prof. dr in. Tadeusz Missala Przemys owy Instytut Automatyki i Pomiarów, Warszawa

Transkrypt

1 prof. dr in. Tadeusz Missala Przemys owy Instytut Automatyki i Pomiarów, Warszawa ZABEZPIECZENIE SIECI PRZEMYS OWYCH PRZED INTRUZAMI TEMAT DNIA Zwrócono uwag na istotno zagadnienia zabezpieczenia systemów sterowania infrastrukturami krytycznymi przed zagro eniami wewn trznymi i zewn trznymi. Przedstawiono w zarysie tematyk poruszan na Warsztatach CRITIS 09 dotycz c zabezpieczenia w przemy le procesowym. Omówiono zawarto projektu najnowszej normy mi dzynarodowej dotycz cej tego zagadnienia. SECURITY OF INDUSTRIAL NETWORKS AGAINST INTRUDERS THE THEME OF TODAY The mind is given on the essentiality of the problem of the critical infrastructure security against internal and external threats.the themes concerning the process industry discussed during the Workshop CRITIS 09 are outlined. The content off the newest draft of the relevant International Standard is also presented. 1. WPROWADZENIE Zabezpieczenie jest pewno ci dostarczan przez system, e ka de niepoprawne wej cie lub ka dy nieuprawniony dost p jest niemo liwy [9]. Podstaw analizy i oceny s : model gro baryzyko i cykl ycia zabezpieczenia. Jak ka da w a ciwo systemu, b dzie ono podlega walidacji, to jest sprawdzeniu i wykazaniu, e na przestrzeni ca ego cyklu ycia zabezpieczenia s konsekwentnie przestrzegane zasady polityki zabezpieczenia w zakresie zarz dzania dost pno ci, nienaruszalno ci, dost pem logicznym, dost pem fizycznym, dost pem zewn trznym i podzia em pami ci [1]. Walidacja jest zdefiniowana nast puj co [9]: Walidacja potwierdzenie, przez przedstawienie dowodu obiektywnego, e zosta y spe nione wymagania dotycz ce konkretnego zamierzonego u ycia lub zastosowania. Dlaczego zabezpieczenie sieci przesy ania danych tak rozleg ej jak i przemys owej jest dzi tematem dnia? Sieci informatyczne steruj i obs uguj coraz szerzy asortyment systemów krytycznych dla funkcjonowania wspó czesnego spo ecze stwa; przyk adowo wymieni nale y systemy energetyki elektrycznej, gazoci gi, systemy zaopatrzenia w wod, telekomunikacj, transport drogowy, kolejowy i lotniczy, systemy ostrzegania przed awariami rodowiskowymi i przemys owymi. Ostatnio odnotowano awarie systemów energetycznych wywo ane m.in. defektami sieci informatycznych je steruj cych. Z drugiej strony, jakby by o ma o k opotów, nale y si liczy z atakami terrorystycznymi na sieci przesy u danych je eli hakerzy mogli si w ama do systemu Pentagonu, to naszym szczciem jest, e nie w amali si skutecznie do systemów infrastruktury krytycznej. Nak ada to obowi zek dbania o jak najwy szy poziom zabezpieczenia sieci obs uguj cych tak infrastruktur. Wydaje si, e awarie sieci przemys owych s umieszczone na ni szym poziomie szkodliwo ci. To jest jednak tylko pozorne. Wprawdzie awaria sieci sterowania w zak adzie przemys u maszynowego doprowadzi na ogó do mniejszych lub nawet bardzo du ych, strat materialnych, ale b d to raczej straty ograniczone do danego zak adu, to inna sytuacja jest 180 automation 2010

