1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Опыт внедрения требований к КИИ в АСУТП

Модератор: Глоб.модераторы


Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

То что АСУТП может, а иногда и несомненно является, критической информационной инфраструктурой бесспорно.
Хоть я и глубоко убеждён что АСУТП это что-то сугубо специализированное, встраиваемое, ни в коем случае не ПК и серверы (всеми путями избавляюсь от этого "добра" и скоро ничего этого вообще не будет у меня), всё равно есть узкоспециализированные операционные системы, интерфейсы общения с другими АСУТП системами и внешним миром. А значит могут быть уязвимости о которых мы не знаем заранее.

Требования ФСТЭК к КИИ просты и понятны, но, как правило, ИТ-шники всячески открещиваются от АСУТП или тупо "морозятся". Мне очень много усилий потребовалось чтобы наладить конструктивное общение с нашими ИТ-шниками. А вот на соседнем предприятии,на котором и я когда-то работал и которое больше раза в три чем то на котором я работаю сейчас, срач развернулся такой что дело дошло до строительства выделенной сети для АСУТП ! И это при том что специалистов по сетям в АСУТП там естественно нет. Наверно аутсорсить обслуживание заставят, то есть фактически чужие люди будут иметь доступ к святому :)
Как тут на вспомнить Черномырдина: "Хотели как лучше, а получилось как всегда".

И вот мне интересно как у кого обстоят дела в преддверии кибервойны с США? Готовы к обороне?

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Ryzhij »

Miraflores писал(а): 12 окт 2023, 09:58 Как тут на вспомнить Черномырдина: "Хотели как лучше, а получилось как всегда".

И вот мне интересно как у кого обстоят дела в преддверии кибервойны с США? Готовы к обороне?
Если бы Вы действительно вспомнили Виктора Степановича, то не не задавали бы сейчас таких вопросов о степени готовности.
Тем более "в преддверии кибервойны".
Интересно, кто и куда Вас послал, что Вы пришли с этим вопросом к нам?
https://ok.ru/video/1667661173167
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 12 окт 2023, 09:58 Хоть я и глубоко убеждён что АСУТП это что-то сугубо специализированное, встраиваемое, ни в коем случае не ПК и серверы
Совершенно непонятно, как из одного следует другое.
АСУТП - очень широкое понятие. Я делал АСУ которые состоят только из компьютеров и только из серверов. С обычными операционными системами. Почему не должно быть этого всего - не понимаю. Может не быть, может быть - как сделать.
Miraflores писал(а): 12 окт 2023, 09:58но, как правило, ИТ-шники всячески открещиваются от АСУТП или тупо "морозятся"
Это нормально. Им и своего геморроя хватает. Поверх IP бежит два десятка протоколов в которых им разбираться приходиться, а тут ещё АСУшники приходят со своими модбасами, профинетами, а не дай бог и с RS-485 - конечно, я бы тоже открещивался как мог.
Кстати, ни об одной хакерской атаке на интерфейс RS485 с протоколом ModBUS истории ещё неизвестно.
Miraflores писал(а): 12 окт 2023, 09:58срач развернулся такой что дело дошло до строительства выделенной сети для АСУТП !
Ну и что тут такого? Вообще-то говоря, по большому секрету и только Вам сообщаю: это нормально - иметь выделенную сеть под АСУ, а ругань надо поднимать тогда, когда АСУшные данные по общим сетям гулять начинают. И без всякого с%ача нормальные АСУ строятся на выделенных для них сетях. Если для понимания этого нужно затеять скандал - ну, знаете ли, это вопрос к скандалистам. Из двух спорящих один - дурак, а второй - подлец.
Miraflores писал(а): 12 окт 2023, 09:58И вот мне интересно как у кого обстоят дела в преддверии кибервойны с США? Готовы к обороне?
Нормально дела обстоят: нет войны, нет обороны, не надо и готовиться. Эту войну кибербезопасники и придумали для того, чтобы подзаработать на подготовке к обороне, а на самом деле её нет. Им же надо за что-то деньги получать, просто так их не дают. Вот примерно так обстоят дела на 1/6 части суши. Законов уже навыпускали про это, поэтому кому-то приходится соответствовать, в других темах форума вы об этом прочтёте. Но если вдруг война эта случится, то выделенные сети и есть решение: нет связи - нет проблем. Невозможно взломать дверь, которой просто нет. А когда дверь есть - её взлом это только вопрос времени и средств. Можете вложить денег в дорогой замок, крепких парней и систему сигнализации и всё это будет бесполезно (если не считать пользой деньги, которые вы заплатите им всем - для крепких парней и продавцов замков это безусловно польза). А можете просто не ставить дверь от слова совсем и тогда это всё станет ненужно, ещё и на двери сэкономите и стену портить не надо. Ваш выбор, Ваши деньги, Ваш геморрой.

