Procesna informatika i komunikacije u prijenosnom sustavu

Str. 2432.1.2. Reliability and availability A high degree of network availability directly depends on reliability of different network elementsand terminal equipment. In the case of Ethernet, a high level of availability is ensured in two ways: • With implementation of redundant elements on the level of switch itself, such as redundant switching fabric, redundant interfaces and back-up power supply. These levels of redundancy can also be found in classic TDM based networks. • By introducing redundancy into the network itself. However, Ethernet protection mechanisms do not meet tight criteria for teleprotection service transmission and power system automation. Convergence time needed to establish backup communication link in the case of malfunction is too high. Convergence for: ○ Spanning Tree Protocol (STP) is 50 s, ○ Rapid Spanning Tree Protocol (RSTP) is ~ 1 s, ○ Link aggregation ~ 500 ms. On the other hand, due to the nature of teleprotection service, which carries out its function very rarely,it is very difficult to determine how short-term (in the range of a few seconds) network unavailability effects theoverall teleprotection quality of service. This is why the above-mentioned mechanisms can be acceptable if soestimated by electric power transmission companies and service agreements with their customers.2.2. IP routers IP router performs two separated functions. Routing process, which is not real-time operation, andforwarding process, which has to be carried out in real time. Routing process drives routing protocols. Therole of routing protocol is to ensure adequate routing information to build routing/forwarding tables, whichare used by forwarding process. The same as with Ethernet, forwarding process consists of three parts: • reception of IP datagram, • look-up into IP forwarding table (longest prefix match lookup), • forwarding IP datagram onto output port. If a router is not overloaded and if no queuing occurs, a delay impacting IP datagram traversing anode is constant. It can partially depend on the number of entries in routing/forwarding table andperforming “longest prefix match” algorithm. In well-designed and high performance systems forwardingprocess lasts a few hundred microseconds The same as with any other packet system the situation is much different if nodes are overloadedand traffic congestion occurs. In this case prioritization of critical traffic is needed. There are twostandardized QoS mechanisms in IP networks: concept of integrated services (IntServ) and concept ofdifferentiated services (DiffServ). Delay introduced by a router can also be influenced by other intelligentfunctions enabled on a router (packet filters, NAT, security services, etc.).2.2.1. Reliability and availability In IP based systems, availability of the network also depends on the way in which IP router isimplemented and on network level redundancy. Basic IP protection mechanisms represent routingprotocols. They are able to dynamically adapt to changes in network topology (node protection, linkprotection, path protection). However, convergence of routing protocol is relatively slow. In the case ofwell-planned and designed network and optimal routing configuration is in the range of a few seconds.2.3. IP/MPLS routers Performance of IP network can be improved with multiprotocol label switching (MPLS). MPLStechnology introduces functionalities into IP networks (FRR – Fast ReRoute, TE – Traffic Engineering),which were recently in the domain of other networks and transmission technologies (SDH protection,ATM TE). With implementation of MPLS mechanisms in IP routers it is possible to further upgradeprotection mechanisms in the direction of faster network convergence and TE functions. Issuesconcerning the convergence speed time still remain: • convergence time for MPLS FRR is 50 ms, • convergence time for MPLS ˝secondary path˝ under 1 s. 5

