- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
ФЗ № 187-ФЗ от 26 июля 2017 г.
Модератор: Глоб.модераторы
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Доброе время!
В свете Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", под его действие попадают системы автоматики электростанций и системы мониторинга ими, включая СКАДА и WEB-мониторинга. В частности, наши заказчики уже столкнулись с тем что с них требуют сертификаты ФСТЭК на системы мониторинга (СКАДА и WEB).
Речь идёт о т.н. малой энергетике, т.е. генераторы 15, 50, 100, 300 кВт, редко когда 1МВт и больше.
Вопрос: кто ещё столкнулся с этим вопросом и как решается вопрос?
В свете Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", под его действие попадают системы автоматики электростанций и системы мониторинга ими, включая СКАДА и WEB-мониторинга. В частности, наши заказчики уже столкнулись с тем что с них требуют сертификаты ФСТЭК на системы мониторинга (СКАДА и WEB).
Речь идёт о т.н. малой энергетике, т.е. генераторы 15, 50, 100, 300 кВт, редко когда 1МВт и больше.
Вопрос: кто ещё столкнулся с этим вопросом и как решается вопрос?
По вопросам работы Форума можно обратиться по этим контактам.
-
- И жнец, и чтец...
- Сообщения: 1403
- Зарегистрирован: 26 май 2022, 09:48
- Имя: Кирилл
- Страна: РФ
- город/регион: Москва
- Благодарил (а): 410 раз
- Поблагодарили: 352 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Люди на местах "премного удивлены" и не могут пройти фазу отрицания, не веря глазам своим. :)
Например вот так (процедура). А в части подбора оборудования для АСУ - жупел.
Зри в корень!
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Букв много, почитаем. "Премного удивлены" - это мягко сказано, когда на резервную станцию при фельдшерском пункте в посёлке где-то в тайге, с людей требуют (именно требуют) сертификат ФСТЭК на генератор 30 кВт. Причём годами всё работало, а теперь вдруг сертификат им подавай.
Отправлено спустя 13 минут 47 секунд:
Вот конкретные примеры.
Контора занимается по договору обслуживанием и ремонтом парка дизель-генераторов, разбросанных по огромной территории. Резервные станции в посёлках. Оборудовали станции системой простейшего мониторинга, чтобы получать данные о наработке и об основных неисправностях - территории огромные, перед тем как ехать к агрегату неплохо бы предположить, что с собой может понадобиться взять, или вообще достаточно просто позвонить персоналу на место и сказать где топливо долить, где что подкрутить - чтобы не терять дни на дорогу в труднодоступные районы. Огромная страна же у нас.
И вот на этот мониторинг у наших заказчиков затребовали сертификат ФСТЭК, ибо положено. Можно сказать "не нравится - выключим". Но тогда посёлки останутся без электричества при малейшем чихе, потому что спеца ждать придется не один день пока доедет, а потом ещё за нужным болтом туда-обратно скатается. Бред же.
Есть у нас хоть одна СКАДА или система мониторинга, имеющая сертификат ФСТЭК?
По вопросам работы Форума можно обратиться по этим контактам.
-
- шаман
- Сообщения: 971
- Зарегистрирован: 30 сен 2016, 15:22
- Имя: Соловьев Алексей Леонидович
- Страна: Россия
- город/регион: Иваново
- Благодарил (а): 26 раз
- Поблагодарили: 187 раз
ФЗ № 187-ФЗ от 26 июля 2017 г.
Есть и не одна.
Я проектирую АСУ ТП для тепловых электростанций. Тоже недавно столкнулся с этой проблемой.
Сейчас в ТЗ на проектирование заказчики везде включают требования к информационной безопасности, и требования о том, чтобы в проекте был раздел по информационной безопасности.
Я стал прорабатывать этот вопрос. Оказалось, что есть специализированные организации, которые могут разработать проект по информационной безопасности и поставить необходимое оборудование со всеми сертификатами. Запросили коммерческие предложения на разработку раздела проекта по информационной безопасности. Цена варьируется от 2 до 5 миллионов рублей.
-
- И жнец, и чтец...
- Сообщения: 1403
- Зарегистрирован: 26 май 2022, 09:48
- Имя: Кирилл
- Страна: РФ
- город/регион: Москва
- Благодарил (а): 410 раз
- Поблагодарили: 352 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Предположу, что вопрос вырулят в такое русло: "не сертифицировано?.. ладно, но потом сертифицируйте!.. а сейчас пока канал шифрованный хотябы сделайте!.. ну там шлюз криптоавнный или типа того... вот вам компания - у неё брать" :)
Зри в корень!
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Например?
Для описанных мной применений это смерть.
Предполагать-то да. Но если с локальных контроллеров выходит модбас - как я его зашифрую? :)
По вопросам работы Форума можно обратиться по этим контактам.
