.101-77. Единая система программной документации. Виды программ и программных документов. – М.: Стандартинформ, 2010. [GOST 19.101-77. Edinaya sistema programmnoi dokumentatsii. Vidy programm i programmnykh dokumentov. – Moscow: Standartinform, 2010. (In Russian)]
  16. Промыслов В.Г., Жарко Е.Ф. Подходы к оценке риска кибербезопасности АСУТП АЭС // Автоматизация в промышленности. – 2022. – № 11. – С. 28–33. [Promyslov, V.G., Zharko, E.F. Approaches to risk assessment in cybersecurity of A-plant process control systems // Automation in Industry. – 2022. – No. 11. – P. 28–33. (In Russian)]
  17. Dissanayake, N., Jayatilaka, A., Zahedi, M., AliBabar, M. Software security patch management - A systematic literature review of challenges, approaches, tools and practices // Information and Software Technology. – 2022. – Vol. 144. – Art. no. 106 771.
  18. ГОСТ Р 51901.12-2007 (МЭК 60812:2006) Менеджмент риска. Анализ видов и последствий отказов.: стандарт. – М.: Стандартинформ, 2008. – 35 p. [IEC 60812:2006 Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA). – Geneva: International Electrotechnical Commission, 2006. – 93 p.]
  19. About CWE. – URL: https://cwe.mitre.org/about/index.html (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  20. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – М.: Стандартинформ, 2011. – 51 с. [GOST R ISO/MEK 27005-2010. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment riska informatsionnoi bezopasnosti. – M.: Standartinform, 2011. – 51 s. (In Russian)]
  21. ГОСТ Р ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности. – М.: Стандартинформ, 2008. – 118 с. [GOST R ISO/MEK 15408-3-2008. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Kriterii otsenki bezopasnosti informatsionnykh tekhnologii. Chast' 3. Komponenty doveriya k bezopasnosti. – M.: Standartinform, 2008. – 118 s. (In Russian)]
  22. CVE Metrics. – URL: https://www.cve.org/About/Metrics (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  23. Haddad, A., Aaraj, N., Nakov P., et al. Automated Mapping of CVE Vulnerability Records to MITRE CWE Weaknesses. – arXiv:2304.11130, 2023. – doi: 10.48550/arXiv.2304.11130
  24. Lin, Y.-Z., Mamun, M., Chowdhury, V.A., et al. HW-V2W-Map: Hardware Vulnerability to Weakness Mapping Framework for Root Cause Analysis with GPT-assisted Mitigation Suggestion. – arXiv:2312.13530, 2023. – DOI: https://doi.org/48550/arXiv.2312.13530
  25. Mell, P., Scarfone, K., Romanosky, S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0. – 2007. – 23 p. – URL: https://www.first.org/cvss/v2/guide (дата обращения: 01.04.2024). [Accessed April 1, 2024].
  26. Common Vulnerability Scoring System v3.0: Specification Document. – URL: https://www.first.org/cvss/v3.0/specification-document (дата обращения: 22.09.2024). [Accessed September 22, 2024].
  27. Калькулятор CVSS V3. – URL: https://bdu.fstec.ru/calc3 (дата обращения: 22.09.2024). [Calculiator besjpasonosti. – URL: https://bdu.fstec.ru/calc3 (accessed September 22, 2024). (In Russian)].
  28. Kekül, Н., Ergen, B., and Arslan, H. Comparison and Analysis of Software Vulnerability Databases // Int. J. Eng. Manuf.. – 2022. – Vol. 12, no. 4. – P. 1–14.
  29. How We Assess Acceptance Levels. – URL: https://nvd.nist.gov/vuln/cvmap/How-We-Assess-Acceptance-Levels (дата обращения: 26.04.2024). [Accessed April 26, 2024].
  30. CAPEC List. – URL: https://capec.mitre.org/data/index.html (дата обращения: 31.05.2024). [Accessed April 22, 2024].
  31. MITRE ATT&CK. – URL: https://attack.mitre.org/ (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  32. Microsoft Threat Modeling Tool. – URL: https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats (дата обращения: 31.05.2024). [Accessed May 31, 2024].
  33. Pietre-Cambacedes, L., Chaudet, C. Disentangling the relations between safety and security // Proceedings of the 9th WSEAS International Conference on Applied Informatics and Communications. – Stevens Point, Wisconsin, 2009. – P. 156–161.
  34. Boehs, E. Everything I Know About the XZ Backdoor. – URL: https://boehs.org/node/everything-i-know-about-the-xz-backdoor (дата обращения: 10.04.2024). [Accessed April 10, 2024].
