SIECIACH INFORMATYCZNYCH PROPOZYCJA

Transkrypt

1 prof. dr in. Tadeusz Missala Przemysowy Instytut Automatyki i Pomiarów PIAP, Warszawa WYKORZYSTANIE METOD BEZPIECZESTWA FUNKCJONALNEGO W OCENIE ZAGROE W SIECIACH INFORMATYCZNYCH PROPOZYCJA W nawizaniu do poprzedniej publikacji autora [1] zwrócono uwag, e na Warsztatach CRITIS 2010 pojawiy si publikacje dotyczce analizy zagroe powstajcych w sieciach informatycznych sterujcych infrastruktur krytyczn i ilociowej oceny odpornoci na te zagroenia. Ta tematyka ma wiele aspektów wspólnych z tematyk oceny zagroe i ryzyka stosowan w bezpieczestwie funkcjonalnym [3]. Zaproponowano zastosowanie tych metod w ocenie zagroe w sieciach informatycznych. PROVIDING OF FUNCTIONAL SAFETY METHODS TO THREATS AND RESILIENCE ANALYSIS IN INFORMATION NETWORKS PROPOSAL Referring to the precedent publication of the author [1] the attention is direct to the fact, during Workshop CRITIS 2010 are occurred publications concerning threats analysis in the information networks controlling the critical infrastructure and quantitative assessment of the networks resilience. It is to note the many of aspects of these are common with the methods applied in the functional safety [3]. Use of functional safety methods to threats assessment in information networks is proposed. 1. WPROWADZENIE Zabezpieczenie (security) 1 jest pewnoci dostarczan przez system, e kade niepoprawne wejcie lub kady nieuprawniony dostp jest niemoliwy [10e]. Jest skadow niezawodnoci systemu [2] i cznie z innymi cechami niezawodnoci wchodzi w skad pojcia bezpieczestwa (safety) systemu [10g]. To upowania do spojrzenia na zagadnienie analizy i oceny zagroe i ryzyka w sieciach informatycznych z punktu widzenia dowiadcze zdobytych przez technik automatyzacji przy realizacji sterowania i zabezpieczenia infrastruktury krytycznej, to jest przez pryzmat bezpieczestwa funkcjonalnego. W dotychczas prezentowanych pracach, m.in. [1, 6, 7, 8], gówna uwaga bya skierowana na opracowanie systemu zabezpieczajcego transmisj danych, w szczególnoci na zabezpieczenie systemów lokalnych (obiektowych i przedsibiorstwa) przed zagroeniami pochodzcymi z sieci rozlegych, gównie z Internetu. Dobre inynierskie metody postpowania w przypadku zagroe bezpieczestwa obiektów przemysowych, a szczególnie infrastruktury krytycznej, wprowadzone do praktyki midzynarodowej seri norm IEC [11] (jako normy bezpieczestwa funkcjonalnego) wskazuj, e aby waciwie dobra zabezpieczenia, naley zacz od analizy zagroe i ryzyka. Takie podejcie prezentuj take normy midzynarodowe [19, 20, 21]. 1 W nawiasach zamieszczono angielskie nazwy terminów, w celu uzyskania jednoznacznoci i uniknicia pomylenia z terminami stosowanymi w zagadnieniach bezpieczestwa w automatyzacji. W szczególnoci naley zaznaczy, e w automatyce terminem bezpieczestwo tumaczy si termin safety, std wprowadzenie terminu zabezpieczenie. 202

2 Narzuca si wic zagadnienie doboru metod waciwych do oceny zagroe i ryzyka w sieciach komunikacyjnych. Ta tematyka znalaza si w obiektywie Warsztatów CRITIS 10, które odbyy si w Atenach w dniach wrzenia 2010 r. [4, 5]. Ostatnio wykonany cyberatak na elektrowni atomow w Iranie wskazuje, e zagroenie systemów infrastruktury krytycznej atakami terrorystycznymi lub wojskowymi jest rzecz realn. Nakada to konieczno dbaoci o najwyszy poziom zabezpieczenia sieci obsugujcych tak infrastruktur. 2. POJCIA PODSTAWOWE W technice sieci teleinformatycznych do scharakteryzowania waciwoci sieci zwizanych z ich zabezpieczeniem stosuje si nastpujce terminy [17, 18]: zagroenie (threat) okoliczno lub zdarzenie, które moe wpywa niekorzystnie na dziaania instalacji (wczajc funkcje, wygld lub opini), majtek lub jednostki poprzez system informatyczny przez dostp nieuprawniony, zniszczenie, ujawnienie, modyfikacj danych, opónienie przesyek i/lub odmow usug. prno 2 (resilience) cecha opisujca zdolno systemu do dostosowania si do znaczcych zmian w jego rodowisku przez wykonanie dziaa nadzwyczajnych w celu utrzymania akceptowanego dziaania systemu. odporno (robustness) cecha opisujca zdolno systemu do tolerowania znaczcych zmian w jego rodowisku i utrzymania akceptowalnego dziaania systemu w sposób niewymagajcy wykonania dziaa nadzwyczajnych. protokó komunikacyjny zabezpieczony (secure communications protocol) protokó komunikacyjny zapewniajcy odpowiednie zabezpieczenie poufnoci, uwierzytelnienia, nienaruszalnoci zawartoci i taktowania przesyek. uwierzytelnienie (autentication) proces ustalajcy pochodzenie informacji lub okrelajcy tosamo jednostki. autoryzacja (authorisation) uprawnienia dostpu przyznane jednostce; przekazanie uprawnienia urzdowego do wykonywania funkcji lub czynnoci. poufno (confidentiality) waciwo, e informacje poufne nie zostan ujawnione jednostkom nieuprawnionym. podatno (vulnerability) cecha opisujca wraliwo systemu na znaczce zmiany w jego rodowisku, prowadzca do utraty jego akceptowanego dziaania. metryka (metric, also called indicator ) warto obliczona z zaobserwowanych cech miary. UWAGA 1 Gdy temperatura jest okrelona jako 38 C, to 38 jest metryk, za stopnie Celsjusza s miar. UWAGA 2 Dostpno poczenia okrelona jako 99,99 % (metryka) moe by obliczona przez sumowanie dostpnoci indywidualnych (cech zaobserwowanych) rutera, linii transmisyjnej dostpu i sieci gównej. 2 Termin polski propozycja autora, do dyskusji. 2/2011 Pomiary Automatyka Robotyka 203