-
- шаман
- Сообщения: 971
- Зарегистрирован: 30 сен 2016, 15:22
- Имя: Соловьев Алексей Леонидович
- Страна: Россия
- город/регион: Иваново
- Благодарил (а): 26 раз
- Поблагодарили: 187 раз
ФЗ № 187-ФЗ от 26 июля 2017 г.
Извиняюсь, я неправильно выразился. Я имел ввиду АСУ ТП в целом, которая соответствует требованиям 187-ФЗ. Такие системы в природе уже есть.
Сейчас поковырялся в законах. Там написано, что сертификации подлежат средства защиты информации. Сама по себе СКАДА не является средством защиты информации, у неё другое назначение, поэтому сертификации не подлежит.
В любом случае, я думаю, начинать надо с проекта по информационно безопасности, в котором будут предусмотрены технические и программные средства информационной безопасности. И вот эти средства уже должны иметь сертификаты. И, как я уже писал выше, проекты такие делают специализированные конторы, у которых есть лицензии ФСТЭК и ФСБ.
Возможно для ваших применений дешевле будет. Указанная мной цена для АСУ ТП в масштабе парового энергетического котла.
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Это конкретно где сказано? С точностьюдо закона, если можно (страницу и пункт найдём).
Отправлено спустя 2 минуты 16 секунд:
Я полагаю, сначала лучше начать с определения необходимости это всё делать. И дело в том что я не вижу, чтобы где-то было прямо сказано что "вот для таких систем это нужно обязательно, а для этаких - нет", что даёт огромный простор для творчества всяким надзорным органам, которым нечем заняться.
По вопросам работы Форума можно обратиться по этим контактам.
-
- шаман
- Сообщения: 971
- Зарегистрирован: 30 сен 2016, 15:22
- Имя: Соловьев Алексей Леонидович
- Страна: Россия
- город/регион: Иваново
- Благодарил (а): 26 раз
- Поблагодарили: 187 раз
ФЗ № 187-ФЗ от 26 июля 2017 г.
Пункт 3 Положения о системе сертификации средств защиты информации (утв. приказом ФСТЭК от 03.04.2018 № 55).
Согласен. Тогда начинать надо с категорирования. На это есть Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства РФ от 08.02.2018 № 127). Обратите внимание на интересный пункт 2, в котором говорится, что категорированием должны заниматься владельцы объектов критической информационной инфраструктуры.
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Огромное спасибо! Исчерпывающе, хоть в FAQ включай.
И при этом электростанция может быть критическим объектом энергетики (например резервная/аварийная станция), а система её мониторинга может и не быть объектом критической информационной инфраструктуры - категория электроснабжения и категория критической информационной инфраструктуры - это ведь разные вещи. Так? Например если электростанция выполняет свои функции и без мониторинга вообще (а как правило так и есть, мониторинг - это сервис). Т.е. когда наличие или отсутствие мониторинга никак не влияет на функции электростанции.
То есть в случае с системой мониторинга электростанции, сам владелец системы мониторинга (не электростанции) должен определить категорию своей системы и, при необходимости, включить её в некий реестр подобных систем - верно?
И при этом электростанция может быть критическим объектом энергетики (например резервная/аварийная станция), а система её мониторинга может и не быть объектом критической информационной инфраструктуры - категория электроснабжения и категория критической информационной инфраструктуры - это ведь разные вещи. Так? Например если электростанция выполняет свои функции и без мониторинга вообще (а как правило так и есть, мониторинг - это сервис). Т.е. когда наличие или отсутствие мониторинга никак не влияет на функции электростанции.
По вопросам работы Форума можно обратиться по этим контактам.
-
- И жнец, и чтец...
- Сообщения: 1403
- Зарегистрирован: 26 май 2022, 09:48
- Имя: Кирилл
- Страна: РФ
- город/регион: Москва
- Благодарил (а): 410 раз
- Поблагодарили: 352 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Мой коллега транслировали то же самое сегодня на совещании, "пасьянс сошёлся". :)
Отправлено спустя 1 минуту 20 секунд:
Только крипто-шлюзом... с обратной дешифровкой крипто-шлюзом "на той стороне".
Отправлено спустя 3 минуты 25 секунд:
К этому автоматом цепляются СКУД, ОС и СВН - ограничение физического доступа к узлам и контроль + паспорт безопасности объекта.
Зри в корень!
-
- эксперт
- Сообщения: 3643
- Зарегистрирован: 10 ноя 2009, 04:58
- Имя: Толмачев Михаил Алексеевич
- город/регион: г. Чехов, МО
- Благодарил (а): 8 раз
- Поблагодарили: 286 раз
ФЗ № 187-ФЗ от 26 июля 2017 г.
Выход есть - без категории.3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.
4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Отправлено спустя 7 минут 29 секунд:
3-я категория (самая легкая) - это электроснабжение муниципального образования.
