В последнее время это стало очень популярной темой (безопасность АСУ ТП), если не сказать большего.
Новая волна поднялась после принятия ФЗ №256 +, как я понимаю, активизация наших стратегических партнеров и (или) потенциальных врагов (как кому больше нравится).
Побывав на паре семинаров, почитав, что пишут, у меня сформировалось несколько мыслей после всего этого:
1) Насколько я понимаю, многие интеграторы (не скажу все, а то мало ли есть у нас и другие) все еще подходят к аудиту АСУ ТП, как к аудиту в в ИС (банки, больницы, страховые и т.д.).
На мой взгляд подход здесь меняется в первую очередь в анализе рисков и угроз.
Риски другие, совсем другие.
Вообще, кто оценит, сколько людей могут умереть в радиусе 5 км?
А сколько часов или дней может быть больница отдел реанимации без электричества?
Наверное, надо знакомить интеграторов с какой-то такой "военно-промышленной" моделью угроз, чтобы они понимали, что здесь ответственность совсем другая.
2) Про требования нашего законодательства можно кратко:
1)Минэнерго РФ в требования по ИБ лезть не будет.
2) ФСТЭК - так есть КСИИ, что еще надо.
3) Видел, слушал, читал пару интересных работ об анализе состояния элементов системы (тема пришла из ракетостроения) и применение этих методов на элементах АСУ ТП, но это уже промышленная безопасность, но как-то здесь в ТЭКе они (ИБ и ПБ) подходят друг другу и стараются познакомиться.
То ИБ, которую мы знаем - как правило, часть экономической безопасности. Цель - предотвратить ущерб для организации.
ОтветитьУдалитьЛогично, что в системах, где ущерб будет выражаться не только в деньгах, но и промышленных катастрофах, ИБ - часть Промышленной безопасности. И функциональным заказчиком должно выступать именно подразделение промышленной безопасности.
Тогда есть и заказчик, и цели, и задачи. Можно работать.
Я бы даже сказал, что теперь акцент смещается на ИБ, которая часть собственной безопасности.
ОтветитьУдалитьПытаюсь вспомнить какую-либо организацию, где ИБ АСУТП заказывали бы отделы промышленной безопасности...
Цепочка простая: ИБ по большей части растет из ИТ-автоматизирует что-то - это что-то кто-то делает - этот кто-то несет ответственность. Соответственно, для него это шкурный интерес. Вот он и есть внутренний заказчик. А если повезет, и спонсор.
ОтветитьУдалитьНа практике я это тоже мало встречал.
На самом деле в моей работе бывали эпизоды, когда уже после заключения контракта бегали по конторе-Заказчику и искали *внутреннего заказчика*. Того, кто будет этим пользоваться. Того, *кому это надо*.
Спонсор был. Он и заключил договор. Но у него были немного другие интересы. Ему было интересна, чтобы система работала как надо. А вот что она должна делать - он вникать не мог в силу высокой должности. И как-то не находилось того, кто был заинтересован в системе на этом уровне. Единственный нормальный вариант выхода (если конечно не получится найти) - это закрыть проект по документам, провести испытания, провести итоговое совещание со спонсором в стиле "Ура все получилось" - а потом пусть система работает или не работает или вообще не важно что с ней.
а что вообще внедрялось уже для защиты АСУ ТП? (характерного именно для асу тп)
ОтветитьУдалитьЯ лично не внедрял. Знаю только общие принципы
ОтветитьУдалить