3 3. METODOLOGIA ANALIZY ZAGROE I RYZYKA Celem analizy zagroe i ryzyka jest ocena stanu bezpieczestwa, porównanie go ze stanem podanym i umoliwienie zmniejszenia ryzyka do stanu akceptowanego lub wyeliminowanie obiektów stwarzajcych takie zagroenia, lub tak nieodpornych na zagroenia umylne, e ich eksploatacja jest bezsensowna. Przeprowadzenie analizy zagroe i ryzyka wymaga wykonania kroków [3, 22]: okrelenie ryzyka akceptowanego, okrelenie granic obiektu (procesu/urzdzenia) wraz j jego ukadem sterowania, okrelenie wszelkich interfejsów zapewniajcych komunikacj z otoczeniem, dokadne zdefiniowanie warunków rodowiskowych, w tym elektromagnetycznych, w jakich jest gwarantowane poprawne dziaanie obiektu i jego systemu sterowania, dokadne zdefiniowanie warunków rodowiskowych, w tym elektromagnetycznych, jakie mog wystpi w czasie eksploatacji, a które mog si nie mieci w zakresie warunków gwarantowanych, zidentyfikowanie saboci (vulnerabilities) systemu, zidentyfikowanie wszelkich moliwych sytuacji zagraajcych, jakie mog zaistnie z powodu: niewaciwego dziaania obiektu, niewaciwego dziaania ukadu sterowania, w tym ich awarii, zaistnienia nienormalnych warunków rodowiskowych, w tym ekstremalnych zaburze atmosferycznych, niewaciwego lub nieuwanego postpowania obsugi (operatorów, serwisantów) i ataków zewntrznych, opracowanie scenariuszy rozwoju zagroe przez okrelenie róda zagroenia, dróg jego rozprzestrzeniania si, ujcia zagroe (tj. elementów, które bd naraone i mog zosta uszkodzone lub wytrcone z normalnej pracy), oszacowanie konsekwencji, jakie mog wystpi, oszacowanie prawdopodobiestwa wystpienia kadej z konsekwencji, ocena ryzyka obiektu cznie z jego ukadem sterowania i porównanie z ryzykiem akceptowanym, okrelenie wymaganego stopnia zmniejszenia ryzyka, rodzaju rodków zabezpieczajcych i ewentualnie ich nienaruszalnoci bezpieczestwa, sporzdzenie odpowiedniego raportu. 4. METODY ANALIZY ZAGROE I RYZYKA PREZENTOWANE W CZASIE WARSZTATÓW CRITIS Propozycja metryk do oceny sieci Choda i Jajszczyk w prezentacji [5] przedstawili propozycj metryk do oceny prnoci (resiliencse) sieci. Te koncepcj przedstawiono na rysunku 1. Znaczenie niektórych poj zaprezentowanych na rysunku Autorzy przybliaj nastpujco: Czas przestoju: redni czas przestoju MTD, redni czas do odnowy MTTR. Cigo: redni czas zdatnoci MUT, redni czas do uszkodzenia MTTF, redni czas dziaania midzy uszkodzeniami MTBF, intensywno uszkodze. Dostpno: funkcja MUT A lub MUT MTD MTTF A MTTF MTTR 204

4 Jako cieki naprawy zaley od wielu parametrów, np. bitowej stopy bdów, ilorazu sygnau do szumu, utraty pakietu przesyki, opónienia, fluktuacji sygnau, zdolnoci odbiorczej, zabezpieczenia powstaje pytanie, jak to mierzy. Ruch zakócony: bezporednio (buforowanie i krótki czas do naprawy czyni go pomijalnym) i porednio (nie koniecznie wymagajce skierowania ruchu na inn drog, zalene od stanu sieci, dugotrwae). Prno na uszkodzenia wielokrotne: wymaga wikszych zasobów, jest natomiast konieczna przy zastosowaniach krytycznych. Pokrycie uszkodze: naprawianie podsieci czy/pocze. Autorzy wskazali na konieczno uwzgldniania krótkoterminowego i dugoterminowego zarzdzania ryzykiem w relacjach z klientem, jak te wyposaanie go w lepsze rodki naprawy uszkodze. Zadaniem przyszociowym jest zwrócenie uwagi na metody okrelania (metryki) uzyskania stanu ustalonego dostpnoci. Szczególnie wanym zadaniem jest wprowadzenie prnoci wielopoziomowej. Zaprezentowano take ocen czuoci rónych aplikacji na metryki jakoci prnoci (QoR); zamieszczono j w tablicy 1. Metryki jakoci prnoci (QoR) Cechy niezawodnoci Czas przestoju Waciwoci zwizane z dziaaniem Stan ogólny Waciwoci zwizane z odnow Jako cieki naprawy Cigo Dostpno Wymagania na sygnalizowanie Elastyczno Ruch zakócony Prno na uszkodzenia wielokrotne Skalowalno Udaremnienie Koszt Pokrycie uszkodze Rys.1. Skadowe metryki jakoci prnoci To podejcie jest bardzo zblione do prezentowanego w PN-EN [10]. 2/2011 Pomiary Automatyka Robotyka 205