2 w przemy le przetwórczym, gdzie w kra cowym wypadku mo e doj do wybuchu i nieobliczalnych strat w ludziach, maj tku i rodowisku. Wszystkie te wzgl dy przemawiaj za tez, e sprawa zabezpieczenia sieci przesy owych jest tematem niezmiernie aktualnym, a zabezpieczenie sieci pracuj cych w przemy le przetwórczym wlicza si do zwi zanych z infrastruktur krytyczn [4, 5, 6, 7]. Nale y tak e przypomnie, e wprawdzie przy realizacji sieci z o onych lub/i rozleg ych jest mo liwe zbudowanie, wskutek wadliwej topografii, sieci zupe nie transparentnej na wszelkie zaburzenia, a z o onej z elementów dobrych i odpornych, jednak e nie jest mo liwe zrealizowanie sieci dobrej ze z ych podzespo ów. Dlatego te rozwa ania zostan zacz te od rozpatrzenia niewra liwo ci sk adników wzgl dnie prostych. 2. DROGI POWSTAWANIA ZAGRO E W ELEMENTARNYM PROCESIE TRANSMISJI DANYCH 2.1. Model oddzia ywania Uproszczony model oddzia ywania defektów na prosty proces transmisyjny przedstawiono na rys. 1. Wyodr bniono trzy ród a defektów: defekty przypadkowe sprz tu defekty wywo ane oddzia ywaniami elektromagnetycznymi defekty systematyczne i wymuszone oprogramowania. STAN POPRAWNY Bdy wynikaj ce z defektów sprz tu Defekty z EMI Bdy protoko u transmisyjnego ZAGRO ENIE Rys. 1. Uproszczony model Markova (wg [8]) 2.2. Defekty przypadkowe sprz tu Ich g ównymi przyczynami s : niew a ciwy dobór elementów i podzespo ów ze wzgl du na nara enia rodowiskowe w miejscu pracy niew a ciwe wykonanie ze wzgl du na rzeczywiste warunki pracy (np. wibracje, udary, nag e zmiany temperatury, korozja) automation

3 niew a ciwy projekt, np. nie zwrócenie uwagi na mo liwo powstania defektów zale nych i defektów spowodowanych wspóln przyczyn. Dobr drog jest, w przypadku sieci zwi zanych z bezpiecze stwem i z infrastruktur krytyczn, post powanie wg zasad bezpiecze stwa funkcjonalnego tj. PN-EN [14b] Defekty wynikaj ce z zaburze elektromagnetycznych Zaburzenia elektromagnetyczne (promieniowane, przewodzone, udary i elektrostatyczne) pochodz ce z ró nych róde, w tym wynikaj ce z interakcji obwodów i systemów oraz zjawisk atmosferycznych, mog prowadzi do zak ócania dzia ania, uszkadzania elementów i podzespo ów, a tym samym do awarii sieci i obiektów sterowanych. Mog one by równie narz dziem ataku terrorystycznego. Wymagan drog post powania [2] jest zapewnienie odporno ci na zaburzenia elektromagnetyczne na poziomie, co najmniej wynikaj cym z norm kompatybilno ci elektromagnetycznej, np. [12, 13, 14, 16] Defekty wynikaj ce z oprogramowania Defekty wynikaj ce z oprogramowania mo na podzieli na systematyczne i wymuszone. Defekty systematyczne wynikaj z bdów oprogramowania, których nie mo na unikn. Istotne jest, aby defekty systematyczne wynikaj ce z bdów w oprogramowaniu nie prowadzi y do sytuacji zagra aj cych. Dobr droga do osi gni cia tego celu jest post powanie wg zasad bezpiecze stwa funkcjonalnego, tj. PN-EN [15c]. Defekty wymuszone oprogramowania sw wynikiem ataków hakerskich. T drog mo na doprowadzi do wielkich katastrof w strukturach krytycznych. Nad zabezpieczeniem sieci teleinformatycznych przed dzia aniami hakerskimi pracuje si od dawna i ich wynikiem s ró ne programy antywirusowe, antyspamowe i zabezpieczaj ce. Mo na stwierdzi, e podstawowym warunkiem jest spe nienie wymaga ogólnych bezpiecze stwa przesy ania informacji, np. ISO/IEC [17] i ISO/IEC [18]. 