Str. 2443. SECURITY CHALLENGES IN CONVERGED NETWORKS Due to the nature of IP and Ethernet technology operation (plug-and-play, easy to use), large-scale implementation, simple use of hacking tools and a great number of users directly accessing thenetwork, it is paramount to consider a number of potential security issues when designing a large scalenetwork system. Tight security on all layers of the network (control plane, data plane, management plane, physicalsecurity) must be achieved. In depth analysis of network security problems is beyond the scope of thispaper and we will assume suitable level of network security provided by network administration.4. CONCLUSION As this paper shows, it is possible, from strictly technical point of view, to meet the demands ofprotection power system when employing teleprotection services over packet networks. Packet networktechnologies (Ethernet switches, IP/MPLS routers) could meet these demands with certain adjustments,optimal equipment design and adequate network and traffic engineering. However, since these networksare not primarily planed for such tight requirements, cost of the new system design, upgrade andmaintenance could rise enormously. Such a system would not be cost efficient compared to dedicatedTDM based TP equipment such as DZ9 TP device from manufacturer Iskra Sistemi. This is why from theCAPEX and OPEX points of view, dedicated point-to-point based systems still represent more thansuitable solution for power system automation. REFERENCES[1] Media Access Control (MAC) Bridges, IEEE 802.1D, IEEE, June 2004[2] Virtual Bridged Local Area Networks, IEEE 802.1Q, IEEE, May 2003[3] J. Heinanen, Telia Finland, F. Baker: Assured Forwarding PHB Group, RFC 2597, www.ietf.org, June 1999[4] B. Davie, A. Charny, J.C.R. Bennett: An Expedited Forwarding PHB (Per-Hop Behavior), RFC 3246, www.ietf.org, March 2002[5] Service Provider Quality of Service, Cisco Systems, www.cisco.com;[6] M. Christensen, K. Kimball, F. Solensky: Considerations for IGMP and MLD Snooping Switches, draft-ietf-magma-snoop-12.txt, www.ietf.org, February 2005[7] R. Braden, D. Clark: Integrated Services in the Internet Architecture: an Overview, RFC 1633, www.ietf.org, July 1994[8] S. Blake, D. Black, M. Carlson: An Architecture for Differentiated Services, RFC 2475, www.ietf.org, December 1998[9] IEC-60834, 19996

Str. 245 3 – 10HRVATSKI OGRANAK MEĐUNARODNOG VIJEĆAZA VELIKE ELEKTROENERGETSKE SUSTAVE – CIGRÉ7. simpozij o sustavu vođenja EES-aCavtat, 5. - 8. studenoga 2006.Ivan ŠturlićHEP – OPS [email protected] SUSTAV ZA UPRAVLJANJE INFORMACIJSKOM SIGURNOŠĆU I NJEGOVA PRIMJENA U ELEKTROENERGETSKOM SUSTAVU SAŽETAK U referatu se opisuju glavne karakteristike općenitog sustava za upravljanje informacijskomsigurnošću, njegove specifičnosti kod implementacije u elektroenergetskom sustavu, potreba zaimplementacijom takvog sustava te osnovne postavke i pojmovi informacijske sigurnosti. Posebna sevažnost pridaje sustavu za upravljanje informacijskom sigurnošću prema međunarodnom standarduISO/IEC 27001:2005 koji je primjenjiv na bilo koju vrstu organizacije, i na sličan sustav prema ISA-99standardima koji za cilj imaju primjenu u industrijskom sektoru u koji ulazi i elektroenergetski sustav. Ključne riječi: sustav za upravljanje informacijskom sigurnošću, sigurnost, ISO/IEC 27001:2005 INFORMATION SECURITY MANAGEMENT SYSTEM AND ITS APPLICATION IN ELECTRIC POWER SYSTEM SUMMARY This paper describes main characteristics of the general information security managementsystem, its specifities in implementation in electric power systems, the need for implementation