5 4.2. Propozycja ilociowej metody analizy ryzyka wynikajcego z zagroe zamierzonych Vavoulas i Xenakis [4] wskazali na stosowane metody jakociowe CORAS, CRAMM, OCTAVE, FRAP. Metody te uznano jako niedostatecznie speniajce obecne wymagania, midzy innymi ze wzgldu na nie dostarczanie podstaw do analizy kosztów i korzyci. Ponadto zagroenia zamierzone nie s adekwatnie opisywane metodami jakociowymi, wymagaj gbszej analizy, gównie z dwóch powodów: moliwoci oddziaywania zoonego moliwoci, jakimi dysponuje atakujcy (dowiadczenie, zasoby materialne, intelektualne itd.). Tab. 1. Czuo aplikacji na metryki QoR Cigo Dostpno Czas naprawy QoR rezerwy Uszkodzenia wielokrotne Maa rednia Maa Maa Maa FTP rednia rednia Dua Maa Maa Gos/video przez IP Sterowanie produkcj Wspódostp do pliku VoP2P (gos/video) Sie do sieci energetycznej Dua rednia Dua Dua rednia Dua Dua Dua Maa Dua Maa rednia Maa Maa rednia Maa Maa rednia Maa rednia Dua rednia rednia rednia Dua Autorzy zaproponowali wasne podejcie ilociowe w wersji trzech odrbnych poziomów: podstawy koncepcyjne, narzdzia modelowania, podstawy matematyczne rys. 2. Podstawy koncepcyjne analiza ryzyka Narzdzia modelowania Macierz wag róde zagroe Rozszerzone drzewo ataków Podstawy matematyczne Rys. 2. Koncepcja metody analizy ryzyka 206

6 Aczkolwiek wskazano, e ródami zagroe s rodowisko, wypadki i ataki, to dalsza analiza koncentruje si na zagroeniach zamierzonych, których ródami s ataki. Proponowan koncepcj metodologii przedstawiono na rysunku 3. Rozpatruje si szkody na majtku, ryzyko powstania szkody, podatno na szkod, róda zagroenia i ataki. Koncepcj macierzy zagroenia koszty przedstawiono w tablicy 2. Podstawy matematyczne obejmuj fundamentalne zalenoci wynikajce z rachunku prawdopodobiestwa; niestety nie przywoano adnej bazy danych. ródo zagroenia Koszty Motywacja Dowiadczenie Zasoby Konsekwencje Warto sieci Koszty naprawy Straty na opinii Straty operacyjne Straty prawne szkoda Zagroenie Ryzyko Prawdopodo biestwo Podatno Atak oddziaywania Koszt Trudno Wykrywalno Rys. 3. Schemat poj i atrybutów analizy ryzyka Tab. 2. Macierz zagroenia koszty ródo zagroenia A ródo zagroenia B ródo zagroenia C Koszt W KA W KB W KC Trudno W TA W TB W TC Wykrywalno W WA W WB W WC 4.3. Metoda CORAS [23] Metoda ta zostanie zaprezentowana w skrócie jako reprezentant metod wymienionych w [4]. Badanie metod CORAS jest przeprowadzane przez zespó zewntrzny wzgldem ocenianego obiektu. Do modelowania celów analizy stosuje si jzyk UML (Unified Modelling Language), wyniki s prezentowane za pomoc specjalnych wykresów. Badanie jest wykonywane w siedmiu krokach: 2/2011 Pomiary Automatyka Robotyka 207

7 krok 1 spotkanie wprowadzajce: wskazanie przez przedstawicieli klienta cakowitych celów analizy, obiektów do przeanalizowania oraz przekazanie informacji o przedmiocie analizy; krok 2 spotkania oddzielne z poszczególnymi grupami przedstawicieli klienta, przedstawienie przez analistów rozumienia sprawy i bardzo zgrubnych, ogólnych wyników analizy, a ponadto pierwsze zidentyfikowanie zagroe, saboci, scenariuszy rozwoju zagroe i zdarze niepodanych; krok 3 dokadniejsze opisanie obiektów do przeanalizowania oraz zaoe i wniosków wstpnych; zakoczenie kroku nastpuje po zaakceptowaniu dotychczasowych wyników przez klienta; krok 4 ten krok jest organizowany jako warsztaty projektowane przez osoby zorientowane w obiekcie analizy, celem jest zidentyfikowanie jak najwikszej liczby potencjalnych zdarze niepodanych, a take zagroe, saboci i scenariuszy rozwoju zagroe; krok 5 ten krok te jest organizowany jako warsztaty, których celem jest estymacja konsekwencji i prawdopodobiestwa wystpienia wczeniej zidentyfikowanych zdarze niepodanych; krok 6 w tym kroku zostaje przedstawiony klientowi pierwszy obraz ryzyka cakowitego, który z reguy wymaga jeszcze poprawek i doprecyzowania; krok 7 jest przeznaczony na identyfikacj zabezpieczenia oraz wskazanie kosztów wzgldem korzyci z nich; wskazane jest te zorganizowanie go jako warsztatów. 5. PRZEGLD PROPONOWANYCH METOD Z TECHNIKI BEZPIECZESTWA FUNKCJONALNEGO 5.1. Ustalenie ryzyka akceptowanego Podstawow wad przedstawionych powyej propozycji jest niewyeksponowanie etapu ustalenia ryzyka akceptowanego. Bez tego nie mona okreli dostatecznoci zabezpiecze istniejcych i dalszych, potrzebnych. Vavoulas i Xenakis [4] wymieniaj grupy kosztów, jakie moe ponie korporacja w wyniku awarii sieci informatycznej (patrz rys. 3). Do tych grup naley doda: wypadki przy pracy i w wyniku awarii sieci (urazy, inwalidztwa, zgony) oraz straty w rodowisku, gdy awaria infrastruktury informatycznej spowoduje awari w przedsibiorstwie stwarzajcym zagroenie dla rodowiska lub w sieci energetycznej. Ryzyko akceptowane to jest ten poziom ryzyka, który moe przyj korporacja lub kraj w przypadku, np. sieci energetycznej elektrycznej, gazocigów, zaopatrzenia w wod. Poziom ten ustala si midzy innymi na podstawie [3, 11e, 12c]: wytycznych odpowiedniej jednostki okrelajcej przepisy bezpieczestwa, dyskusji i uzgodnie z rónymi stronami zaangaowanymi w konkretne zastosowanie, norm i przewodników przemysowych, telekomunikacyjnych i innych odpowiednich, midzynarodowych dyskusji i uzgodnie; w tym rozmaitych wytycznych i rekomendacji wydawanych przez organizacje midzynarodowe i krajowe, wyników prac badawczych prowadzonych ostatnio w wielu konsorcjach midzynarodowych i w ramach programów rzdowych, norm krajowych i midzynarodowych, dyrektyw UE, 208

