a
На ум приходят ГОСТ 34, и ПП676 для ГИС
Size: a a a
2019 October 23
AV
В 187-фз нет никаких требований по обеспечению безопасности незначимых ОКИИ, так что и приказов не может быть, только об инцидентах сообщать, но это уже приказы фсб
Изначально не приказы ФСБ все же, а как понимаю п. 2.1 статьи 9 ФЗ 187.
L
Добрый день!
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
os
Добрый день!
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
Флешка втыкается в комп - он и есть АСУ. Так что делаем модель нарушителя/модель угроз и классифицируем по последствиям
AV
alex
На ум приходят ГОСТ 34, и ПП676 для ГИС
В том и проблема, что не ГИС. Потому это не подходит.
Е
Alexey Viktorovich
Есть ли какой-либо приказ, по которому нужно делать модель угроз строго определенным образом? Или можно при категорировании ограничиться списком актуальных/неактуальных угроз(с обоснованием неактуальности)
T
Добрый день!
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
Коллеги, возник такой вопрос!
От предыдущего ибшника остался перечень, который был направлен в ФСТЭК, где он выделил объект, куда включены все станки ЧПУ. Этот объект он назвал «Системы автоматизированного управления станками с числовым программным управлением».
Эти станки работают каждый сам по себе, программы туда грузятся исключительно с флэшки, к сети общего пользования не подключены. Все станки объединены системой мониторинга, через которую атака поступать не может.
Следовательно угроза может поступить только от внутреннего нарушителя с флешки.
Внимание!
Сам вопрос
Правильно ли, что мы считаем что станок ЧПУ это АСУ?
Или не стоит категорировать тот объект, который был выделен предыдущим ибшником, а просто актуализировать перечень и исключить этот объект?
На основе чего можно утверждать - все станки объедены системой мониторинга через которую атака поступать не может?
L
На основе чего можно утверждать - все станки объедены системой мониторинга через которую атака поступать не может?
На основе официально письма от компании, которая эту систему обслуживает
YS
Вопрос в эту тему, а признание субъекта и объекта кии в этих делах было на основании актов категорирования?
T
На основе официально письма от компании, которая эту систему обслуживает
Это стоит еще проверить, наверное.
os
На основе официально письма от компании, которая эту систему обслуживает
У компании, которая обслуживает есть лицензии ФСТЭК и ФСБ? От разработчика есть подтверждение?
N
oldman sysadmin
У компании, которая обслуживает есть лицензии ФСТЭК и ФСБ? От разработчика есть подтверждение?
лицензии не дают гарантии что разрабатываемое ПО будет не уязвимо для атак, и официальное подтверждение тоже не защит от атаки.
DK
На основе официально письма от компании, которая эту систему обслуживает
Богатая идея, но так это не работает :)
1. У станка есть модуль управления. Этот модуль управления в терминологии ГОСТ является АСУ, а в соответствии с ФЗ эта АСУ - самостоятельный объект КИИ.
2. Вы не можете взять и вычеркнуть объект КИИ из перечня только на основании голословных заявлений производителя, "ара, мамой клянусь, оно не кусается". Если объект участвует в критических процессах (в вашем случае - участвует), вы обязаны провести его через процедуру категорирования. В этой процедуре вы сами, под свою ответственность, решаете, есть ли для объекта какие-то угрозы и к каким последствиям они могут привести. И только в конце этой процедуры вы имеете право принять решение, что эти последствия недостаточно опасны и что объекту можно не присваивать категорию.
3. Для станков с ЧПУ есть стандарты безопасности, например - ГОСТ ЕН 12417-2006, в котором перечислены любопытные угрозы, например "Отказ системы управления с последующим действием остаточных сил. Выход из строя зажима заготовки, переключателя числа оборотов. Вредоносные движения частей станка под действием остаточных сил (инерции, тяжести, электроэнергии)". Вы обязаны рассмотреть такие угрозы и оценить, можно ли добиться такого эффекта, залив на станок специально подготовленный проект. Если можно - добро пожаловать в мир ЗОКИИ по показателю "причинение вреда жизни и здоровью людей".
1. У станка есть модуль управления. Этот модуль управления в терминологии ГОСТ является АСУ, а в соответствии с ФЗ эта АСУ - самостоятельный объект КИИ.
2. Вы не можете взять и вычеркнуть объект КИИ из перечня только на основании голословных заявлений производителя, "ара, мамой клянусь, оно не кусается". Если объект участвует в критических процессах (в вашем случае - участвует), вы обязаны провести его через процедуру категорирования. В этой процедуре вы сами, под свою ответственность, решаете, есть ли для объекта какие-то угрозы и к каким последствиям они могут привести. И только в конце этой процедуры вы имеете право принять решение, что эти последствия недостаточно опасны и что объекту можно не присваивать категорию.
3. Для станков с ЧПУ есть стандарты безопасности, например - ГОСТ ЕН 12417-2006, в котором перечислены любопытные угрозы, например "Отказ системы управления с последующим действием остаточных сил. Выход из строя зажима заготовки, переключателя числа оборотов. Вредоносные движения частей станка под действием остаточных сил (инерции, тяжести, электроэнергии)". Вы обязаны рассмотреть такие угрозы и оценить, можно ли добиться такого эффекта, залив на станок специально подготовленный проект. Если можно - добро пожаловать в мир ЗОКИИ по показателю "причинение вреда жизни и здоровью людей".