3. ZABEZPIECZENIA SIECI PRZEMYS OWYCH Sieci przemys owe maj jednak pewn specyfik i konieczne jest tez rozpatrzenie innych zagadnie, w tym wynikaj cych ze wspó pracy sieci przemys owej z sieci rozleg oraz ze specyfiki eksploatacji sieci w warunkach fabrycznych. Wa nymi sprawami s : odci cie sieci przemys owej od zagro e pochodz cych z sieci rozleg ej, z któr wspó pracuje lub uczynienie jej innymi metodami odpornymi na te zagro enia w a ciwe zarz dzanie cyklem ycia zabezpieczenia w przedsi biorstwie eksploatuj cym sie przemys ow Zagadnienie zabezpieczenia przed zagro eniami pochodz cymi z sieci rozleg ej To zagadnienie by o poruszane podczas obrad 4. Mi dzynarodowych Warsztatów na temat Zabezpieczenia Krytycznych Struktur Informatycznych CRITIS 09, które odby y si w Bonn, w dniach od 30 wrze nia do 2 pa dziernika 2009 r. Zaprezentowano 4 referaty z tego zakresu. Poni ej zostan przedstawione, w bardzo du ym skrócie, g ówne tezy tych referatów. W referacie P. Düssela i innych [4] rozpatrzono przypadek systemu SCADA poczonego z sieci zewn trzn. Wyodr bniono trzy strefy rozdzielone barierami programowymi: stref niezaufan sie sterowania przedsi biorstwem oraz cze internetowe 182 automation 2010

4 stref pó zaufan serwery i inne urz dzenia informatyczne pe ni ce funkcje interfejsu miedzy stref niezaufan i stref zaufan stref zaufan systemy sterowania procesem zawieraj ce równie urz dzenia obiektowe. Przedstawiono metodologi wykrywania anomalii za pomoc systemu opartego na ocenie obcienia u ytecznego sieci oraz wyniki przeprowadzonego eksperymentu. System jest uczony obcie w stanie pracy prawid owej i wykrywa anomalie na podstawie ró nic mi dzy obcieniami aktualnymi i modelowymi. Rozpatrywane s zagro enia pochodz ce z zewn trz, tj. z sieci zak adowej i Internetu, które mog przedosta si przez serwer sieciowy, jak te zagro enia wewn trzne powstaj ce w sieci steruj cej obiektem tj. w obszarze zaufanym. Wyniki eksperymentu potwierdzi y s uszno przyj tej koncepcji. W referacie B. Batisty jr. i innych [5] przedstawiono koncepcj zapory programowej usytuowanej w warstwie 7 Zastosowania. Celem opracowania by o zaproponowanie przemys owego systemu filtrowania protokó ów sieci automatyzacji TCP/IP, w której dzia ania szkodliwe b d minimalizowane przez blokowanie ruchu o charakterze nieprzemys owym (tj. niezgodnego z wzorcami protoko u deterministycznego) i ruchu o charakterze przemys owym, lecz dotycz cego czynno ci zabronionych. W rozwa aniach skoncentrowano si na protokole MODBUS/TCP, sterowanie ruchem rozwi zano w systemie Linus OS. Koncepcj sprawdzono na instalacji badawczej zrealizowanej w systemie MODBUS. Wyniki bada potwierdzi y za o enia, e filtr na poziomie zastosowa do sieci przemys owej TCP/IP mo e zosta zrealizowany w sposób prosty i z góry uporz dkowany. W referacie M. Chorasia i innych [6] przedstawiono koncepcj zabezpieczenia sieci typu SCADA przez zwi kszenie odporno ci na zagro enia. Referat zawiera wyniki dotychczas uzyskane w projekcie Inspire realizowanym w 7. PR UE i ko cz cym si w pa dzierniku 2010 r. Projekt dotyczy analizy s abo ci (vulnerabilities) i ich wspó zale no ci w systemach SCADA wspó pracuj cych z sieciami telefonii ogólnodost pnej oraz sieciami klasy WAN. Jako metod rozwi zania problemu przyj to rozumowanie ontologiczne. Przedstawiono; klasyfikacj obiektów do rozwa a ontologicznych; zasoby (logiczne, fizyczne, sprz towe), s abo ci (zastosowania, systemu operacyjnego, sprz tu, administracyjnych dzia a zabezpieczaj cych, sieci), zagro enia, ród a ataków, zabezpieczenia program narz dziowy wspomagaj cy decyzje. Zreferowania wyników ko cowych nale y spodziewa si na nast pnych Warsztatach CRITIS. W referacie A. Carcano i innych [7] przedstawiono koncepcj wykrywania w ama przez analiz stanu sieci jako odmian systemu wykrywania w ama na podstawie sieci (Network Intrusion Detection Systems NIDS). Opracowanie dotyczy sieci MODBUS. Dotychczasowe koncepcje NIDS uznano za niewystarczaj ce z punktu widzenia zabezpieczenia sieci sterowania procesem doczonej do sieci rozleg ej (WAN, Internet itp.). W proponowanej architekturze systemu zabezpieczenia do sieci SCADA zidentyfikowano sk adowe elementy logiczne: Czujniki protoko u SCADA (SPS) Pakiet najwa niejszych regu DB (SPDB) automation