8 najlepszych niezalenych porad przemysowych, eksperckich i naukowych ze strony instytucji doradczych, wymaga prawnych, tak ogólnych jak i dotyczcych bezporednio konkretnego zastosowania. Przykadowy diagram ustalania ryzyka tolerowanego przedstawiono na rys. 4 [25]. START Zbieranie danych Dyrektywa 96/82/WE Wymagania ubezpieczycieli Ustawa Prawo Ochrony rodowiska Uzgodnienia lokalne Normy dotyczce poziomu emisji zanieczyszcze Polityka jakoci korporacji Inne dotyczce sprawy ANALIZA DANYCH WEJCIOWYCH Ustalenie ryzyka docelowego tolerowanego KONIEC Rys. 4. Ustalenie ryzyka tolerowanego przykad 2/2011 Pomiary Automatyka Robotyka 209

9 5.2. Ogólna zasada zmniejszania ryzyka [3, 11a, 12a] Na rys. 5 przedstawiono ogólny schemat zmniejszania ryzyka, który zakada, e: wystpuje urzdzenie sterowane i jego system sterowania; s wprowadzone powizane czynniki ludzkie; na urzdzenia ochronne/zabezpieczajce skadaj si: zewntrzne urzdzenia do zmniejszania ryzyka; elektryczne i/lub elektroniczne i/lub elektroniczne programowalne systemy zwizane z bezpieczestwem (E/E/PE), w tym przyrzdowe systemy bezpieczestwa (SIS); urzdzenia zwizane z bezpieczestwem wykonane w innych technikach. Schemat przedstawiony na rys. 5 powinien by modyfikowany w konkretnych przypadkach tak, aby odzwierciedla rzeczywist sytuacj. Odpowiednia modyfikacja umoliwi dostosowanie go do zagadnie bezpieczestwa i zabezpieczenia sieci informatycznych. Róne rodzaje ryzyka wskazane na schemacie maj nastpujce znaczenie: ryzyko urzdzenia/procesu ryzyko, w odniesieniu do okrelonego zdarzenia zagraajcego, istniejce w urzdzeniu/procesie, systemie sterowania urzdzeniem/procesem i powizanymi z nim czynnikami ludzkimi, przy czym nie jest brane pod uwag adne wyposaenie ochronne/zabezpieczajce ryzyko tolerowane ryzyko, które jest akceptowane w okrelonym kontekcie na bazie biecych wskaników przyjtych w spoeczestwie ryzyko szcztkowe w rozumieniu IEC [11e] jest to ryzyko, w odniesieniu do okrelonego zdarzenia zagraajcego, pozostajce w wyposaeniu/procesie, systemie sterowania urzdzeniem/procesem i powizanymi z nim czynnikami ludzkimi, lecz po wprowadzeniu kompletnego wyposaenia ochronnego/zabezpieczajcego. Ryzyko resztkowe Ryzyko tolerowane Ryzyko wyposaenia /procesu Konieczne zmniejszenie ryzyka Osignite zmniejszenie ryzyka Cz ryzyka usunita przez systemy wice si z bezpieczestwem wykonane w innych technikach Cz ryzyka usunita przez systemy E/E/PE zwizane si z bezpieczestwem Cz ryzyka usunita przez zewntrzne urzdzenia do redukcji ryzyka Zmniejszenie ryzyka osignite za pomoc wyposaenia ochronnego/zabezpieczajcego Rys. 5. Zasada zmniejszania ryzyka [3] 210