Так что для малой энергетики смело надо утверждать статус "без категории".
-
- шаман
- Сообщения: 971
- Зарегистрирован: 30 сен 2016, 15:22
- Имя: Соловьев Алексей Леонидович
- Страна: Россия
- город/регион: Иваново
- Благодарил (а): 26 раз
- Поблагодарили: 187 раз
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Вот! Спасибо огромное! Отдал информацию нашим спецам по мониторингу - дальше разберутся (с заказчиком).
По вопросам работы Форума можно обратиться по этим контактам.
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Так вот раз заказчик просит сам:alex45 писал(а): ↑19 сен 2022, 12:13 Я стал прорабатывать этот вопрос. Оказалось, что есть специализированные организации, которые могут разработать проект по информационной безопасности и поставить необходимое оборудование со всеми сертификатами. Запросили коммерческие предложения на разработку раздела проекта по информационной безопасности. Цена варьируется от 2 до 5 миллионов рублей.
то пусть заказчик в том же ТЗ сначала сам определит категорию ИБ (как мы выше выяснили), запишет её в ТЗ, и только после этого можно приступать. Сказавши "А", пусть заказчик говорит и "Б". Ибо плюс-минус категория - это плюс-минус те самые 2...5 миллионов, что как бы не мелочь, и они за счёт заказчика. А коль эти требования появляются уже после поставки системы, то доработка системы до этих требований - опять за счёт заказчика, потому что в ТЗ оговорено не было.
И разговоры заказчика про то что "ну мы же не знали" - не прокатывают, потому что, как выше писали,
, и это можно было легко узнать - вот я меньше чем за сутки у Вас это взял и узнал. Значит и заказчик мог. Или пусть пишет "без категории" чтобы всё как есть оставить.alex45 писал(а): ↑19 сен 2022, 17:44 На это есть Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства РФ от 08.02.2018 № 127). Обратите внимание на интересный пункт 2, в котором говорится, что категорированием должны заниматься владельцы объектов критической информационной инфраструктуры.
По-моему, "ну, вот так как-то". (с)
По вопросам работы Форума можно обратиться по этим контактам.
-
- шаман
- Сообщения: 971
- Зарегистрирован: 30 сен 2016, 15:22
- Имя: Соловьев Алексей Леонидович
- Страна: Россия
- город/регион: Иваново
- Благодарил (а): 26 раз
- Поблагодарили: 187 раз
ФЗ № 187-ФЗ от 26 июля 2017 г.
Это идеальный вариант. У меня для примера есть ТЗ, в котором заказчик определил, что у него третья категория по ИБ и на основании этого просит разработать проект по информационной безопасности.
А ещё у меня есть другое ТЗ. Там заказчик сваливает на подрядчика определение категории и результат определения категории подрядчик должен представить заказчику в виде некоего проекта документа, который заказчик потом подпишет и утвердит.
Отправлено спустя 4 минуты 31 секунду:
Тут вопрос спорный. У нас же есть 187-ФЗ, т.е. все требования по ИБ оговорены в федеральном законе и его подзаконных актах. А значит, даже если требования по ИБ не оговорены в ТЗ, то всё равно их надо выполнять, постольку поскольку этого требует федеральный закон.
Вот если система была поставлена до принятия федерального закона, тогда да, доработка системы до требований 187-ФЗ за дополнительную плату.
-
- администратор
- Сообщения: 18748
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
ФЗ № 187-ФЗ от 26 июля 2017 г.
Да понятно что оно по разному бывает. Но ведь это противоречит Правилам категорирования объектов, оно есть федеральный закон (в отличие от ТЗ). Когда вопрос в плюс-минус таких деньгах, я б не стал такой договор подписывать до уточнения. А определение категории можно выполнить на стадии предпроектного обследования, выделив её в отдельный эта работ с отдельными деньгами.
Это я так, фантазирую. Понятно что по-разному по факту выкручиваемся.
Всё верно. А согласно в/у правилам, кто должен это определить? Владелец объекта. Пусть он сам не хочет, ну в лом ему - хорошо, исследовательскую работу можно кому угодно заказать на подряд. Но подпись под категорией должен ставить первым владелец объекта, а не кто-то другой. И ведь владелец и заказчик - это разные конторы бывают, тоже факт.alex45 писал(а): ↑20 сен 2022, 12:48 Тут вопрос спорный. У нас же есть 187-ФЗ, т.е. все требования по ИБ оговорены в федеральном законе и его подзаконных актах. А значит, даже если требования по ИБ не оговорены в ТЗ, то всё равно их надо выполнять, постольку поскольку этого требует федеральный закон.
Это как с получением ТУ на присоединение к ФСКшным сетям. Его ведь владелец объекта получает, несмотря на то что бумажную работу может выполнять подрядная фирма. Так и здесь - нет?
По вопросам работы Форума можно обратиться по этим контактам.