Size: a a a

2018 October 25

Д

Дима Шахов in КИИ 187-ФЗ
Я не моряк, но подозреваю что, нужно на интерфейсы посмотреть асутп корабля, либо на этапе производства ндв (недопустимо и должно выявляться на этапе сертификации), либо баг и уязвимость (исправимо и вывляется в процессе эксплуатации чаще всего) - решается периодическим контролем на уязвимости по конткретному ПО
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Дима Шахов
Я не моряк, но подозреваю что, нужно на интерфейсы посмотреть асутп корабля, либо на этапе производства ндв (недопустимо и должно выявляться на этапе сертификации), либо баг и уязвимость (исправимо и вывляется в процессе эксплуатации чаще всего) - решается периодическим контролем на уязвимости по конткретному ПО
Мы же сейчас не обсуждаем как обеспечивать безопасность. Обсуждение идет о том является ли владелец судна скии, а системы судна окии
источник

AZ

Alexander Zemlanin in КИИ 187-ФЗ
Вообще-то я как понял нам нужно ответить на два вопроса можно или нет к судну примененить ФЗ, если можно то почему мы так считаем. Если можно тогда описать алгоритм для коллеги, как это делать
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Gryankin
Мы же сейчас не обсуждаем как обеспечивать безопасность. Обсуждение идет о том является ли владелец судна скии, а системы судна окии
187 фз о противодейчствии комптютерным атакам, об этом часто забывают. Остальное уже отрегулировано. 187 фз о частном случае нарушения безопаности, не нужно на него молиться
источник

I

Ivan in КИИ 187-ФЗ
Alexander Zemlanin
Вообще-то я как понял нам нужно ответить на два вопроса можно или нет к судну примененить ФЗ, если можно то почему мы так считаем. Если можно тогда описать алгоритм для коллеги, как это делать
Я считаю можно. Но не само судно как единицу. А его части. Если судно располагает на своем борту ИС/ИТС/АСУ (Системы), владельцем (арендатором) этого судна является юр лицо в России (соответственно и владельцем всех ис) и эти Системы обеспечивают критические процессы и от нарушения функционирования этих Систем, в результате компьютерных атак (предполагая,что есть возможность такую атаку осуществить) могут быть последствия, которые попадают под критерии из 127 пп - то да. Я не учитываю только тот факт, что есть альтернативные НЕ связные с Системой способы управления окии. Почему, так как в этом случае человеческий фактор играет важную роль. Если судно имеет автопилот и в результате инцидента его сломали, то не факт что человек это может заметить или заметит не не успеет отреагировать. Или повредили навигационную систему - не факт что человек руками все исправит. Надеяться нельзя. Поэтому альтернативу в этом случае я упускаю намеренно
источник

AZ

Alexander Zemlanin in КИИ 187-ФЗ
Дима Шахов
187 фз о противодейчствии комптютерным атакам, об этом часто забывают. Остальное уже отрегулировано. 187 фз о частном случае нарушения безопаности, не нужно на него молиться
Коллега, тут вся группа профи ну или 2/3 точно, позицию вашу лично я понял ответьте на мое сообщение выше, может я что упустил, но цельного ответа вы так и не дали
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Zemlanin
Вообще-то я как понял нам нужно ответить на два вопроса можно или нет к судну примененить ФЗ, если можно то почему мы так считаем. Если можно тогда описать алгоритм для коллеги, как это делать
Если существуют пути компьютерных атак из внешних сетей то да, при этом не следует путать технические средства (типа глушилок сигналов и прочее) с компьютерными атаками. Тут все просто, судно плавает с белым IP? и с несертифицированным ПО?
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Почему только из внешних сетей? Злоумышленник может вступить в сговор с кем-то из персонала судна, который обеспечит уже лазейку из вне.
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Например поставит 3джи модем в сети
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Gryankin
Почему только из внешних сетей? Злоумышленник может вступить в сговор с кем-то из персонала судна, который обеспечит уже лазейку из вне.
Ну вот опять мы приходим к вопросу моделирования нарушителя... я уже эту тему поднимал. Если речт идет о внетреннем нарушителе, то очевидно на борту должно имется сертифицированное ПО с разграничением доступа и конртроль ндв. Если о сговоре, то очевидно должны иметься независимые точки контроля настроек ПО. Если о внешнем, то опять же сертификация и контроль на ндв + постоянный анализ на уязвимости
источник