5 UZASADNIENIE BIZNESOWE ANALIZA RYZYKA IDENTYFIKACJA, KLASYFIKACJA I OCENA RYZYKA Ryzyko przypisane do CSMS Polityka, organizacja i zrozumienie zabezpieczenia Zakres CSMS Wybrane rodki przeciwdzia aj ce Zabezpieczenie personalne Wdro enie Zarz dzanie ryzykiem i wdro enie Zorganizowanie dla zabezpieczenia Szkolenie personelu i zrozumienie Plan ci g o ci biznesu Zabezpieczenie rodowiskowe i fizyczne Segmentacja sieci Kontrola dost pu: opis administracyjny Opracowanie i utrzymanie systemu Zarz dzanie informacj i dokumentami Planowanie zdarze i odpowiedzi Polityki i procedury zabezpieczenia Kontrola dost pu: uwierzytelnienie Kontrola dost pu: autoryzacja ZGODNO MONITOROWANIE I DOSKONALENIE CSMS Przegl d, doskonalenie i utrzymanie CSMS CSMS System zarz dzania zabezpieczeniem cybernetycznym Rys. 2. Graficzne zestawienie elementów systemu zabezpieczenia cybernetycznego [20] 184 automation 2010

6 Wirtualny obraz systemu (SVI) Walidator i inspektor stanu (SVAL) Pakiet regu krytycznych. Przyj to nast puj c strategi post powania: SPS analizuje ruch w sieci wed ug regu zapisanych w SPDB SVAL w tym samym czasie wykonuje operacje: uaktualnienie SVI odpowiednio do otrzymywanych przesy ek oraz zweryfikowanie stanu systemu wed ug regu zawartych w SPDB i nadaje alarm, je li system wchodzi w stan krytyczny. Opracowano równie odpowiednie regu y j zykowe j zyk stanu krytycznego. System zaimplementowano na stanowisku badawczym, uzyskano wyniki pozytywne Zarz dzanie systemem zabezpieczenia cybernetycznego To zagadnienie jest przedmiotem ustalonych i/lub ustalanych obecnie norm mi dzynarodowych [19, 20, 21]. Punktem wyj cia rozwa a jest schemat przedstawiony na rys. 2. Podobnie jak to ma miejsce przy doborze urz dze ochronnych na podstawie analizy ryzyka zwi zanego z bezpiecze stwem urz dzenia/procesu [3, 15] i tu nale y zastosowa rozumowanie ALARP ryzyko wynikaj ce z zagro enia/ataku nale y doprowadzi do poziomu tak niskiego jak to jest rozs dnie uzasadnione na podstawie porównania kosztów i korzy ci. Koszt systemu zabezpieczaj cego (security system) powinien by dobrany odpowiednio do mo liwych zagro e i poziomu konsekwencji z ej pracy systemu sterowania lub jego uszkodzenia. Na rys. 2 jest to zobrazowane kategori Analiza ryzyka umieszczon u góry rysunku i z o on z dwu elementów. Element Uzasadnienie biznesowe oznacza, e na wysokim szczeblu zarz dzania organizacj powinna powsta ocena jako podstawa do podejmowania dzia a w zakresie zarz dzania zabezpieczeniem cybernetycznym systemów sterowani infrastruktur krytyczn organizacji. Ta ocena uzasadnia akceptowalne ryzyko zrealizowania si zagro enia i/lub udania si ataku zewn trznego. Element Identyfikacja, klasyfikacja i ocena ryzyka obejmuje: wybranie metodologii oceny ryzyka oraz przygotowanie informacji stanowi cych podstaw analizy przeprowadzenie oceny ryzyka na wysokim szczeblu organizacji w celu okre lenia konsekwencji finansowych oraz dotycz cych zdrowia, bezpiecze stwa i rodowiska w przypadku uszkodzenia lub niedostatecznej spójno ci systemu zabezpieczenia cybernetycznego przeprowadzenie szczegó owej oceny s abo ci przy uwzgl dnieniu wszystkich istniej cych w organizacji systemów sterowania infrastruktur krytyczn i ich priorytetów przeprowadzenie szczegó owej oceny ryzyka, zintegrowanie wszystkich otrzymanych wyników cz stkowych oraz przeanalizowanie ca ego cyklu ycia systemów sterowania infrastruktur krytyczn udokumentowanie oceny ryzyka i zarchiwizowanie tej dokumentacji. automation