10 Wskazane wyej ryzyko urzdzenia/procesu, w przypadku sieci informatycznej bdzie odpowiadao ryzyku uszkodzenia sieci niezabezpieczonej ani sprztowo, ani programowo przed uszkodzeniami wasnymi i dziaaniem intruzów Identyfikacja potencjalnych zagroe Do identyfikacji potencjalnych zagroe wynikajcych z dziaania czynników zewntrznych jak te z niedoskonaoci dziaania systemu w technice bezpieczestwa funkcjonalnego stosuje si studium HAZOP (Badanie zagroe i zdolnoci do dziaania) [3, 13]. Jest ono zblione do metody CORAS [23] oraz do metod ontologicznych [8], jednak ma pewne wane zalety. Istotnymi cechami tego studium HAZOP jest praca zespoowa wykonywana przez zespó interdyscyplinarny zoony w zasadzie z pracowników korporacji. Zasady HAZOP s nastpujce: Badanie prowadzi si przez systematyczne stosowanie cigu sów wiodcych w celu identyfikowania potencjalnych odchyle od zamierzenia projektowego i uywania tych odchyle do stymulowania czonków zespou do rozpatrzenia, jak takie odchylenie mogoby powsta i jakie mogoby wywoa konsekwencje. Badanie jest prowadzone pod kierunkiem wyszkolonego i dowiadczonego lidera, który musi zapewni wyczerpujc analiz badanego systemu, stosujc rozumowanie logiczne i analityczne. Z badania powstaj zapisy o zidentyfikowanych zagroeniach i/lub zaburzenia dziaania w celu dalszego badania i rozwizania problemu. Badanie jest wykonywane przez specjalistów z rónych dziedzin majcych odpowiednie wyszkolenie i dowiadczenie, dysponujcymi intuicj i dobrym sdem. Badanie przeprowadza si w atmosferze mylenia pozytywnego i otwartej dyskusji rozpatrzenie zidentyfikowanych problemów odkada si na póniej; problem, który zosta zidentyfikowany, zostaje zapisany i nastpnie problemy s kolejno oceniane i rozwizywane. Zalecenia do rozwizania zidentyfikowanych problemów nie s pierwszoplanowym celem badania HAZOP, lecz mog zosta zapisane do rozwaenia przez osoby odpowiedzialne za projekt. Badanie HAZOP skada si z czterech kolejnych kroków, jak to pokazano na rys. 6. Podstaw HAZOP jest badanie wedug sów wiodcych, które jest przemylanym poszukiwaniem odchyle od zamierzenia projektowego. W celu uatwienia badania system dzieli si na czci w taki sposób, aby zamierzenie projektowe dotyczce kadej z nich mogo by odpowiednio zdefiniowane. Rozmiar wybranych czci zaleca si dobiera zalenie od zoonoci systemu i ostroci zagroe. W przypadku systemów zoonych lub powodujcych wysokie zagroenie, czci powinny by mae. W przypadku systemów prostych, o niskich zagroeniach, przyjcie duych czci usprawni badanie. Zamierzenie projektowe dotyczce okrelonej czci systemu wyraa si przez elementy, które daj pojcie o jej istotnych waciwociach i przedstawiaj jej naturalny podzia. Wybór elementów do zbadania jest do pewnego stopnia decyzj subiektywn, która moe mie kilka kombinacji prowadzcych do uzyskania wymaganego zamierzenia i wybór moe take zalee od konkretnego zastosowania. Elementami mog by; dyskretne kroki lub etapy w procedurze, pojedyncze sygnay lub urzdzenia w systemie sterowania, wyposaenie lub komponenty procesu lub systemu elektronicznego, 2/2011 Pomiary Automatyka Robotyka 211

11 materiay wejciowe otrzymywane ze róda, czynnoci wykonywane na materiaach, produkt przekazywany do ujcia. Czsto moe by uytecznym dalsze zdefiniowanie elementów przez ich charakterystyki ilociowe lub jakociowe. Zdefiniowanie przedmiotu i celów Zdefiniowanie odpowiedzialnoci Wybranie zespou Definicja. Zaplanowanie studium Zebranie danych Oszacowanie czasu Opracowanie harmonogramu Zaplanowanie zapisów Przygotowanie Badanie Podzielenie systemu na czci Wybranie czci i zdefiniowanie zamierzenia projektowego Zidentyfikowanie odchyle za pomoc sów wiodcych dotyczcych kadego elementu Zidentyfikowanie konsekwencji i przyczyn Zidentyfikowanie, czy istniej istotne problemy Zidentyfikowanie mechanizmów ochrony, wykrywania i wskazywania Zidentyfikowanie moliwych rodków zaradczych lub ograniczajcych skutki (opcjonalne) Uzgodnienie dziaa Powtórzenie w odniesieniu do kadego elementu i kadej czci systemu Dokumentowanie i dalsze postpowanie Uzgodnienie treci zapisów Podpisanie dokumentacji Sporzdzenie raportu z badania Doprowadzenie do zaimplementowania dziaa Przeprowadzenie powtórnego badania dowolnej czci, gdy to konieczne Opracowanie raportu kocowego Rys. 6. Schemat realizacji HAZOP [13] Zespó HAZOP bada kady element (i parametry, gdy s istotne) z punktu widzenia odchyle od zamierzenia projektowego, które mog prowadzi do niepodanych konsekwencji. Identyfikacj odchyle od zamierzenia projektowego osiga si przez przepytywanie systemu za pomoc przygotowanych sów wiodcych. Zadaniem sów wiodcych jest stymulowanie mylenia obrazowego, w celu zogniskowania studium i wydobycia idei i spowodowania dyskusji, a tym samym doprowadzenia do maksimum szans na kompletno studium. 212

