Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

Monitorowanie Bezpieczeństwa Sieci

Technologicznej

Właściciel Marek Malczewski

Security Project Manager

Zatwierdził Bartłomiej Szymczak

IT Quality and Security Manager

Wersja 1.2

Data wersji 24.08.2018

Status opublikowany

Klasa bezpieczeństwa dokumentu Publiczny

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

Spis treści

1 Słownik pojęć .................................................................................................................................................. 3

2 Cel i Przedmiot zapytania ................................................................................................................................ 3

3 Kluczowe kamienie milowe i produkty ........................................................................................................... 4

4 Wymagania ..................................................................................................................................................... 6

4.1 System monitorowania środowiska OT ................................................................................................. 6

4.2 Bezpieczeństwo realizacji ...................................................................................................................... 6

4.3 Zadania dla oferenta .............................................................................................................................. 6

5 Załączniki ......................................................................................................................................................... 8

5.1 Załącznik 1. Lista standardów i polityk .................................................................................................. 8

5.2 Załącznik 2. Lista urządzeń w sieci innogy ............................................................................................. 8

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

1 Słownik pojęć

Pojęcie Znaczenie pojęcia

Narzędzie NBA Narzędzie do wykrywania incydentów bezpieczeństwa na podstawie analizy

behawioralnej przepływu ruchu sieciowego (Network Behavioral Analysis)

POC Proof of Concept

ZONE Strefa bezpieczeństwa

2 Cel i Przedmiot zapytania

Celem zapytania jest opracowanie projektu technicznego wdrożenia systemu opartego na analizie

behawioralnej, który umożliwia monitoring ruchu sieciowego i aktywne przeciwdziałanie w przypadku wykrycia

anomalii.

Projekt podzielony jest na kilka etapów:

dokonanie analizy rynku pod względem narzędzi do wykrywania incydentów bezpieczeństwa przy

wykorzystaniu analizy behawioralnej ruchu sieciowego

testy funkcjonalne 3 wybranych narzędzi w infrastrukturze oferenta

przeprowadzenie POC wyselekcjonowanych rozwiązań przy użyciu rzeczywistej próbki ruchu

sieciowego zebranego z wybranej stacji elektro-energetycznej i poszczególnych stref (1; 2; 3)

opracowanie projektu technicznego wdrożenia

Projekt techniczny obejmuje opracowanie sposobu wdrożenia narzędzia do monitorowania ruchu sieciowego

na obiektach elektro-energetycznych.

Dodatkowym celem jest zdefiniowanie reguł korelacyjnych SIEM dla

systemu SCADA

systemu zarządzania licznikami inteligentnymi AMI

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

Strefa 5: Sieć zewnętrzna Dozwolona komuniakcja

Strefa 4: Sieć Korporacyjna (IT)

Strefa 3: Systemy administracyjne i wsparcia OT (Web Servers, Proxy)

Strefa 2: Serwery i stacje robocze systemów OT (SCADA)

Strefa 1: Urządzenia Automatyki

Strefy bezpieczeństwa i dozwolona komunikacja w architekturze innogy

Przedmiotem zapytania jest:

Analiza narzędzi informatycznych do wykrywania incydentów bezpieczeństwa przy wykorzystaniu

behawioralnej analizy ruchu sieciowego (NBA) między strefami bezpieczeństwa

Przeprowadzenie testów funkcjonalnych (m. in. symulowanych ataków) dla 3 wybranych narzędzi w

infrastrukturze oferenta

Przeprowadzenie POC przy wykorzystaniu wyselekcjonowanego narzędzia na próbce ruchu sieciowego

innogy do monitorowanie komunikacji pomiędzy systemem SCADA a automatyką/telemechaniką w

laboratorium oferenta

Opracowanie projektu technicznego wdrożenia narzędzia NBA dla innogy. Projekt będzie obejmował

przygotowanie sposobu zbierania ruchu sieciowego z urządzeń i niezależnych sieci znajdujących się na

stacjach, oraz opracowanie centralnego punktu analizy danych.

Opracowanie reguł korelacyjnych SIEM dla SCADA (maksymalnie 15 reguł).

Opracowanie reguł korelacyjnych SIEM dla systemu zarządzania liczników inteligentnych AMI

(maksymalnie 15 reguł).

3 Kluczowe kamienie milowe i produkty

Zamawiający oczekuje, że harmonogram Oferenta będzie zawierał przynajmniej wymienione poniżej kamienie

milowe i uwzględniał zaproponowane przez Zamawiającego daty, przedstawione w tabeli TAB. 2

Oferent może zaproponować własny harmonogram w oparciu o swoje doświadczenia w tego typu projektach.

Oferent poda szacowane zaangażowanie pracowników IT Zamawiającego wymagane do realizacji projektu.

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

Tab. 1. Kluczowe kamienie milowe

Numer Nazwa Data Czas akceptacji przez

Zamawiającego

Kick-off Projektu 17/09/2018

Przygotowanie planu projektu

Zaakceptowanie planu projektu

Przeprowadzenie POC narzędzia NBA

Przygotowanie projektu technicznego

Opracowanie reguł korelacyjnych SIEM dla SCADA

Opracowanie reguł korelacyjnych SIEM dla AMI

Konfiguracja specyficznych reguł systemu IDS dla

obszaru SCADA.