of suchsystem, and basic terms and concepts of information security. Particular importance is given to theinformation security management system according to the ISO/IEC 27001:2005 which is applicable to anytype of organization and similar management system according to the ISA-99 standards which aredeveloped for industrial sector. Key words: information security management system, security, ISO/IEC 27001:20051. UVOD Sustavi za automatizaciju procesa koji podržavaju vođenje elektroenergetskog sustava, preraslisu iz individualnih, izoliranih sustava s tehnologijama specifičnim za proizvođača u umrežene sustave iaplikacije koji se temelje na široko rasprostranjenim i dobro poznatim tehnologijama otvorenog tipa. Takvisustavi se integriraju s ostalim poslovnim sustavima te se omogućava pristup informacijama i upravljanjesustavom putem standardne IP mreže organizacije, a često je i umrežavanje s ostalim organizacijamaputem Interneta i međunarodnih IP mreža posebnih namjena. Ovakva integrirana arhitektura omogućava puno efikasnije poslovanje i kvalitetnije vođenjesustava, ali donosi i više potencijalnih rizika koji proizlaze iz nepravilnog korištenja, mogućnostizlonamjernih upada u sustav te kompleksnosti sustava zbog koje je otežano odrediti tko ima ovlastipristupa određenim informacijama, kada ovlašteni korisnici mogu pristupati informacijama, koje podatke i 1

Str. 246funkcije mogu koristiti, od koga dolazi zahtjev za pristupom, na koji način se ostvaruje zahtjev zapristupom i slično. Kako je ICT sustav koji podržava vođenje elektroenergetskog sustava u direktnoj vezi s procesimaproizvodnje, prijenosa i distribucije električne energije, gubitak informacija ili prekid toka informacija nisunajgore posljedice sigurnosnih incidenata. Daleko ozbiljnije su posljedice koje mogu dovesti do prekidaproizvodnje, nestabilnosti sustava, fizičke opasnosti za zaposlenike, ekološkog incidenta i sl. Prijetnje koje dolaze izvan organizacije nisu jedina sigurnosna prijetnja. Zlonamjerni korisniciunutar organizacije kao i nenamjerne aktivnosti običnih korisnika mogu predstavljati ozbiljan sigurnosnirizik. Također, izmjene i testiranja postojećih sustava predstavljaju sigurnosni rizik jer mogu dovesti donepredviđenih i neželjenih posljedica za procesni sustav. Kako bi se prethodno navedeni rizici smanjili na prihvatljivu razinu, organizacija mora voditiračuna o informacijskoj sigurnosti u svakodnevnom poslovanju. Jedan od načina je uspostava Sustava zaupravljanje informacijskom sigurnošću.2. OSNOVNI POJMOVI I POSTAVKE INFORMACIJSKE SIGURNOSTI2.1. Elementi informacijske sigurnosti Informacijska sigurnost obično uključuje tri svojstva: tajnost, cjelovitost i raspoloživost informacija.Tipična strategija kod sigurnosti informacijskih sustava je da se najveći prioritet pridaje tajnosti informacija,zatim cjelovitosti, a najniži prioritet dobiva raspoloživost informacija. Kod sustava za automatizaciju procesakao što je ICT sustav koji podržava vođenje elektroenergetskog sustava, ovakav poredak je obično obrnut.Dakle, najveći prioritet se pridaje raspoloživosti informacija, zatim cjelovitosti, a najmanji tajnosti informacija jerje u takvom sustavu najbitnije osigurati raspoloživost svih komponenti. Moguće je, ipak, da se u određenimsegmentima sustava na višim razinama pridaju drugačiji prioriteti ovim svojstvima.2.2. Kontekst informacijske sigurnosti Razumijevanje informacijske sigurnosti zahtjeva poznavanje pojmova kao što su prijetnje, rizici iprotumjere kao i njihovih međusobnih odnosa. Prema modelu iz međunarodnog standarda ISO/IEC 15408 ideja je da su resursi izloženiprijetnjama koje dolaze iz izvora prijetnji. Ove prijetnje povećavaju resursima razinu rizika zbogpotencijalnog iskorištavanja ranjivosti resursa. Svaki resurs ima svog vlasnika koji