VM
Богатая идея, но так это не работает :)
1. У станка есть модуль управления. Этот модуль управления в терминологии ГОСТ является АСУ, а в соответствии с ФЗ эта АСУ - самостоятельный объект КИИ.
2. Вы не можете взять и вычеркнуть объект КИИ из перечня только на основании голословных заявлений производителя, "ара, мамой клянусь, оно не кусается". Если объект участвует в критических процессах (в вашем случае - участвует), вы обязаны провести его через процедуру категорирования. В этой процедуре вы сами, под свою ответственность, решаете, есть ли для объекта какие-то угрозы и к каким последствиям они могут привести. И только в конце этой процедуры вы имеете право принять решение, что эти последствия недостаточно опасны и что объекту можно не присваивать категорию.
3. Для станков с ЧПУ есть стандарты безопасности, например - ГОСТ ЕН 12417-2006, в котором перечислены любопытные угрозы, например "Отказ системы управления с последующим действием остаточных сил. Выход из строя зажима заготовки, переключателя числа оборотов. Вредоносные движения частей станка под действием остаточных сил (инерции, тяжести, электроэнергии)". Вы обязаны рассмотреть такие угрозы и оценить, можно ли добиться такого эффекта, залив на станок специально подготовленный проект. Если можно - добро пожаловать в мир ЗОКИИ по показателю "причинение вреда жизни и здоровью людей".
1. У станка есть модуль управления. Этот модуль управления в терминологии ГОСТ является АСУ, а в соответствии с ФЗ эта АСУ - самостоятельный объект КИИ.
2. Вы не можете взять и вычеркнуть объект КИИ из перечня только на основании голословных заявлений производителя, "ара, мамой клянусь, оно не кусается". Если объект участвует в критических процессах (в вашем случае - участвует), вы обязаны провести его через процедуру категорирования. В этой процедуре вы сами, под свою ответственность, решаете, есть ли для объекта какие-то угрозы и к каким последствиям они могут привести. И только в конце этой процедуры вы имеете право принять решение, что эти последствия недостаточно опасны и что объекту можно не присваивать категорию.
3. Для станков с ЧПУ есть стандарты безопасности, например - ГОСТ ЕН 12417-2006, в котором перечислены любопытные угрозы, например "Отказ системы управления с последующим действием остаточных сил. Выход из строя зажима заготовки, переключателя числа оборотов. Вредоносные движения частей станка под действием остаточных сил (инерции, тяжести, электроэнергии)". Вы обязаны рассмотреть такие угрозы и оценить, можно ли добиться такого эффекта, залив на станок специально подготовленный проект. Если можно - добро пожаловать в мир ЗОКИИ по показателю "причинение вреда жизни и здоровью людей".
Дима. У этого ГОСТ есть версия 2016 года
DK
Дима. У этого ГОСТ есть версия 2016 года
Очепятался :)
http://docs.cntd.ru/document/1200146045
http://docs.cntd.ru/document/1200146045
M
Yu Sha
Вопрос в эту тему, а признание субъекта и объекта кии в этих делах было на основании актов категорирования?
Нет
2019 October 24
L
Всем Спасибо за отклик.
Дмитрий, Вам отдельное спасибо за такой развёрнутый ответ
Дмитрий, Вам отдельное спасибо за такой развёрнутый ответ
DK
Коллеги, добрый день! Возник вопрос при определении перечня ОКИИ: являются ли выносные узлы связи (ВУС) оператора связи (СКИИ) объектами КИИ - ИТКС, или они относятся к сетям электросвязи, предназначенными для взаимодействия ОКИИ, т.е не попадают в перечень ОКИИ, подаваемый во ФСТЭК. Хотелось бы услышать ваше экспертное мнение, в поиске по сайту ответа не нашел.
V
Коллеги!Добрый день!
Поскажите пожалуйста:
Мы провели категорирование наших объектов.
Во ФСТЭК необхимо направлять :
1. Сопроводительное письмо
2. Сведения о результатах присвоения объекта одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Вопрос:в бумажном виде и/или электронном направлять и нужны ли Акты категорирования им?
Поскажите пожалуйста:
Мы провели категорирование наших объектов.
Во ФСТЭК необхимо направлять :
1. Сопроводительное письмо
2. Сведения о результатах присвоения объекта одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Вопрос:в бумажном виде и/или электронном направлять и нужны ли Акты категорирования им?
A
Veronika
Коллеги!Добрый день!
Поскажите пожалуйста:
Мы провели категорирование наших объектов.
Во ФСТЭК необхимо направлять :
1. Сопроводительное письмо
2. Сведения о результатах присвоения объекта одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Вопрос:в бумажном виде и/или электронном направлять и нужны ли Акты категорирования им?
Поскажите пожалуйста:
Мы провели категорирование наших объектов.
Во ФСТЭК необхимо направлять :
1. Сопроводительное письмо
2. Сведения о результатах присвоения объекта одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Вопрос:в бумажном виде и/или электронном направлять и нужны ли Акты категорирования им?
В бумажном с приложением электронных исходников.
Акт прикладывать не нужно.
Акт прикладывать не нужно.