S
не очень понимаю, причем здесь разные управления. Если перечень и результаты категорирования направляются в ЦА.
Я тоже не понимаю роль и место Управлений на местах. Передастами работать?! Не получается. Свою точку зрения обосновать - не могут.
Size: a a a
2020 November 08
N
Кто какой информацией может поделиться по категорированию станков с ЧПУ? Кого прокуратура трясла по этому вопросу? Какие замечания? Щас провожу категорирование станков и пока не пойму что делать с показателем 1 Перечня показателей
Конкретно 1 показатель к станкам пришить сложно как раз и обычно там без категории. То, что можно остаться без конечности, если нарушать ТБ, сюда не относится. У вас по сути или выведение из строя (станок не работает и вред не причиняет человекам) или несанкционированный доступ с управлением и там или запуск в ненужный момент или выведение какого-то элемента на нештатные режимы и там срыв, вылет, взрыв... если такое возможно.
В большинстве изолированных от сети ЧПУ будет логика и обоснование, что управлять прям без обратной связи и череды команд сложно, можно или загрузить команду (программу работы) или запустить. Но обычно для старта нужно присутствие оператора и механический пуск, то есть вариант восстания машин не работает от КА в чистом виде.
Вывод на нештатные режимы - читайте что за станок, почти наверняка там есть блокираторы и автоматы защиты, которые признаются мерами защиты, если не завязаны в общую систему, которую можно атаковать (условно ПА электромеханическая и работает автономно без завязки на ПЛК)
В большинстве изолированных от сети ЧПУ будет логика и обоснование, что управлять прям без обратной связи и череды команд сложно, можно или загрузить команду (программу работы) или запустить. Но обычно для старта нужно присутствие оператора и механический пуск, то есть вариант восстания машин не работает от КА в чистом виде.
Вывод на нештатные режимы - читайте что за станок, почти наверняка там есть блокираторы и автоматы защиты, которые признаются мерами защиты, если не завязаны в общую систему, которую можно атаковать (условно ПА электромеханическая и работает автономно без завязки на ПЛК)
S
Конкретно 1 показатель к станкам пришить сложно как раз и обычно там без категории. То, что можно остаться без конечности, если нарушать ТБ, сюда не относится. У вас по сути или выведение из строя (станок не работает и вред не причиняет человекам) или несанкционированный доступ с управлением и там или запуск в ненужный момент или выведение какого-то элемента на нештатные режимы и там срыв, вылет, взрыв... если такое возможно.
В большинстве изолированных от сети ЧПУ будет логика и обоснование, что управлять прям без обратной связи и череды команд сложно, можно или загрузить команду (программу работы) или запустить. Но обычно для старта нужно присутствие оператора и механический пуск, то есть вариант восстания машин не работает от КА в чистом виде.
Вывод на нештатные режимы - читайте что за станок, почти наверняка там есть блокираторы и автоматы защиты, которые признаются мерами защиты, если не завязаны в общую систему, которую можно атаковать (условно ПА электромеханическая и работает автономно без завязки на ПЛК)
В большинстве изолированных от сети ЧПУ будет логика и обоснование, что управлять прям без обратной связи и череды команд сложно, можно или загрузить команду (программу работы) или запустить. Но обычно для старта нужно присутствие оператора и механический пуск, то есть вариант восстания машин не работает от КА в чистом виде.
Вывод на нештатные режимы - читайте что за станок, почти наверняка там есть блокираторы и автоматы защиты, которые признаются мерами защиты, если не завязаны в общую систему, которую можно атаковать (условно ПА электромеханическая и работает автономно без завязки на ПЛК)
Вот спасибо за ценные слова. Буду думать - обдумывать. 👍🤙
N
Ддя ЧПУ обычно головняк в плане бюджета, потому что считать надо, время устранения инцидента обычно хз какое (особенно если есть вариант выведения из строя) и ФСТЭК говорит, что если у вас всего 10 станков, то считайте, что все разом вышли, а не 1, который 9 перекроют в плане производства
S
Ддя ЧПУ обычно головняк в плане бюджета, потому что считать надо, время устранения инцидента обычно хз какое (особенно если есть вариант выведения из строя) и ФСТЭК говорит, что если у вас всего 10 станков, то считайте, что все разом вышли, а не 1, который 9 перекроют в плане производства
Даааа, их любимый конек про наихудший вариант развития инцидента)))
N
Даааа, их любимый конек про наихудший вариант развития инцидента)))
Ну это в целом имеет обоснование и логику
ОД
Ддя ЧПУ обычно головняк в плане бюджета, потому что считать надо, время устранения инцидента обычно хз какое (особенно если есть вариант выведения из строя) и ФСТЭК говорит, что если у вас всего 10 станков, то считайте, что все разом вышли, а не 1, который 9 перекроют в плане производства
Согласитесь, что такой вариант достаточно сложно реализуем?
S
Олег Демьянов
Согласитесь, что такой вариант достаточно сложно реализуем?
Если станки в общей сети, то не очень сложно, но тут вопрос, а любой ли станок воспримет вредонос?!
N
Олег Демьянов
Согласитесь, что такой вариант достаточно сложно реализуем?
Тут такое дело, что при категорировании не оценка рисков в чистом виде и поэтому вероятность не оценивается. Вместо этого подход, что если это вообще возможно, то от этого и пляшем
V
здесь вообще надо акцент делать на другом. Если станки выходят из строя одновременно, то они явно включены в одну сеть. Вот ОКИИ будет эта сеть,а не станки ЧПУ
S
Ну это в целом имеет обоснование и логику
Имеет логику, я согласен, имеет лишь в том, что этой фразой подменяются все корпоративные документы по управлению рисками
N
Имеет логику, я согласен, имеет лишь в том, что этой фразой подменяются все корпоративные документы по управлению рисками
Это теплое с мягким, как и написал выше)) но поверьте, если б заставили риски считать как-то прям хорошо, то сложностей и стонов было б еще больше
S
Тут такое дело, что при категорировании не оценка рисков в чистом виде и поэтому вероятность не оценивается. Вместо этого подход, что если это вообще возможно, то от этого и пляшем
Если это ТЭК, например, то может такой подход и оправдан, а если это больница, то вряд ли
N
здесь вообще надо акцент делать на другом. Если станки выходят из строя одновременно, то они явно включены в одну сеть. Вот ОКИИ будет эта сеть,а не станки ЧПУ
Пожалуйста сценарий: инженер Василий скачал обновление и поочередно его пошел накатывать на станки с флэшки (и регламента тестирования и контроля изменений у них нет)
V
и где здесь ОКИИ? станок, АРМ или флешка?
N
Если это ТЭК, например, то может такой подход и оправдан, а если это больница, то вряд ли
Плохо это или хорошо уже обсуждать смысла мало - оно уже так и надо жить в этой парадигме. Вообще при адекватном подходе какие-то прям дурные перегибы при категорировании обходятся, но надо погрузиться в процесс и систему, да
S
здесь вообще надо акцент делать на другом. Если станки выходят из строя одновременно, то они явно включены в одну сеть. Вот ОКИИ будет эта сеть,а не станки ЧПУ
С точки зрения ФСТЭК станки это АСУ, а сеть это ИТКС, два взаимосвязанных и взаимодействующмх ОКИИ
V
ну и чем станок ЧПУ управляет?
N
и где здесь ОКИИ? станок, АРМ или флешка?
Станок - их же обсуждаем. Через флэшку канал реализации атаки, она вполне себе компьютерная же, разве нет?
V
а почему не АРМ, на нем же прошивка формировалась