će minimizirati rizikprimjenom protumjera.2.3. Resursi Kako bi se u potpunosti dobio uvid u sigurnosni rizik koji postoji u organizaciji, potrebno je načinitipopis resursa koji zahtijevaju zaštitu. Resurs može biti definiran kao bilo kakav materijalni ili nematerijalniobjekt koji je u posjedu organizacije i ima procijenjenu ili stvarnu vrijednost za organizaciju. Resursi semogu razvrstati u tri osnovne kategorije, a to su nematerijalni, materijalni i procesni resursi. Nematerijalni resursi su informacijske prirode, uključuju intelektualno vlasništvo, algoritme,mjerne podatke, rezultate testiranja, specifično znanje o procesima, specifične metode koje se primjenjujui ostale informacijske elemente koji omogućuju normalan rad organizacije. Također, mogu uključivati ineopipljive elemente kao što su reputacija organizacije, povjerenje kupaca i ostale stvari koje imajuutjecaja na poslovanje organizacije. Materijalni resursi uključuju bilo kakvu opipljivu fizičku komponentu ili grupu komponenti kojapripada organizaciji kao npr. sustave za mjerenje i upravljanje, mrežnu opremu, fizičke medije za prijenospodataka, sistem sale i ostale fizičke objekte koji su uključeni u poslovni proces. Procesni resursi uključuju nematerijalne resurse koji sadrže logiku za automatizaciju koja sekoristi u izvršavanju industrijskih procesa. Industrijski procesi su jako ovisni o ponavljajućem ilikontinuiranom slijedu precizno definiranih događaja i svaki negativni utjecaj na procesne resurse možedovesti do neke vrste gubitka raspoloživosti i integriteta samog procesa. U svrhu kvalifikacije resursa, potrebno je da su oni u vlasništvu ili nadležnosti organizacije te daimaju konačnu i mjerljivu vrijednost za organizaciju. Vrijednost resursa može se kategorizirati premadirektnim gubicima i indirektnim gubicima.2

Str. 247 Direktni gubici predstavljaju cijenu direktne zamjene resursa. Za fizičke resurse to može biti cijena zamjene nekog uređaja. Nematerijalni resursi imaju vrlo male ili nikakve direktne gubitke jer npr.fizički medij na koji je informacija pohranjena ima nisku cijenu. Indirektni gubici predstavljaju bilo kakav gubitak koji proizlazi kao indirektan rezultat gubitkaodređenog resursa. To može biti npr. privremeni prekid proizvodnje, poteškoće u radu sustava, gubitakpovjerenja javnosti ili ostalih organizacija i slično. Za svaku vrstu gubitka može se primijeniti kvalitativna ili kvantitativna analiza ili kombinacija ovedvije metode. Za mnoge vrste resursa, kvalitativna analiza je i jedina moguća analiza. Kvalitativni gubitakobično izražava apstraktnu razinu gubitka koja se izražava u postocima ili pojmovima kao što su niski,srednji, visoki ili vrlo visoki. Za mnoge organizacije kvalitativna analiza predstavlja dovoljno dobar načinprocjene gubitaka za potrebe analize rizika. Kvantitativna analiza se provodi na način da se gubicimadodijeli precizni iznos novčanog gubitka i značajno ju je teže provesti jer zahtjeva složene analize kako bise dobila precizna vrijednost gubitka, ali zato daje bolji uvid u posljedice zbog potencijalnog gubitka.2.4. Rizik Općenito, rizik je funkcija prijetnje, ranjivosti i veličine gubitka. Razina rizika može se prikazati kaoumnožak razine prijetnje, razine ranjivosti i veličine gubitka pri čemu se svaka od ove tri veličine prikazujepomoću nekoliko diskretnih vrijednosti. Umnožak razine prijetnje i razine ranjivosti daje vjerojatnost da seta ranjivost iskoristi i ostvari gubitak. Npr. visoka razina prijetnje uz nisku razinu ranjivosti nekog sustavadat će malu vjerojatnost iskorištavanja ranjivosti, slično kao i niska razina prijetnje uz visoku razinuranjivosti. Umnožak ove vjerojatnosti s veličinom gubitka koji proizlazi kao posljedica iskorištavanjaranjivosti daje razinu rizika. Npr. iako vjerojatnost iskorištavanja