7 Kategoria Ryzyko przypisane do CSMS (systemu zarz dzania zabezpieczeniem cybernetycznym) polega na opracowaniu i wdro eniu szeregu elementów, zebranych w trzy grupy, krótko scharakteryzowane poni ej. Grupa: polityka, organizacja i zrozumienie CSMS obejmuje: zakres CSMS przedstawiony jako pisemne zestawienie celów strategicznych, procesów i wymaga czasowych dotycz cych rozpatrywanego systemu organizacj zabezpieczenia: wyznaczenie przedstawiciela kierownictwa wysokiego szczebla do kierowania CSMS, ustalenie organizacji zajmuj cej si systemem, okre lenie odpowiedzialno ci i wyznaczenie zespo u, który b dzie na bieco utrzymywa system w sprawno ci przeprowadzenie szkolenia personelu i archiwizowanie kolejnych etapów okresowego szkolenia zapewnienie ci g o ci biznesowej przez opracowanie procedur i wyznaczenie zespo u do interwencji i utrzymania ci g o ci dzia ania w wypadku awarii opracowanie wysokiego szczebla polityki bezpiecze stwa cybernetycznego dotycz cej systemów sterowania infrastruktur krytyczn, zatwierdzonej przez kierownictwo opracowanie procedur zabezpieczenia, utrzymanie spójno ci mi dzy systemami zarz dzania ryzykiem, okre lenie dopuszczalnych tolerancji ryzyka, powiadomienie o powy szym ca ego personelu zwi zanego z zabezpieczeniem oraz przegl dy i uaktualnianie procedur. Grupa: wybrane rodki przeciwdzia aj ce obejmuje: zabezpieczenie przez dobór personelu (ustalenie procedury dotycz cej wymaga i odpowiedzialno ci personelu za sprawy zabezpieczenia, przegl d uprawnie i kwalifikacji z punktu widzenia przepisów o zabezpieczeniu, przypisanie odpowiedzialno ci, udokumentowanie przypisania) zabezpieczenie od strony fizycznej i otoczenia (ustalenie procedury zabezpieczenia, ustalenie granic fizycznych obszarów zabezpieczanych, odpowiednia kontrola dost pu, odpowiednia ochrona zasobów, ustalenie procedur monitorowania, alarmowania, post powania z zasobami oraz procedur zabezpieczenia w asnego) segmentacja sieci kontrola dost pu ( rodki administracyjne, uwierzytelnienie, uprawnienie). Grupa: wdro enie obejmuje: zarz dzanie ryzykiem i wdro enie (przyj cie schematu zarz dzania ryzykiem obejmuj cego narz dzia zarz dzania i rodki przeciwdzia aj ce techniczne i administracyjne) opracowanie i utrzymanie systemu (okre lenie i przetestowanie funkcji zabezpieczenia, opracowanie systemu zarz dzania zmianami, przegl dy pracy i zmian, procedury antywirusowe, procedury rezerwowania, tworzenia kopii zapasowych i ich przetestowanie) zarz dzanie informacj i dokumentami (opracowanie cyklu ycia dokumentów zwi zanych z przemys owymi systemami automatyzacji sterowania, zdefiniowanie poziomów klasyfikacji informacji i sklasyfikowanie zasobów systemu zarz dzania 186 automation 2010

