Не знаю, если честно

Указана конкретная АЭС :)

Чёт я протормозил, да. 😏 Утро оно такое. 😁 Тогда да, непонятно. Ещё ничего толком не запроектировали, а уязвимости уже есть... 🧐

Евгений Гончаров: до 4 млн промышленных устройств по всему миру используют уязвимый фреймворк CODESYS

https://www.anti-malware.ru/interviews/2019-10-11/31021

Отказ в обслуживании на большом количестве оборудования компании Siemens.

UNCONTROLLED RESOURCE CONSUMPTION CWE-400
An unauthenticated attacker sending a large amount of specially crafted UDP packets may trigger a denial-of-service condition.

CVSS v3 7.5

https://www.us-cert.gov/ics/advisories/icsa-19-283-02

Список устройств впечатляет ..

Коллеги, нужна ваша обратная связь! Так как сервис Listen Notes не предоставляет статистики на плэйлисты подкастов (из за природы подкастов), мне интересна статистика на публичный пэйлист подкастов по ICS security @BEERISAC: ICS Security Podcast Playlist:

https://lnns.co/Q4dy3vn6pbf

Если кто-то еще считает, что «Водоканал не КИИ». Обзор 15 верифицированных киберинцидентов в отрасли водоснабжения и водоотведения:

1. Maroochy Water Services, Australia, 2000
2. Pennsylvania Water Filtering Plant, U.S., 2006
3. Tehama-Colusa Canal, U.S., 2007
4. Illinois Water Plant Pump Station, U.S., 2011 (a false alarm incident)
5. Key Largo Wastewater Treatment District, U.S., 2012
6. Bowman Avenue Dam, U.S., 2013
7. Five water utilities, U.S., 2014
8. Kemuri Water Company (a pseudonym), U.S., 2016
9. An undisclosed utility, U.S., 2016
10. An undisclosed drinking water utility, U.S., 2016
11. A regional water supplier, U.K., 2017
12. A European water utility, 2018
13. Onslow Water and Sewer Authority, U.S., 2018
14. Fort Collins Loveland Water District, U.S., 2019
15. Riviera Beach Water Utility, U.S., 2019

https://www.researchgate.net/publication/335753106_A_Review_of_Cybersecurity_Incidents_in_the_Water_Sector

Есть задача - разработать ТУ на СЗИ для дальнейшей сертификации во ФСТЭК. Подрядчик разработал документ, в котором определил требования к мерам ИБ, а вот перечень методов контроля для указанных мер не указал. Дана просто ссылка на не существующий документ "тестовая документация на СЗИ". Подскажите, такой подход приемлем для ТУ? Содержание ТУ должно быть  по ГОСТ 2.114?

Всем доброго времени суток. Подскажите есть ли у кого нибудь опыт в снятии защиты с проектов для Alan Bradley. Все что нагуглил уже попробовал. Может кто нового чего подскажет?

Должно, но ГОСТ определяет только форму, не содержание. ФСТЭК требует, чтобы в разделе "Методы контроля" была прям методика контроля - какие именно тесты должны проводиться для проверки заявленной функциональности. Если подрядчик - испытательная лаборатория, то у них должны быть готовые шаблоны

KICS con 2019: Интервью с Патриком Миллером (Archer International)

Почему топ-менеджеры не понимают специалистов-«безопасников» и как научиться «выбивать» бюджет у руководства — объясняет международный эксперт по промышленной ИБ

https://youtu.be/BZowr47yw9o

Слайды Патрика здесь

https://ics.kaspersky.com/media/ics-conference-2019/03-Patrick-Miller-ICS-Security-Risk-Management-and-Effective-Executive-Communication.pdf

Подрядчик не испытательная лаборатория, и они настаивают на том, что Методов контроля в ТУ может не быть. Есть ли какой нормативный документ или информация от ФСТЭК где четко сказано что должно содержаться в ТУ? Другими словами, как можно доказать подрядчику, что ТУ должно содержать методы контроля?

Может не быть, РД 50-34-698 вообще целиком необязательный документ, так его еще и отменили недавно. Но "нет ручек - нет мультиков": без методов контроля согласующей подписи Шевцова на ТУ не будет.

Обратитесь в испытательную лабораторию и покажите ТУ им. Вам все равно придется это сделать перед тем, как подадите заявку в ФСТЭК.

Ух бюрократия