određene ranjivosti može biti visoka,ukoliko posljedice nisu od velikog značaja (mali gubitak), rizik će imati nisku razinu. Dakle, razina rizika može se prikazati sljedećim jednadžbama u kojoj R predstavlja rizik, Pvjerojatnost, L gubitak, T prijetnju i V ranjivost: R = P × L, P = T ×V (1) Za sučeljavanje s rizikom postoji nekoliko načina, a to su izbjegavanje rizika, smanjivanje rizika,prihvaćanje rizika, prijenos rizika i zanemarivanje rizika. Samo posljednji navedeni način, dakle,zanemarivanje rizika ni u kojem slučaju nije prihvatljiv. Izbjegavanje rizika uključuje poslovnu odluku kojom se rizik ne prihvaća. To može biti npr. odlukada se ne uvodi novi proizvod, sustav i slično. Smanjivanje rizika se provodi implementacijom sigurnosnihkontrola ili ublažavanjem posljedica iskorištavanja ranjivosti. Ključ je postići dovoljno dobru sigurnost kojaznači svođenje rizika na prihvatljivu razinu, a ne eliminaciju rizika. Prihvaćanje rizika je opcija koja seuzima kao financijski trošak u poslovanju. Neki rizici moraju biti prihvaćeni jer smanjivanje ili prijenosrizika nije isplativo. Prijenos rizika predstavlja uspostavljanje neke vrste osiguranja ili sporazuma kojim serizik prenosi trećoj strani, npr. osiguravajućoj kući. Međutim, osiguranje ne može uvijek biti efikasno. Npr.ono može pokrivati određene štete, ali nikada ne može nadoknaditi gubitak povjerenja kupaca.2.5. Prijetnje Izvori prijetnji mogu biti unutarnje osobe, vanjske osobe, prirodni izvori, nesreće, neprovjerene izmjenei slično. Unutarnje osobe su osobe „od povjerenja“, zaposlenici, ugovorne strane ili dobavljači koji imajuinformacije koje općenito nisu dostupne javnosti. Vanjske osobe su osobe ili grupe kojima nije dodijeljenopovjerenje za unutarnji pristup organizaciji, a mogu ili ne moraju biti poznate organizaciji i mogu ili ne morajubiti bivše unutarnje osobe. Prirodni izvori su uglavnom nepredvidljivi događaji kao što su oluja, potres, poplava,požar i slično. Nesreće generiraju rizik zbog nečijeg nepridržavanja ili neupućenosti u procedure i mjere ilizbog previda. Neprovjerene izmjene koje se javljaju u procesima nadogradnji, ispravaka i ostalih izmjena kodoperacijskih sustava, aplikacija, konfiguracija i opreme mogu predstavljati ozbiljan izvor prijetnji.2.6. Ranjivosti Ranjivosti su slabosti u sustavu, komponentama, organizaciji, procedurama, internim kontrolama iostalim dijelovima sustava koje mogu biti iskorištene što rezultira nepovoljnim posljedicama. One mogubiti rezultat namjerne odluke kod projektiranja ili mogu biti slučajne i nepredviđene. Inicijalno zamišljen 3

Str. 248sustav s malo ranjivosti može postati ranjiviji promjenom okoline, promjenom tehnologije, nedostupnošćuzamjenskih dijelova, povećanjem inteligencije izvora prijetnji i slično.2.7. Napadi Prijetnje koje pređu u neki oblik djelovanja nazivaju se napadima ili ponekad upadima (npr. usustav). Kod projektiranja komponenti i sustava, kao i kod uvođenja sigurnosnog programa, potrebno jemodelirati napade kako bi se provjerilo da su protumjere zadovoljavajuće. Za identifikaciju napada možeposlužiti stablo ili graf napada koji predstavlja strukturirani prikaz događaja koji su karakteristični zaodređeni napad. Napadi ili upadi mogu biti u obliku pasivnog prikupljanja informacija, osluškivanja,komunikacijskog napada, injekcije, napada reprodukcijom, lažiranja identiteta, greške operatera,socijalnog inženjeringa, malicioznog koda, onemogućavanja raspoloživosti usluga i sustava (DoS) itd.3. SUSTAV ZA UPRAVLJANJE INFORMACIJSKOM SIGURNOŠĆU3.1. Koncepcija Sustav za upravljanje informacijskom sigurnošću (eng. ISMS – Information security managementsystem) je sustav međusobno povezanih elemenata koji zajedničkim djelovanjem nastoje postići ciljosiguranja tajnosti, cjelovitosti i raspoloživosti