  35. CVE-2022-23812. – URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23812 (дата обращения: 10.04.2024). [Accessed April 10, 2024].
  36. Капранов О., Гуреева Ю. Сотрудникам Минпросвещения запретили пользоваться техникой Apple. – Текст: электронный // Российская газета. – 19.07.2023. – URL: https://rg.ru/2023/07/19/sotrudnikam-minprosveshcheniia-zapretili-polzova­­tsia-tehnikoj-apple.html (дата обращения: 22.10.2024). [Kapranov O., Gureeva Yu. Sotrudnikam Minprosveshcheniya zapretili pol'zovat'sya tekhnikoi Apple. – Tekst: elektron-nyi // Rossiiskaya gazeta. – July 7, 2023. – URL: https://rg.ru/2023/07/19/sotrudnikam-minprosveshcheniia-zapretili-polzovatsia-tehnikoj-apple.html (accessed October 22, 2024). (In Russian)]
  37. Commerce Department Prohibits Russian Kaspersky Software for U.S. Customers // Bureau of Industry and Security. – June 20, 2024. – URL: https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers (дата обращения: 20.12.2024). [Accessed December 20, 2024].
  38. Semenkov, K., Promyslov, V., Poletykin, A., et al. Validation of Complex Control Systems with Heterogeneous Digital Models in Industry 4.0 Framework // Machines. – 2021. – Vol. 9. – No. 3. – Art. no. 62.
  39. ГОСТ ISO/IEC TS 19249-2021. Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений. – М.: Стандартинформ, 2021. – 32 с. [GOST ISO/IEC TS 19249-2021. Informatsionnye tekhnologii. Metody i sredstva obespecheniya bezopasnosti. Katalog printsipov postroeniya arkhitektury i proektirovaniya bezopasnykh produktov, sistem i prilozhenii. – M.: Standartinform, 2021. – 32 s. (In Russian)]
  40. MIL-P 1629. USA Military Standard, Procedure for Performing a Failure Mode, Effects and Criticality Analysis. – Washington, DC: Department of Defense, 1980. – 54 p.
  41. Schmittner, C., Gruber, T., Puschner, P., Schoitsch, E. Security Application of Failure Mode and Effect Analysis (FMEA) // In: Lecture Notes in Computer Science. – 2014. – Vol. 8666. – P. 310–325. – DOI: https://doi.org/10.1007/978-3-319-10506-2_21
  42. Talwar, P. Software Failure Mode and Effects Analysis // Advances in Intelligent Systems and Computing. – 2020. – Vol. 1131. – P. 86–91.
  43. Busquim e Silva, R.A., Piqueira, J.R.C., Cruz, J.J., Marques R.P. Cybersecurity Assessment Framework for Digital Interface Between Safety and Security at Nuclear Power Plants // International Journal of Critical Infrastructure Protection. – 2021. – Vol. 34. – Art. no. 100453. – DOI: https://doi.org/10.1016/j.ijcip.2021.100453.
  44. Бугайский К.А., Калашников А.О., Бирин Д.С. и др. Применение логико-вероятностного подхода в информационной безопасности (Часть 1) // Cybersecurity Issues. – 2023. – No. 4 (56). – P. 23–32. [Kalashnikov, A.O., Bugajskij, K.A., Birin D.S., et al. Application of the logical-probabilistic method in information security (part 1) // Cybersecurity Issues. 2023. – No. 4 (56). – P. 23–32. (In Russian)]
  45. Менгазетдинов Н.Э., Полетыкин А.Г., Промыслов В.Г. и др. Комплекс работ по созданию первой управляющей системы верхнего блочного уровня АСУ ТП для АЭС «Бушер» на основе отечественных информационных технологий. – М.: ИПУ РАН. – 2013. – 95 c. [Mengazetdinov, N.E., Poletykin, A.G., Promyslov, V.G., et al. Kompleks rabot po sozdaniyu pervoi upravlyayushchei sistemy verkhnego blochnogo urovnya ASU TP dlya AES “Busher” na osnove otechestvennykh informatsionnykh tekhnologii. – Moscow: IPU RAN. – 2013. – 95 p. (In Russian)]
  46. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239. [Trebovania po obespecheniyu bezopasnosti znachimyh ob’ektov kriticheskoi informatsionnoi infrastruktury Rossijskoj Federatsii: appr. by FSTEC of Russia on December 25, 2017. (In Russian)]

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать


Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».