8 bezpiecze stwem cybernetycznym, zapewnienie odpowiednich zapisów i ich d ugoterminowego odzyskiwania, utrzymywanie informacji i auditowanie zgodno ci z polityk zabezpieczenia planowanie zdarze i odpowiedzi (wdro enie planu odpowiadania na wydarzenia, w tym powiadomienie o nim zainteresowanych stron, ustalenie procedury sprawozdawczo ci, przeszkolenie personelu, sporz dzanie sprawozda okresowych o wydarzeniach w uk adzie czasowym, w tym zidentyfikowanie sukcesów i pora ek, odpowiadanie na wydarzenia wg obowi zuj cych procedur, udokumentowanie szczegó ów wydarze i zakomunikowanie o nich odpowiednim organizacjom, procedury oceny prawid owo ci odpowiedzi, testowanie rutynowe programu odpowiedzi. Kategoria Monitorowanie i doskonalenie CSMC zawiera dwa elementy: zgodno oraz przegl d, doskonalenie i utrzymanie CSMS. Element Zgodno obejmuje: okre lenie metodologii prowadzenia auditów zgodno ci post powania organizacji z opracowanym systemem zarz dzania zabezpieczeniem cybernetycznym (CSMS); zapewnienie, aby auditorzy mieli w a ciwe kompetencje systematyczne przeprowadzanie auditów ustalenie miar zgodno ci i rodków karnych za niezgodno ci ustalenie listy dokumentów auditu i ich przebiegu. Element Przegl d, doskonalenie i utrzymanie CSMS obejmuje: przypisanie zadania udoskonalania i wdra ania zmian w CSMS okre lonej organizacji okresowe ocenianie funkcjonowania CSMC ustalenie sytuacji w których nale y przeprowadzi ocen CSMS w trybie nadzwyczajnym (np. nadmierna liczba wydarze, zmiany w przepisach, istotne zmiany w systemie sterowania procesem) zidentyfikowanie i wdro enie dzia a koryguj cych i zapobiegawczych przegl d i ocen aktualno ci ryzyka tolerowanego, strategii przemys owej CSMC, przepisów prawnych dotycz cych zabezpieczenia cybernetycznego przekazywanie do wy szego kierownictwa wniosków dotycz cych funkcjonowania zabezpieczenia. Jak wynika z kierunków strza ek wyznaczaj cych kolejno dzia a, element Identyfikacja, klasyfikacja i ocena ryzyka stanowi wej cie do ca ego systemu. Na jego podstawie podejmuje si dzia ania, których wynik konfrontuje si z elementem Uzasadnienie biznesowe w celu stwierdzenia, czy nie zaproponowano systemu niepotrzebnie drogiego. Gdy system jest wdro ony systematycznie realizuje si element Zgodno, a wnioski jakie uzyskuje si z oceny zgodno ci s podstaw do realizacji elementu Przegl d, doskonalenie i utrzymanie CSMS. 4. PODSUMOWANIE Zabezpieczenie uk adów sterowania infrastruktur krytyczn sta o si jednym z wa niejszych tematów wspó czesno ci. Odpowiedzi na to wyzwanie s liczne prace naukowe oraz normy, opracowane z my l o skutecznym wdro eniu zasad zabezpieczenia cybernetycznego do szerokiej praktyki przemys owej. automation

9 Opracowanie zosta o sfinansowane w ramach zadania 4.R.08 Modele i procedury oceny zgodno ci bezpiecze stwa funkcjonalnego systemów zabezpieczeniowych sektorze przemys u procesowego Programu Wieloletniego Poprawa bezpiecze stwa i warunków pracy koordynowanego przez CIOP-PIB. LITERATURA [1] Missala T.: Walidacja z o onych systemów automatyki i robotyki. Pomiary, Automatyka, Robotyka nr 2/2009, s [2] Missala T.: Kompatybilno elektromagnetyczna przemys owych sieci komunikacyjnych zwi zanych z bezpiecze stwem. Prace VI Krajowego Sympozjum Kompatybilno elektromagnetyczna w Elektrotechnice i Elektronice EMC 09, ód, 2009 r., s [3] Missala T.: Analiza wymaga i metod post powania przy ocenie ryzyka i okre laniu wymaganego poziomu nienaruszalno ci bezpiecze stwa. Monografia. Przemys owy Instytut Automatyki i Pomiarów. Warszawa, 2009 r. [4] Duessel P. et all.: Cyber-Critical Infrastructure Protection Using Real-time Payoload- Based anomaly Detection. Conference Pre-Proceedings, 4-th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., s [5] Batista Jr. A.B. et all.: Application Filters for TCP/IP Industrial Automation Protocols. Conference Pre-Proceedings, 