informacija. ISMS se bazira na analizi poslovnog rizika čijise rezultati koriste za uspostavljanje, upravljanje, nadgledanje, revidiranje, održavanje i usavršavanjeinformacijske sigurnosti. Sustav upravljanja uključuje organizacijsku strukturu, politiku, planiranje,odgovornosti, prakse, procedure, procese i resurse. Upravljanje informacijskom sigurnošću uključuje planiranje financijskih sredstava i upravljanjeljudskim resursima, vođeno je sigurnosnom politikom koja zahtjeva evaluaciju, upravlja rizikom i pokrivasegmente kao što su lozinke, anti-virus, upravljanje incidentima, back-up i slično, primjenjuje tehnologijekao što su enkripcija, digitalni potpis, firewall, IDS i slično, a sve u svrhu očuvanja tajnosti, cjelovitosti iraspoloživosti resursa organizacije.3.2. ISO/IEC 27001 ISO/IEC 27001 opisuje model za osnivanje, uspostavu, vođenje, nadgledanje, reviziju,održavanje i usavršavanje Sustava za upravljanje informacijskom sigurnošću. On je dovoljno općenit dabi se mogao primijeniti na bilo koju vrstu organizacije. Standard se temelji na pristupu prema sustavu kaoskupu međusobno povezanih procesa, a na strukturu svakog ISMS procesa primjenjuje PDCA (eng.Plan-Do-Check-Act ili Planiraj-Provedi-Provjeri-Djeluj) model. Primjena PDCA modela, u skladu je sprincipima iz OECD (eng. Organisation for Economic Co-operation and Development) preporuka (2002)koji pokrivaju sigurnost informacijskih sustava i mreža. OECD principi govore o tome da svi sudionici moraju biti svjesni potrebe za sigurnošćuinformacijskih sustava i mreža i onoga što mogu učiniti kako bi povećali sigurnost, da su odgovorni zasigurnost informacijskih sustava i mreža, da trebaju djelovati pravovremeno i kooperativno kako bispriječili, otkrili i odgovorili na sigurnosne incidente, da trebaju provesti analizu rizika, da trebaju uvestisigurnost kao nužni element informacijskih sustava i mreža, da trebaju usvojiti sveobuhvatan pristupupravljanju sigurnošću te da trebaju provesti reviziju i ponovno analizirati sigurnost informacijskih sustavai mreža te provesti odgovarajuće modifikacije sigurnosne politike, mjera i procedura. Upravljanje informacijskom sigurnošću je ciklički proces koji stalno iznova prolazi kroz sve fazePDCA modela. U prvoj fazi (planiraj) provodi se planiranje i donošenje ISMS politike, ciljeva, procesa iprocedura s ciljem upravljanja rizikom i poboljšanja informacijske sigurnosti u skladu s generalnompolitikom i ciljevima organizacije. U drugoj fazi (provedi) uspostavlja se i vodi ISMS politika,implementiraju kontrole, uspostavljaju procesi i provode procedure. U trećoj fazi (provjeri) vrši se provjerai mjerenje (ako je moguće) sukladnosti procesa s politikom i ciljevima ISMS-a, evidentiranje praktičnogiskustva i izvještavanje rukovodstva o rezultatima, a u četvrtoj fazi (djeluj) primjenjuju se korektivne ipreventivne mjere temeljene na rezultatima interne revizije ISMS-a, odlukama rukovodstva ili drugimrelevantnim informacijama kako bi se osiguralo kontinuirano usavršavanje ISMS-a. Faze uspostave ISMS-a prema ISO/IEC 27001 su sljedeće:4

Str. 249 • Ustanoviti i dokumentirati procedure koje će osigurati zaštitu i kontrolu svih dokumenata potrebnih za uspostavu i funkcioniranje ISMS-a. • Definirati temeljni dokument sigurnosne politike. • Definirati dokument koji će sadržavati definiciju područja pokrivanja Sustava za upravljanje informacijskom sigurnošću, tj. koji procesi će biti obuhvaćeni ISMS-om. • Provesti identifikaciju rizika. • Provesti analizu i vrednovanje rizika. • Provesti identifikaciju i procjenu opcija sučeljavanja s rizicima te odabrati odgovarajuće opcije za pojedine rizike. • Odabrati ciljeve koji se žele postići kontrolama i same kontrole za sučeljavanje s rizicima. • Dobiti suglasnost rukovodstva s predloženim rezidualnim