Odbiór wyników prac

Tab. 2. Kluczowe produkty

Numer Nazwa Data Czas akceptacji przez

Zamawiającego

Raport analizy rynku narzędzi do wykrywania

incydentów bezpieczeństwa przy wykorzystaniu

analizy behawioralnej ruchu sieciowego

5 dni

Wyniki testów funkcjonalnych 3 wybranych narzędzi

przeprowadzonych w infrastrukturze oferenta 5 dni

Opracowanie listy kluczowych wymagań

funkcjonalnych dla systemu NBA

projekt techniczny 10 dni roboczych

Reguły korelacji SIEM dla SCADA 5 dni

Reguły korelacji SIEM dla liczników inteligentnych AMI 5 dni

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

4 Wymagania

4.1 System monitorowania środowiska OT

REQ 1. Wsparcie protokołów następujących protokołów: ICCP, IEC 61850 (MMS, FOOSE), IEC 60870-5-

104,BODBUS, DNP3

REQ 2. Integracja z innymi rozwiązaniami (SIEM, NGFW)

REQ 3. Wsparcie systemów powiadamiania (email, SMS, itp.)

REQ 4. Funkcjonalność pasywnego monitorowania rozumiana jako identyfikacja zasobów sieciowych, OT

oraz ich podatności wyłącznie na podstawie analizy ruchu w monitorowanej sieci

REQ 5. Funkcjonalność wykrywania zasobów sieciowych oraz OT

REQ 6. Funkcjonalność uczenia się wzorca sieci i detekcja anomalii

REQ 7. Funkcjonalność wykrywania zmian w konfiguracji urządzeń sieciowych i OT

4.2 Bezpieczeństwo realizacji

REQ 8. Realizacja projektu musi być zgodna ze standardami bezpieczeństwa Zamawiającego. Standardy

te załączone są jako zestaw dokumentów do zapytania ofertowego.

4.3 Zadania dla Oferenta

REQ 9. Dysponowanie minimum 5 osobowym zespołem własnych pracowników etatowych, którzy będą

dedykowani do realizacji projektu

REQ 10. Oferent musi przedstawić skład personalny zespołu wdrożeniowego wraz z opisem

doświadczenia zawodowego każdego z członków zespołu

REQ 11. Każda z osób dedykowana do projektu powinna posiadać co najmniej jeden z poniższych

certyfikatów, dedykowany zespół powinien pokrywać wszystkie z poniższych:

Certified SCADA Security Architect (CSSA) – Information Assurance Certification Review Board

Global Industrial Cyber Security Professional (GICSP) – Global Information Assurance

Certification

ISA/IEC 62443 – Cybersecurity Fundamentals Specialist (CFS)

SABSA SCF – Sherwood Applied Business Security Architecture

Lub równoważne

REQ 12. Oferent powinien zapewnić niezmienność zespołu projektowego w trakcie realizacji projektu

REQ 13. W ostatnich 3 latach zrealizowanie projektu opracowania technicznego koncepcji monitorowania

środowiska OT

REQ 14. W ostatnich 3 latach zrealizowanie projektu opracowania koncepcji architektury bezpieczeństwa

w środowisku OT

REQ 15. W ostatnich 3 latach zrealizowanie projektu wdrożenia monitorowania środowiska OT

REQ 16. W ostatnich 3 latach doradztwo w wyborze optymalnego rozwiązania dedykowanego do

monitorowania oraz zabezpieczenia środowiska OT

REQ 17. W ostatnich 3 latach zrealizowanie projektu wdrożenia SIEM

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

REQ 18. Oferent dysponuje własną infrastrukturą i środowiskiem, w którym możliwe jest:

Analizowanie narzędzi informatycznych do wykrywania incydentów bezpieczeństwa przy

wykorzystaniu behawioralnej analizy ruchu sieciowego (NBA)

Testowanie scenariuszy symulowanych ataków

Przeprowadzenie testów wyselekcjonowanego narzędzia przy wykorzystaniu próbki ruchu

sieciowego innogy

Monitorowanie Bezpieczeństwa Sieci Technologicznej IT

5 Załączniki

5.1 Załącznik 1. Lista standardów i polityk

W tabeli TAB. 33 została przedstawiona pełna lista standardów i polityk powiązanych z dokumentem.

Tab. 3. Lista polityk i standardów

Dokument Opis

Polityka Bezpieczeństwa dla

Dostawców

Dokument zawiera wymagania bezpieczeństwa informacji, które

powinny być stosowane przy projektowaniu i wdrażaniu

rozwiązań informatycznych dla INNOGY GB PL.

Szablon umowy wraz z

załącznikami

Dokument zawiera standardową umowę na dostawę oraz

utrzymanie systemu informatycznego wraz z załącznikami.

Standardy technologiczne Dokument zamieszczono jako załącznik

5.2 Załącznik 2. Lista urządzeń w sieci innogy

W poniższej tabeli została przedstawiona lista urządzeń w sieci innogy.

Tab. 4. Lista urządzeń sieciowy używanych do zarządzania komunikacją między strefami bezpieczeństwa

ZONE 4-1

Producent Typ urządzenia Funkcja

HP A5500 Switch

Cisco IE 2000 Switch

Microsens Industrial Gigabit Switch

Moxa PT-7728-PTP Switch

Reason T1000 Switch