И все-таки, есть ли какие либо требования по организации хранения паролей АСУ ТП КИИ?  СИБ одного из объектов отвергает всякое иное,кроме бумажного хранения в конверте с сургучной печатью и в сейфе за 7 замками, ссылаясь на некий нормативно-правовой акт ФСТЭКа

Все требования к значимым объектам КИИ в приказе 239

Это и есть требование ))) и никак иначе😁

Это прописано в 239 приказе?

К сожалению или к счастью, тут кому как, в 239 приказе обозначены только названия мер, их детализация предполагается в отдельном методическом документе.
Если провести аналогию с МД Мерами защиты в ГИС, то там нет конкретизации как хранить пароли в открытом виде или в шифрованном или в конверте с сургучной печатью))) это устанавливается в организацинно-распорялительных документах субъектом КИИ и/или исполнителем самостоятельно, исходя из специфики объекта

На счет бумаже ответили выше, а из практики. Приведу простой пример. Ставите Кипас, начальник АСУ или ответственное лицо создает нормальные группировку и пароли для объектов в документе внутри кипаса, сохраняет его с шифрованием и с одним паролем. Далее всем сотрудникам АСУ ставите кипас и они берут 1 подготовленный файлик и открывают его  у себя. Имеем все пароли хранятся в шифровоном виде. пользуются только те кому надо имея или общий пароль доступа к кипасу или  для каждого свой или токен, в общем дальше как фантазия подскажет.

Это бесплатно, быстро и действенно.

Если есть бюджет то можно преобрести нормальную хранилку

Смотря что за объект у вас, если ГИС , то не подойдёт...

Подумайте о оценке соответствия , через эту процедуру придется все эти меры протаскивать

К сожалению многие простые и эффективные решения тут разбиваются

И само главное, не показываете это безопасникам

Так это бкзопасники и должны контролировать,что вообще есть хоть какой то порядок хранения паролей

Да для гос и ГИС придется бюджетировать какую то хранилку которая пройдет соответствия

То есть, прямого запрета на использовании электронных хранилищ нет. Все зависит от стандартов самой организации. Я правильно понял?

Да

Так же из опыта многие переходят на токены в АСУ

Тоже действенно,но тут нужен контроль за токенами

12 февраля, президент США Дональд Трамп подписал указ, устанавливающий всеобъемлющую национальную политику по обеспечению ответственного использования услуг позиционирования, навигации и синхронизации (PNT) федеральным правительством.

Указ предписывает федеральным агентствам принять меры по сокращению числа сбоев критической инфраструктуры, опирающейся на PNT, в том числе GPS. Он также нацеливает владельцев и операторов критически важных инфраструктур на укрепление устойчивости их систем.

Затронутые рынки включают в себя электросети, инфраструктуру связи и мобильные устройства, все виды транспорта, точное земледелие, прогнозирование погоды и реагирование на чрезвычайные ситуации.

http://vestnik-glonass.ru/news/vo_vlasti/prezident-ssha-ozabotilsya-ustoychivostyu-kriticheskoy-infrastruktury-sputnikovoy-navigatsii/

#вакансия #работа #москва #офис #реверс #инженер #асу #тп #асутп #Python #питон #С #С++

Job title: Реверс-инженер
Company: Станкоинформзащита
Форма допуска оформляться не будет.
Location: Москва, м. Электрозаводская
Salary: 80-200 тыс. руб. + премии.
Полная занятость, полный день.

How to apply:
Telegram @Irina_itrecruiter
rogozhina@sirotina.pro

Направление деятельности:
Исследование безопасности элементов АСУ ТП. Разработка средств защиты информации.

Обязанности:
Обратная разработка различного ПО, поиск уязвимостей.

Образование: 
Высшее техническое. Хорошая алгоритмическая и математическая база.

Опыт работы: от 2 лет.

Обязательные навыки:
Знания исследования безопасности элементов АСУ ТП.

Хорошие навыки обратной разработки приложений без исходного кода.

Понимание внутреннего устройства компиляторов.

Опыт обратной разработки закрытых сетевых протоколов и разбора сетевого трафика.

Опыт поиска и/или эксплуатации уязвимостей кода.

Хорошее знание Python: умение писать читаемый код.

Знание С и C++ на уровне свободного чтения исходного кода.

Уверенное знание средств дизассемблирования и декомпиляции: IDA Pro, Hex-Rays и т.п.

Навыки использования средств отладки и мониторинга событий операционной системы.

Желательно:
Хорошая алгоритмическая и математическая база.

Знание принципов построения различных электронных устройств и опыт их обратной разработки.

Знание различных процессорных архитектур встраиваемых систем.

Английский язык:
Свободное чтение технической литературы на английском языке.