rizicima. • Izraditi plan kontinuiranog odvijanja poslovanja (BCP). • Dobiti odobrenje rukovodstva za početak uspostave ISMS-a. • Pripremiti Izvješće o primjenjivosti (SoA). • Izraditi i provesti plan sučeljavanja s rizicima kojim će se odrediti uloga rukovodstva, dodjela resursa, odgovornosti i prioriteti kod upravljanja sigurnosnim rizicima. • Implementirati odabrane kontrole. • Definirati način mjerenja efikasnosti primijenjenih kontrola ili grupa kontrola. • Izraditi programe podizanja svijesti o sigurnosti i programe edukacije korisnika i odgovornih osoba u ISMS-u kako bi se osigurala njihova kompetentnost u obavljanju poslova vezanih za ISMS. • Implementirati procedure i druge kontrole kojima će se osigurati brzo otkrivanje događaja vezanih uz sigurnost te brzi odgovor na sigurnosne incidente. Standard, također, navodi zahtjeve za sve aspekte ISMS-a u kontekstu poslovnih rizikaorganizacije i zahtjeve za implementacijom odgovarajućih sigurnosnih kontrola prilagođenih potrebamaorganizacije i njezinim dijelovima. Standard navodi segmente informacijske sigurnosti koji se obveznomoraju uzeti u obzir kod implementacije ISMS-a, a koji su detaljnije opisani s popisom ciljeva kontrola iprijedloga samih kontrola u ISO/IEC 17799:2005.3.3. ISA-99 ISA-99 (eng. The Instrumentation, Systems, and Automation Society) je serija standarda itehničkih elaborata koji su više orijentirani prema informacijskoj sigurnosti u industrijskom sektoru iuzimaju u obzir neke specifičnosti koje se pojavljuju u procesnim sustavima. Serija se sastoji od sljedeća četiri standarda i dva tehnička elaborata: • ISA 99.00.01 standard – Područje primjene, koncepti, modeli i terminologija • ISA 99.00.02 standard – Uspostavljanje sigurnosnog programa industrijskog procesnog sustava • ISA 99.00.03 standard – Vođenje sigurnosnog programa industrijskog procesnog sustava • ISA 99.00.04 standard – Specifični sigurnosni zahtjevi kod industrijskih procesnih sustava • ISA TR 99.00.01 – Tehnologije za zaštitu industrijskih procesnih sustava • ISA TR 99.00.02 – Integracije elektroničke zaštite u okolinu industrijskih procesnih sustava U standardu ISA 99.00.02 opisuje se sustav za upravljanje informacijskom sigurnošću koji senaziva CSMS (eng. Cyber Security Management System), a koncepcijski je vrlo sličan ISMS-u premaISO/IEC 27001 standardu. Za područje na koje se odnosi ovaj standard navode se svi tipovi proizvodnihpostrojenja, usluga, transportnih sustava i ostalih industrija koji koriste automatizirane i daljinskikontrolirane procesne sustave. Drugim riječima, odnosi se na sve sustave koji utječu na siguran ipouzdan rad industrijskih procesa. CSMS je, također, ciklički proces koji se sastoji od 4 faze (PDCA model), bazira se na analiziposlovnih rizika, vođen je sigurnosnom politikom i zapravo globalno odgovara ISMS-u prema ISO/IEC27001 što je razumljivo jer je kao podloga ovom standardu korištena prethodna verzija ISO/IEC 27001pod nazivom BS 7799-2. Razlike su u tome što je ISA standard puno opširniji i uvodi dosta detalja u svezisa specifičnostima kod industrijskih procesnih sustava. U standardu se navodi 18 ključnih elemenata CSMS-a, a to su: važnost informacijske sigurnosti uposlovanju, područje pokrivanja CSMS-a, sigurnosna politika, organizacija sigurnosti, sigurnost osoblja, fizičkasigurnost, identifikacija, klasifikacija i analiza rizika, upravljanje rizikom i implementacija mjera, upravljanjeincidentima, komunikacije, operacije i upravljanje promjenama, kontrola pristupa, upravljanje informacijama idokumentima, razvoj sustava i održavanje, trening osoblja i svijest o sigurnosti, sukladnost, plan kontinuiranogposlovanja, nadzor i revizija CSMS-a i planiranje i implementacija poboljšanja. 5