12 5.4. Scenariusze rozwoju zagroe Metoda póilociowa analizy ryzyka [3, 12c] wykorzystuje scenariusze rozwoju zagroe. Przykad przedstawiono na rys. 7. Alarm wysokiego cinienia Odpowied operatora Warstwa za bezpiecze Nadcinienie 10 1 /rok Sukces 0,9 0, , Nie ma zrzutu do flary, 8 x 10 2 /rok 2. Zrzut z warstwy zabezpiecze do flary, 8 x 10 3 /rok 3. Zrzut do rodowiska, 9 x 10 4 /rok Uszkodzenie , Zrzut z warstwy zabezpiecze do flary, 9 x 10 3 /rok 5. Zrzut do rodowiska, 1 x 10-3 /rok Rys. 7. Przykadowy scenariusz rozwoju zagroe W tym konkretnym przypadku nie zostay spenione wymagania dotyczce ryzyka tolerowalnego (10-4 ), wobec czego wprowadzono nowe zabezpieczenie i otrzymano kolejny scenariusz patrz rys. 8. W tym przypadku wymagania dotyczce ryzyka tolerowanego zostay spenione. Przedstawione przykady wskazuj na moliwo opracowania analogicznych scenariuszy dostosowanych do specyfiki sieci informatycznych. Alarm wysokiego cinienia Odpowied operatora Funkcja bezpieczestwa Warstwa zabezpiecze Czsto i konsekwencje Nadcinienie 10 1 /rok 0,9 0,9 0, , Nie ma zrzutu do flary, 8 x 10 2 /rok 2. Nie ma zrzutu do flary, 9 x 10 3 /rok 3. Zrzut do flary, 8 x 10 5 /rok 4. Uszkodzenie zbiornika I zrzut do rodowiska, 9 x 10 6 /year 0, ,9 5. Nie ma zrzutu do flary, 1 x 10 2 /rok 6. Zrzut do flary, 9 x 10 5 /rok Uszkodzenie zbiornika i zrzut do rodowiska, 1 x 10 5 /rok Rys. 8. Przykadowy scenariusz rozwoju zagroe 5.5. Zasada Tak Niskie Jak Rozsdnie Uzasadnione (ALARP) [3, 12c] W sytuacji rzeczywistej instalacji (np. procesowej lub sieci informatycznej) mog wystpi trzy sytuacje wykrywane przy analizie zagroe i ryzyka: 2/2011 Pomiary Automatyka Robotyka 213

13 a. ryzyko jest tak due, e w ogóle odrzuca si moliwo eksploatowania obiektu, b. ryzyko jest lub moe by tak mae, e mona je uwaa za bez znaczenia, c. ryzyko mieci si midzy stanami a i b, i moe zosta zmniejszone do najniszego praktycznie uzasadnionego poziomu, majc na wzgldzie korzyci wynikajce z jego zaakceptowania i biorc pod uwag koszty dalszej redukcji. W odniesieniu do przypadku c zasada ALARP zaleca, aby dowolne ryzyko zostao zredukowane do poziomu tak niskiego, jak to jest rozsdnie wykonalne. Jeli ryzyko mieci si midzy wymienionymi wyej dwiema skrajnociami i zastosowano zasad ALARP, to ryzyko wynikowe jest ryzykiem dopuszczalnym w danej konkretnej sytuacji. Ryzyko powyej pewnego poziomu uznaje si za niedopuszczalne i nie moe by ono usprawiedliwione adnymi zwykymi okolicznociami. Poniej tego poziomu jest obszar tolerowania, w którym jest dopuszczalna dziaalno w zaoeniu, e zwizane z ni ryzyko zostao zmniejszone tak, jak to jest rozsdnie wykonalne. Tolerowane oznacza co innego ni dopuszczalne (akceptowalne) wskazuje na ch ycia z ryzykiem, tak by chroni pewne korzyci, jednoczenie spodziewajc si, e bdzie ono analizowane i redukowane jak tylko bdzie to moliwe do wykonania. W tej sytuacji zaleca si stosowanie rachunku ekonomicznego, albo bezporednie, albo porednie, w celu wywaenia kosztów i uzyskiwanych korzyci uzasadniajcych wprowadzenie dodatkowych rodków zabezpieczajcych/ochronnych lub zaniechanie tego dziaania. Poniej zakresu tolerancji, poziom ryzyka jest uwaany za na tyle nieznaczcy, e organ wydajcy przepisy nie potrzebuje da dalszych ulepsze. Jest to powszechnie akceptowalny obszar, w którym ryzyko jest mae w porównaniu do codziennego ryzyka, które wszyscy ponosimy. Aczkolwiek w tym powszechnie akceptowalnym obszarze nie ma potrzeby szczegóowego dziaania w celu wykazania spenienia zasady ALARP, to jednake jest konieczne stae czuwanie, aby ryzyko pozostawao w tym obszarze. Koncepcja ALARP moe by stosowana gdy przyjto tak jakociowe jak i ilociowe cele przy okreleniu ryzyka. Szersze informacje s zawarte w normie [12.c]. Przykadem stosowania zasady ALARP z podaniem kategoryzacji ryzyka jest norma kolejowa [9]. Zdefiniowano w niej 24 klasy ryzyka przypisujc do nich wymagane poziomy nienaruszalnoci bezpieczestwa wyposaenia zwizanego z bezpieczestwem [11a], co zestawiono w tablicy 3. Tablica 3 Kategoryzacja klas ryzyka wg PN-EN [9] Wskaniki zdarze zagraajcych Poziomy nienaruszalnoci bezpieczestwa POZIOMY CZSTOCI ZDARZE Poziom ostroci zdarzenia Czsty Okazjonalny Prawdopodobny Przypadkowy Nieprawdopodobny Niewiarygodny Katastrofi-czny 1 SIL4 2 SIL4 3 SIL3 4 SIL3 5 SIL3 6 SIL2 Krytyczny 7 SIL4 8 SIL3 9 SIL3 10 SIL3 11 SIL2 12 SIL2 Marginalny 13 SIL3 14 SIL3 15 SIL3 16 SIL2 17 SIL2 18 SIL1 Nieznaczcy 19 SIL3 20 SIL3 21 SIL2 22 SIL2 23 SIL1 24 SIL1 214

