31 марта - день резервного копирования.

Я уже писал о такой базовой системе, и о моем взгляде на данный вопрос, как организация подсистемы антивирусной защиты.
А раз уж 31 марта - день резервного копирования, то скажите сколько внимания Вы ей уделили?

1) Начнем с простого можете ли Вы четко сказать сколько времени займет восстановление сервера (серверов) в часах?
2) Есть ли у Вас классификация по критичности?
3) Вы резервируете серверную инфраструктуру, рабочие станции, общие файлы, а подлежат ли у Вас резервированию настройки систем управления?
4) В каком состоянии у Вас хранение резервных копий?
5) Если Ваше резервное хранилище удаленное, то как защищается этот канал передачи данных?

Банк данных угроз безопасности информации.

Наверное, для Вас это уже не новость, но появился интересный сервис: http://bdu.fstec.ru/

Изучили? Какое Ваше мнение?)
Я думаю, что, конечно, работа интересная, но попытка обнять необъятное.
Или развитие и наполнение должно быть постоянно, но возникает вопрос, если производитель выпустил обновления и закрыл уязвимость, то кто будет проверять ее актуальность?
Здесь и уязвимости БИОС, и уязвимости перепрошивки микропроцессоров и элементы классификации OWASP...
А вот, например, АСУТП, захотел я проверить СУБД, но в списке уязвимостей представлены 3-4 типа, а как же информикс, линтер и так далее.
При первом осмотре такие ощущения.

АСУ ТП и паспорт безопасности объекта ТЭК.

Всем привет!
Мой первый пост в 2015 году.

Хотел бы обратить Ваше внимание на то, что если перед Вами стоит задача классификации АСУ ТП по Приказу №31, то сначала желательно взглянуть на паспорт безопасности объекта ТЭК (который Вы должны были сделать по ФЗ №256).

Кстати, имейте ввиду, что гриф секретности с паспортов безопасности уже снят.

Итак, 5 статья ФЗ №256 гласит:

2. С учетом того, является ли объект топливно-энергетического комплекса критически важным, и в зависимости от степени потенциальной опасности объекта топливно-энергетического комплекса устанавливаются три категории объектов топливно-энергетического комплекса:

1) объекты высокой категории опасности;

2) объекты средней категории опасности;

3) объекты низкой категории опасности

Приказ ФСТЭК №31 по АСУ ТП:
13.2. Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления.
Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс - третий, самый высокий - первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением N 1 к настоящим Требованиям.

Другими словами, по моему мнению, если Вы доказали, что Ваш объект ТЭК низкой категории опасности, то будет сумбурно смотреться если Ваши АСУ ТП получат 1 или 2 класс.