Str. 250 Za svaki od ovih ključnih elemenata CSMS-a navode se neke specifičnosti koje se javljaju uokruženjima industrijskih procesnih sustava. Npr. rizici kod tradicionalnih IT resursa fokusirani su u prvom reduna tajnost, zatim cjelovitost i raspoloživost resursa, dok se kod industrijskih sustava javljaju elementi kao što suzaštita (zaštita osoblja od nesreća, sprečavanje ekološke katastrofe i slično), a puno se veća važnost pridajeraspoloživosti resursa. Bitna razlika kod industrijskih procesnih sustava u odnosu na tradicionalne IT sustaveje veća fokusiranost na fizičku zaštitu, uz jednostavniju softversku zaštitu upravo zbog toga što je na prvommjestu raspoloživost resursa. Npr. u nekom kontrolnom centru gdje se putem terminalnih računala nadzire iupravlja elektroenergetskim sustavom može biti neprimjereno postavljati razne softverske kontrole pristupakao npr. dugačke lozinke, duže procedure provjere identiteta kod prijavljivanja na računalo, tokene, kartice sPIN-om, automatsko zaključavanje računala, čuvare ekrana i slično jer sve to može onemogućiti operatorasustava da brzo reagira u važnim slučajevima. U takvim slučajevima potrebno je povećati nadzor i fizičkukontrolu pristupa prostorijama u kojima se nalaze takvi resursi, npr. dvostruki ulazi, video-nadzor 24 sata islično. Ograničavanju komunikacijske povezanosti industrijskog procesnog sustava s vanjskim svijetom pridajese puno veća pažnja nego u tradicionalnim IT sustavima. Npr. primanje e-mailova, pristup Internetu, call-backpristup, uska povezanost s poslovnom mrežom i slično mogu biti potpuno nedopustive stvari u industrijskomprocesnom sustavu. Također, za bilo kakav pristup izvana i prijenos informacija iz industrijskog procesnogsustava često se zahtjeva autentifikacija na više razina, enkripcija prenošenih podataka i slično. Često suindustrijski procesni sustavi potpora industrijama i uslugama koje su od nacionalne važnosti kao npr.elektroenergetski sustav pa kod identificiranja rizika treba uzeti u obzir dalekosežne posljedice nekogsigurnosnog incidenta za koji se u tradicionalnom IT sustavu ne bi identificirao visoki rizik.4. ZAKLJUČAK Danas se sve više važnosti pridaje informacijskoj sigurnosti ne samo u tradicionalnim IT sustavimaveć i u industrijskim procesnim sustavima što je posljedica primjene standardnih i otvorenih informacijskih ikomunikacijskih rješenja i povećanja izvora prijetnji. Kao najefikasnije rješenje za sučeljavanje s problemomsigurnosti ICT sustava, nameće se Sustav za upravljanje informacijskom sigurnošću prema nekom širokoprihvaćenom standardu, a to su u prvom redu ISO/IEC 27001 i ISA-99 serija koja je zapravo vrlo sličnaISO/IEC 27001 standardu, ali uz dosta korisnih detalja vezanih za industrijske procesne sustave. Implementacija i daljnje održavanje takvog sustava nije jednostavna niti jeftina, ali zatoomogućava znatno kvalitetnije poslovanje s jasnim postavkama u svezi sigurnosti i dobro razrađenim idokumentiranim djelovanjem s ciljem zaštite resursa organizacije i kontinuiteta poslovanja. LITERATURA[1] ISO/IEC 27001:2005, \"Information technology – Security techniques – Information security management systems – Requirements\", First edition, 2005.[2] ISO/IEC 17799:2005, \" Information technology – Sequirity techniques – Code of practice for information security management\", Second edition, 2005.[3] ISA-99.00.01, \"Manufacturing and control systems security – Scope, Concepts, Models and Terminology\", 2005.[4] ISA-99.00.02, \"Manufacturing and control systems security – Establishing a Manufacturing and Control Systems Security Program\", 2005.[5] ANSI/ISA TR99.00.02-2004, \"Technical report: Integrating electronic security into the manufacturing and control systems environment\", 2004.[6] John H. Dexter, \"The cyber security management system: A conceptual mapping\", www.sans.org, 2002.6

© HRO CIGRÉ 2014