4-th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., s [6] Chora M. et all.: Ontology-Based Reasoning Combined with Inference Engine for SCADA-ITC Independencies, Vulnerabilities and Treats Analysis. Conference Pre- Proceedings, 4-th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., s [7] Carcano A. et all.: State-BASED network Intrusion Detection Systems for SCADA Protocols, a Proof of Concept. Conference Pre-Proceedings, 4-th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., s [8] GS ET 28; Grundsatz für die Prüfung und Zertifizierung von Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten. HVBG [9] PN-EN ISO 9000:2001. Systemy zarz dzania jako ci Podstawy i terminologia. [10] PN-EN :2004, Pomiary i sterowanie procesami przemys owymi Okre lenie [11] w a ciwo ci systemu w celu jego oceny. Cz 5: Ocena niezawodno ci systemu [12] PN-EN :2009, Wyposa enie elektryczne do pomiarów, sterowania u ytku w laboratoriach Wymagania dotycz ce kompatybilno ci elektromagnetycznej (EMC) Cz 1: Wymagania ogólne [13] PN-EN : 2008, Wyposa enie elektryczne do pomiarów, sterowania u ytku w laboratoriach Wymagania dotycz ce kompatybilno ci elektromagnetycznej (EMC) Cz 3-1: Wymagania odporno ci dotycz ce systemów zwi zanych z bezpiecze stwem i wyposa enia przewidzianego do wype niania funkcji zwi zanych z bezpiecze stwem (bezpiecze stwo funkcjonalne) Ogólne zastosowania przemys owe (oryg) [14] PN-EN : 2008, Wyposa enie elektryczne do pomiarów, sterowania u ytku w laboratoriach Wymagania dotycz ce kompatybilno ci elektromagnetycznej (EMC) 188 automation 2010

10 Cz 3-2: Wymagania odporno ci dotycz ce systemów zwi zanych z bezpiecze stwem i wyposa enia przewidzianego do wype niania funkcji zwi zanych z bezpiecze stwem (bezpiecze stwo funkcjonalne) Zastosowania przemys owe w skonkretyzowanym rodowisku elektromagnetycznym (oryg) [15] PN-EN (IEC 61508): Bezpiecze stwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów zwi zanych z bezpiecze stwem: a PN-EN :2004 Cz 1:Wymagania ogólne b PN-EN :2005 Cz 2: Wymagania dotycz ce elektrycznych/ elektronicznych/programowalnych elektronicznych systemów zwi zanych z bezpie-cze stwem c PN-EN :2004 Cz 3: Wymagania dotycz ce oprogramowania d PN-EN :2004 Cz 4: Definicje i skrótowce e PN-EN :2005 Cz 5: Przyk ady metod okre lania poziomów nienaruszalno ci bezpiecze stwa f PN-EN :2007 Cz 6: Wytyczne do stosowania IEC i IEC g PN-EN :2003 Cz 7: Przegl d technik i miar (oryg.) [16] PN-EN 62061: PN-EN 62061: 2008 Bezpiecze stwo maszyn Bezpiecze stwo funkcjonalne elektrycznych, elektronicznych i programowalnych elektronicznych systemów sterowania zwi zanych z bezpiecze stwem. [17] ISO/IEC : 2004: Information technology Security techniques Management of information and communications technology security Part 1:Concepts and models for information and communications technology security management. [18] ISO/IEC 27001: 2005: Information technology Security techniques Information security management systems Requirements. [19] IEC : 2009: Industrial communication networks network and system security Part 1-1: Terminology, concepts and models. [20] IEC (65/438/CDV: Industrial communication networks network and system security Part 2-1: Establishing an industrial automation and control system security program. [21] IEC/TR :2009: Industrial communication networks network and system security Part 5: Security technologies for industrial automation and control systems. automation