14 Poziomy 1, 2, 7 s uznane za nietolerowane (ryzyko bardzo wysokie), poziomy 3, 4, 5, 8, 9, 10, 13, 14, 14, 19 i 20 uznano za niepodane (ryzyko wysokie), poziomy 6, 11, 12, 16, 17, 21, 22 za tolerowane (ryzyko rednie) za poziomy 18, 23 i 24 za pomijalne (ryzyko niskie). Tego rodzaju kategoryzacja moe by wykorzystana w metodach proponowanych przez Vavoulasa i Xenakisa [4] oraz Chod i Jajszczyka [5] Analiza warstw zabezpiecze Sie informatyczna jest zabezpieczana na wiele sposobów, tak sprztowo, jak i programowo. Stosowane zabezpieczenia tworz warstwy zabezpiecze. Do analizy skutecznoci i dostatecznoci wprowadzonych i/lub przewidzianych zabezpiecze moe posuy metoda LOPA (Layer of Protection Analysis) [3, 12c]. Danymi wejciowymi metody s dane uzyskane w Badaniu HAZOP [13]; nastpnie uwzgldnia si kade zidentyfikowane zagroenie, przez udokumentowanie, przyczyny inicjujcej i warstw zabezpieczenia zapobiegajcych lub ograniczajcych zagroenie. Tym samym moe zosta okrelony cakowity istniejcy zakres redukcji ryzyka i przeanalizowana potrzeba jego dalszego zmniejszenia. LOPA jest metod realizowan przez zespó multidyscyplinarny do okrelenia dostatecznoci zabezpiecze. W przypadku analizy sieci informatycznej zespó powinien skada si z: operatora dowiadczonego w prowadzeniu rozpatrywanego rodzaju sieci, inyniera z dowiadczeniem w rozpatrywanym rodzaju sieci, menedera sieci, inyniera automatyka procesu sterowanego rozpatrywan sieci, osoby serwisu przyrzdów/elektrycznego z dowiadczeniem w zakresie rozwaanego rodzaju sieci i procesu sterowanego, specjalisty ds. analizy ryzyka. Jeden z czonków zespou powinien by przeszkolony w metodologii LOPA. Informacje wymagane przez LOPA s zawarte w danych zgromadzonych i opracowanych w HAZOP. W tablicy 4 przedstawiono zaleno midzy danymi wymaganymi przez LOPA i danymi opracowanymi w czasie HAZOP. Na rys. 9 przedstawiono typowy arkusz kalkulacyjny, który moe by zastosowany do LOPA. Wartoci liczbowe zamieszczone w tym arkuszu s przykadowe. Tablica 4 Dane do LOPA opracowane w HAZOP Informacje wymagane przez LOPA Informacje opracowane w HAZOP Zdarzenie oddziaujce Poziom ostroci Przyczyna inicjujca Prawdopodobiestwo zainicjowania Warstwy zabezpiecze Wymagane ograniczenie dodatkowe Konsekwencja Ostro konsekwencji Przyczyna Czsto zaistnienia przyczyny Zabezpieczenia istniejce Zalecane nowe zabezpieczenia 2/2011 Pomiary Automatyka Robotyka 215

15 # Opis zdarzenia Poziom oddziaujcego ostroci F.3 F.4 F.14.1 F Ogie z pknicia kolumny destylacyjnej S Przyczyna inicjujca F.5 F.14.2 Brak dopywu wody chodzcej Prawdopodobiestwo zainicjowania F.6 F.14.3 WARSTWY ZABEZPIECZE Ogólny BPCS Alarmy projekt F.14.5 procesu itp. F.14.4 F.14.6 Ograniczenie dodatkowe, dostp ograniczony, F.8 F.14.7 IPL Dodatkowe tamy ogranicz., dekompresja F.9 F.14.8 Prawdopodobiestwo rednie zdarzenia F.10 F.14.9 Poziom nienaruszalnoci SIF F.11 F Prawdopodobiestwo zdarzenia ograniczajcego F.12 F ,1 0,1 0,1 0,1 0,1 PRV Wysokie cinienie powoduje pknicie kolumny Uwagi 2 Ogie z pknicia kolumny destylacyjnej S Uszkodzenie ptli regulacji pary 0,1 0,1 0,1 01 PRV To samo co wyej N UWAGA Poziom ostroci: E = Rozlegy; S = Powany; M = Niewielki IEC 3025/02 Wartoci prawdopodobiestwa s liczbami zdarze na rok, inne wartoci liczbowe s rednimi prawdopodobiestwami uszkodzenia przy przywoaniu Rys. 9. Raport Analizy Warstw Zabezpiecze (LOPA) 6. PODSUMOWANIE Wykazano zbieno metod stosowanych w technice bezpieczestwa funkcjonalnego do analizy ryzyka i oceny dostatecznoci zabezpiecze z potrzebami, jakie si ujawniy w zwizku z podobnymi ocenami sieci informatycznych. Zaproponowano zastosowanie niektórych metod. Przedstawione tu propozycje bd rozwijane. Opracowanie zostao sfinansowane w ramach zadania 4.R.08 Modele i procedury oceny zgodnoci bezpieczestwa funkcjonalnego systemów zabezpieczeniowych sektorze przemysu procesowego Programu Wieloletniego Poprawa bezpieczestwa i warunków pracy koordynowanego przez CIOP-PIB. BIBLIOGRAFIA 1. Missala T.: Zabezpieczenie sieci przemysowych przed intruzami temat dnia. Pomiary, Automatyka, Robotyka nr 2/2010, s Missala T.: Walidacja zoonych systemów automatyki i robotyki. Pomiary, Automatyka, Robotyka nr 2/2009, s Missala T.: Analiza wymaga i metod postpowania przy ocenie ryzyka i okrelaniu wymaganego poziomu nienaruszalnoci bezpieczestwa. Monografia. Przemysowy Instytut Automatyki i Pomiarów. Warszawa, 2009 r. 216

