Потому что надо различать объекты кии. Категория должна повышаться у сети, а не у каждого асу котла

а они в одной сети? тогда они связаны. Тогда нужно смотреть на критичность самой ТЭЦ, что считаю наиболее правильным подходом

Добрый вечер!
Что в вашем понимании означает "в одной сети"? В одном сетевом сегменте или сегментированная сеть в которой есть штатные взаимодействия между сегментами - это тоже одна сеть?

По новой редакции пп 127 вы обязаны исходить из наихудшего сценария: злобный чувак осознанно и целенаправленно стремится разнести ТЭЦ по-максимуму (п. 14.1).  

Котлы на ТЭЦ и в котельтных резервируются: в нормальных услловиях работают не более, чем на 50% возможностей, при выходе их строя одного котла второй должен взять всю его нагрузку.  Поэтому при оценке критичности одного котла вы обязаны исходить из предположения, что злобный чувак уже целенаправленно и осозна6енно второй котел разнес (п. 14.2 постановления).

А поскольку для критического процесса "теплоснабжение" взаимосвязаны все котлы ТЭЦ, при категорировании вы обязаны оценивать совокупные последствяи.

Т.е., категорируя АСУ одного котла, вы обязаны исходить из того, что нарушитель "умет, любит, практикует" остановку всех котлов ТЭЦ скопом.

Именно так.

Т.е. или угроза "целенаправленно вывести из строя" неактуальна, или она одновременно актуальна для всех однотипных котлов.

При этом  актуальность может быть разной для разных типов котлов. Условно, для газовых котлов с цифровым управлением она актуальна (и тогда последствия - остановка одновременно всех таких котлов ТЭЦ), а для дровяных котлов с телемеханикой она совсем неактуальна

что к каждой асу можно добраться получив доступ в технологическую сеть.

тогда вопрос. Допустим есть 2 типовых станции у разных субьектов. Пока работает хотябы одна, последствий нет, какой сценарий каждому субьекту рассматриыать? Все понимают - наихудший сценарий останов двух станций

А потом далее по уровню паранойи, что даже если от остановки одной станции конечный потребитель ничего не почувствует, так как есть другие альтернативные источники, то что делать с ними?
Предоставлять, что блэкаут уже наступил и мы остались последние?

Через диспетчерские центры можно получить доступ к технологическому оборудованию сразу нескольких объектов КИИ. А при наличии уязвимостей в обработчиках технологических протоколов, сетевом оборудовании и ОС, возможностей у злоумышленника появляется масса. В таком случае системам телемеханики нужно категорию присваивать основываясь на радиусе такой диспетчерской сети? Они хоть и разные объекты, но увязаны в одну сеть и атаковать их злоумышленик будет синхронно для достижения максимального эффекта (если по худшему сценарию идти). Так получается?

так не везде можно так сделать. На мой взгляд системы можно обьединять по единому технологическому участку - системы относяшиеся к управлению турбиной например. Взаимолействие учитывать нужно, но в части векторов атак. Идея с наихудшим сценарием фстэк понятна, но описано не корректно. Нужно идти от категории объекта целиком (это предложение).

А как сеть телемеханики одним объектом сделать, если она распределенная между несколькими субъектами? Для региональной диспетчерской такая сеть вполне на вторую категорию потянуть может, а то и на первую. Если рассматривать худший сценарий.

я о станционных. Но суть не в этом. А так, худший сценарий атака на ракетный пусковой комплекс с последующим запуском в сторону обьекта кии...и до такого можно дойти. ПВО в меры впишем, а потом удивляются, и чего это руководство иб не подлерживает) я утрирую, но суть такая....

Это уже будет тогда не компьютерная атака на объект КИИ.

это будет компьютерный инцидент))

Добрый день уважаемые коллеги, вопрос к знатокам:
1. Призначал ли кто почту критическим процессом? (ФГИС КИИ 1 категория)
2. Каким образом и на чём реализовывалось отказоустойчивое решение почты.

П 14.1-14.3 все-таки про взаимосвязанные процессы и объекты одного субъекта.

Когда утвердили первую редакцию правил категорирования, обсуждались разные схемы заниженная категории объекта. Одна из них - "а давайте разделим ИС на подсистемы и будем категорировать каждую подсистему как самосооятельный объект". Так можно было любую ИС первой категории превратить в кучку незначимых " типа объектов". ФСТЭК ответила "а вот фиг вам", и во второй редакции заставила учитывать взаимосвязь объектов.

ну если вернуться к вопросу, коллега говорил что его асу котлами не взаимосвязаны. И я для понимания не про занижение категории говорю, а про правильную методику категорирования.

В правильной методике категорирования говорится не о взаимосвязи, а о зависимости функционирования одного объекта от функционирования другого объекта (п. 14.2).

Функционирование котла зависит от функционирования парного ему котла: при выходе из строя одного котла, второй должен быть переведён с половиной мощности на полную. Функционирование любой пары котлов зависит от функционирования всех остальных котлов: при выходе из строя любой пары их нагрузка должна быть перераспределение на остальные пары котлов (в случае ТЭЦ)  или на остальные котельные этого субъекта (в случае категорирования котельной).

Как именно реализована эта зависимость, рояля не играет: хоть автоматически через единое управление, хоть ручным переключение рычагов по команде диспетчера.

Котлы ЗОКИИ? (ИМХО ЗОКИИ АСУ)

тут не имхо, тут по определению асу)) а она уже котлами управляет