Подскажите такой момент. Проектируется РСУ с отдельной системой ПАЗ. Все на AS 410-5H, для ПАЗ F-исполнение ПЛК и модулей IO. Все ПЛК подключаются в общую системную шину (plant bus у Siemens). Проектировщик настаивает, что ПАЗ должна подключаться к системной шине через МСЭ, чтобы данные ПАЗ были доступны для РСУ, а данные РСУ для ПАЗ нет. Ссылается на Приказ ФСТЭК N31.
Просмотрел этот приказ, под это дело можно только УПД.3 и ЗИС.17 (Приложение 2. Меры защиты информации).
Мне, как представителю эксплуатации, такой подход кажется избыточным или я не прав?

У вас какой УЗ если вы хотите использовать 31 приказ?

На данный момент не могу точно сказать. А как быть в случаях УЗ 1 и УЗ 3?

Добрый день! Да, с точки зрения кибер рисков ПАЗ рекомендуется максимально отделять от РСУ. Для убедительности отчет LOGIIC

LOGIIC P11 Public Report Final (1).pdf

Спасибо)

Как то странно у вас проектировщик использует 31 Приказ. Если проектировщик рассматривает систему РСУ как отдельную от ПАЗ то тогда для нее должны применяться все меры  в зависимости от Класса защищенности. Так и для ПАЗ должен быть определен Класс защищённости и свои меры.

Как ПАЗ может быть отдельной системой? Предотвращает от аварий вообще? В радиусе 10 км? :) Это подсистема. ПАЗ всегда и во все времена максимально отделяли от основной системы, это ещё АСУшные требования, без учета ИБ

Да, неправильно выразился - подсистема

"ПАЗ всегда и во все времена максимально отделяли от основной системы", это в какие такие времена? Наблюдения  показывают что они много где объединены. И это проблема. Пришло время вспомнить про Triton

Maybe TRISIS? 🤔

Знаю ПАЗ которая не взаимодействуют вообще с системой АСУ, тока берут от туда данные и имеют сигнал на управляющие устройства выдавать. А сети у них вообще разные )) так что это от системы зависит

Я не спорю, что где-то делают (и принимают в эксплуатацию) странные реализации. Но ПАЗ - это всегда отдельная подсистема и сам смысл ПАЗ говорит о том, что она должна быть полностью независимой от всего другого на предприятии. Желательно, чтобы была выполнена механической или без PLC

Это да, здравый смысл (читай риск ориентированный подход) говорит об этом

Я сейчас не хочу искать ГОСТы и т.п., но в них это прописано. Другое дело, что часто "ПАЗ" именуют то, что ПАЗ не является :)  Т.е. какую-то функцию АСУ ТП или другой системы называют ПАЗ.
Наверное, так тоже можно, хоть и вносит путаницу,  применительно к данному случаю - тем более

По вопросу топикстартера, я на стороне проектировщика :)

инфодиод заложил бы

+ но там надо смотреть как они рассматривали систему по 31 приказу , а то может нет смысла все это защищать

да, всё так

Тут больше бумажный вопрос - кто "переспорит", тот и прав :) Но я бы инфодиод поставил всё равно :)))