AZ

Alexander Zemlanin in КИИ 187-ФЗ
Ivan
Я считаю можно. Но не само судно как единицу. А его части. Если судно располагает на своем борту ИС/ИТС/АСУ (Системы), владельцем (арендатором) этого судна является юр лицо в России (соответственно и владельцем всех ис) и эти Системы обеспечивают критические процессы и от нарушения функционирования этих Систем, в результате компьютерных атак (предполагая,что есть возможность такую атаку осуществить) могут быть последствия, которые попадают под критерии из 127 пп - то да. Я не учитываю только тот факт, что есть альтернативные НЕ связные с Системой способы управления окии. Почему, так как в этом случае человеческий фактор играет важную роль. Если судно имеет автопилот и в результате инцидента его сломали, то не факт что человек это может заметить или заметит не не успеет отреагировать. Или повредили навигационную систему - не факт что человек руками все исправит. Надеяться нельзя. Поэтому альтернативу в этом случае я упускаю намеренно
Я поддерживаю вас коллега
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Дима Шахов
Ну вот опять мы приходим к вопросу моделирования нарушителя... я уже эту тему поднимал. Если речт идет о внетреннем нарушителе, то очевидно на борту должно имется сертифицированное ПО с разграничением доступа и конртроль ндв. Если о сговоре, то очевидно должны иметься независимые точки контроля настроек ПО. Если о внешнем, то опять же сертификация и контроль на ндв + постоянный анализ на уязвимости
Ну так это вы все описали меры обеспечения безопасности. Мы будем применять их на следующем этапе - при построении системы защиты информации. Сейчас вопрос стоит в определении субъект ли и присвоении категории. А на сколько я помни при оценке масштаба возможных последствий фстэк давал комментарии, что меры защиты информации не учитываются. Учитываться может только механическая или релейная противоаварийная автоматика
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Gryankin
Ну так это вы все описали меры обеспечения безопасности. Мы будем применять их на следующем этапе - при построении системы защиты информации. Сейчас вопрос стоит в определении субъект ли и присвоении категории. А на сколько я помни при оценке масштаба возможных последствий фстэк давал комментарии, что меры защиты информации не учитываются. Учитываться может только механическая или релейная противоаварийная автоматика
Я вот никак не возьму в толк, а зачем, собственно заострять внимание на системах, которые не нужно защищать?
источник

Д

Дима Шахов in КИИ 187-ФЗ
Дима Шахов
Я вот никак не возьму в толк, а зачем, собственно заострять внимание на системах, которые не нужно защищать?
Я исхожу из 1 части 187 фз, всегда
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Дима Шахов
Я исхожу из 1 части 187 фз, всегда
А вы уверены в том, что система обеспечения безопасности судовых систем уже соответствует 239 приказу?
источник

I

Ivan in КИИ 187-ФЗ
Alexander Zemlanin
Я поддерживаю вас коллега
Единственное, что хотелось бы добавить, рассмативать вопрос об альтернативных НЕ связных способах управления Системами на окии нужно в каждом конкретном случае - не факт что оно подходит везде и везде об этом можно забывать и не учитывать намеренно. Самолет/поезд/судно/автомобиль и прочие объекты нельзя,ну во всяком случае я не могу придумать, оставить без человека - он должен быть всегда. В противовес -пример. Больница. Имеет окии- ИС и ИТС (медкарты,меддеятельность и прочее). Дажеи без категории - не важно. Но  имеет бумажные эквиваленты. Я рассматриваю частный случай,не факт что есть везде! Так вот. Сломался сервер-стали ис! Работа не станет. Взяли бумажную мед карту и пошли дальше работать. В судне/самолете и прочем -так нельзя. Вывели из строя насос топливный.Вы же не полезте топливо качать руками, или вывели из строя навигацию - за борт не прыгните, толкать судно.
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Gryankin
А вы уверены в том, что система обеспечения безопасности судовых систем уже соответствует 239 приказу?
Не уверен, но и соответствие этих систем не ограничивается 187 фз
источник
2018 October 26

Д

Дима Шахов in КИИ 187-ФЗ
Дима Шахов
Не уверен, но и соответствие этих систем не ограничивается 187 фз
Дело вот в чем, 187 ФЗ разбирает и направлен на частный случай нарушения безопасности, связанный с копмьютерной атакой, а угроз безопаности гораздо больше, тут инепреднамеренные действие и преднамеренные но не компьютерные атаки... но создается полное ощущение что все слили в одно ведро, ибо не касался ФСТЭК ранее этих ИС. Это путь в никуда. 187 ФЗ это частный случай!
источник

A

Alexander Gryankin in КИИ 187-ФЗ
Дима Шахов
Дело вот в чем, 187 ФЗ разбирает и направлен на частный случай нарушения безопасности, связанный с копмьютерной атакой, а угроз безопаности гораздо больше, тут инепреднамеренные действие и преднамеренные но не компьютерные атаки... но создается полное ощущение что все слили в одно ведро, ибо не касался ФСТЭК ранее этих ИС. Это путь в никуда. 187 ФЗ это частный случай!
Так мы и не рассматриваем случаи непреднамеренного воздействия
источник

Д

Дима Шахов in КИИ 187-ФЗ
Alexander Gryankin
Так мы и не рассматриваем случаи непреднамеренного воздействия
Ну и ещё это компьютерная атака должна быть, а не нечто иное ))
источник