16 4. Vavoulas N., Xenakis Ch.: A Quantitative Risk Analysis Approach for deliberate Threats. Conference Pre-Proceedings, 5 th International Workshop on Critical Information Infrastructures Security, CRITIS 10, Athens, 2010 r., s Choda P., Jajszczyk A.: Resilience metrics. Presentation on the special session of 4 th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Athens, 2010 r. 6. Duessel P. et all.: Cyber-Critical Infrastructure Protection Using Real-time Payoload- Based anomaly Detection., 4 th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., Springer, Conference Revised Papers, s Batista Jr. A.B. et all.: Application Filters for TCP/IP Industrial Automation Protocols. 4 th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r.,springer,conference Revised Papers, s Chora M. et all.: Ontology-Based Reasoning Combined with Inference Engine for SCADA-ITC Independencies, Vulnerabilities and Treats Analysis. 4 th International Workshop on Critical Information Infrastructures Security, CRITIS 09, Bonn, 2009 r., Springer, Conference Revised Papers, s PN-EN 50128:2002, Zastosowania kolejowe czno, sygnalizacja i systemy sterowania Programy dla kolejowych systemów sterowania i zabezpieczenia (oryg.). 10. PN-EN 61069, Pomiary i sterowanie procesami przemysowymi Okrelenie waciwoci systemu w celu jego oceny. a. PN-EN :2002, Cz 1: Postanowienia ogolne i metodologia. b. PN-EN :2002, Cz 2: Metodologia oceny. c. PN-EN :2002, Cz 3: Ocena funkcjonalnosci systemu. d. PN-EN :2002, Cz 4: Ocena parametrów systemu. e. PN-EN :2004, Cz 5: Ocena niezawodnoci systemu. f. PN-EN :2004, Cz 6: Ocena wspódziaania systemu z operatorem. g. PN-EN :2004, Cz 7: Ocena bezpieczestwa systemu. h. PN-EN :1004, Cz 8: Ocena niewicych si z zadaniem waciwoci systemu. 11. PN-EN (IEC 61508): Bezpieczestwo funkcjonalne elektrycznych/ elektronicznych/ programowalnych elektronicznych systemów zwizanych z bezpieczestwem: a PN-EN :2010 Cz 1:Wymagania ogólne (oryg.). b PN-EN :2010 Cz 2: Wymagania dotyczce elektrycznych/elektronicznych/ programowalnych elektronicznych systemów zwizanych z bezpieczestwem (oryg.). c PN-EN :2010 Cz 3: Wymagania dotyczce oprogramowania (oryg.). d PN-EN :2010 Cz 4: Definicje i skrótowce (oryg.). e PN-EN :2010 Cz 5: Przykady metod okrelania poziomów nienaruszalnoci bezpieczestwa (oryg.). 2/2011 Pomiary Automatyka Robotyka 217

17 f PN-EN :2010 Cz 6: Wytyczne do stosowania IEC i IEC (oryg.). g PN-EN :2010 Cz 7: Przegld technik i miar (oryg.). 12. PN-EN (IEC 61511): Bezpieczestwo funkcjonalne Przyrzdowe systemy bezpieczestwa do sektora przemysu procesowego: a. PN-EN :2005 Cz 1: Schemat, definicje, wymagania dotyczce systemu, sprztu i oprogramowania. b. PN-EN :2008 Cz 2 : Wytyczne do stosowania IEC c. PN-EN :2009 Cz 3: Wytyczne do okrelania poziomów nienaruszalnoci bezpieczestwa. 13. PN-EN 61882:2005, Badanie zagroe i zdolnoci do dziaania (badania HAZOP) Przewodnik zastosowa. 14. PN-EN ISO 9000:2006, Systemy zarzdzania jakoci Podstawy i terminologia. 15. PN-ISO/IEC 27001:2007, Technika informatyczna Techniki bezpieczestwa Systemy zarzdzania bezpieczestwem Wymagania. 16. PN ISO/IEC :2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management. 17. ITU-T E800, Telecommunication Standardization Sector of ITU, (09/2008) Series E: Overall network operation, Telephone service, service operation and human factors Quality of telecommunication services: concepts, models, objectives and dependability planning Terms and definitions related to the quality of telecommunication services Definitions of terms related to quality of service. Recommendation ITU. 18. ISA a-2009, An ISA Standard Wireless systems for industrial automation: Process control and related application. 19. IEC : 2009: Industrial communication networks network and system security Part 1-1: Terminology, concepts and models. 20. IEC (65/438/CDV: Industrial communication networks network and system security Part 2-1: Establishing an industrial automation and control system security program. 21. IEC/TR :2009: Industrial communication networks network and system security Part 5: Security technologies for industrial automation and control systems. 22. NIST National Institute of Standard and Technology; USA SP : Risk Management Guide for Information Technology Systems Recommendations, July The CORAS Method [ 24. Facilitated Risk Analysis Process (FRAP) [ 25. Model krok po kroku [ 218