Вопрос непонятен. Вам шашечки или ехать?

Отправлено спустя 1 минуту 36 секунд:
Ryzhij писал(а): 12 окт 2023, 10:08 Интересно, кто и куда Вас послал, что Вы пришли с этим вопросом


Отправлено спустя 2 минуты 20 секунд:
Но вообще, Miraflores, здесь это многократно уже обсуждалось, поэтому просто почитайте для начала и не надо лишний раз будоражить людей и уходить на стопятьсотый круг. Хотя бы две закреплённые темы, в одной там 26 страниц - учитаться можно, как детектив. "Давно здесь сидим" (с)

По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Тему в которую меня отправили я конечно же прочитал, причём до того как создать новую. Даже поставил лайки интересным постам.
И всё равно остались вопросы. Например:
1. коллеги зачем вы берёте к себе сервера и рабочие станции на основе ПК, сети связи? Зачем это вам нужно? АСУТП, в моём понимании заканчивается операторскими панельками, ЧРП, PLC и, на худой конец IES. То есть это что-то встраиваемое. Всё!
Что вам нечем ещё чем-то заняться на работе? Посылайте всех на с их серверами.
2. Не понимаю как вы дружите между собой выделенную сеть и требование шифрования от физической защиты до физической защиты?
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Дискуссия, достойная послеобеденной пятницы. :bayan:
Miraflores писал(а): 13 окт 2023, 15:54АСУТП, в моём понимании заканчивается операторскими панельками
Так и не ставьте сервера и рабочие станции на базе ПК, и сетей связи никаких не используйте - кто Вас заставляет? Пусть длинноногие пышногрудые секретарши носят бумажки, или голубиная почта - заказчик наверняка оценить такое решение.

У коллег другое понимание, им надо и они ставят. Придётся тоже приобрести это понимание и тогда поймёте, зачем они это делают. Другого пути нет.
[+]
Новое слово в автоматизации: ПЛК являются частью АСУ, а АРМ оператора чтобы им управлять - нет
Miraflores писал(а): 13 окт 2023, 15:54 2. Не понимаю как вы дружите между собой выделенную сеть и требование шифрования от физической защиты до физической защиты?
Для начала, надо приводить требование полностью и со ссылкой на его источник.
Коллеги, может, поправят, но если сеть выделенная то физическая защита в виде каких-то устройств или ПО отсутствует, то есть её нет - то и делаем шифрование от того чего нет до того чего нет. Посмотрите этот участок на схеме - там всё надёжно зашифровано.
То есть не делаем никакого шифрования.

Хотя стоп, у Вас же нет ни серверов ни АРМов ни сетей связи. Вам-то зачем шифроваться?
[+]
Ещё одно революционное решение - зашифрованный ModBUS RTU на RS-485
Miraflores, у Вас задача какая-то или просто поговорить об этом охота?

Отправлено спустя 16 минут 24 секунды:
Ryzhij писал(а): 12 окт 2023, 10:08 Интересно, кто и куда Вас послал, что Вы пришли с этим вопросом к нам?
Свобода - это когда тебя послали и ты пошёл, но не туда куда послали, а куда хочешь. :)
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores, Вы уж простите мне мой сарказм, но так уверенно утверждать такие вещи и задавать такие вопросы.... Обратите внимание, больше никто не ответил - просто нечего. Как детский вопрос "почему слоны?" ставит в тупик всех взрослых вокруг.

Вы задачу объясните для начала.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Looker
почётный участник форума
почётный участник форума
Сообщения: 1181
Зарегистрирован: 09 фев 2011, 11:32
Имя: Дитрих Евгений Линусович
город/регион: Донецк
Благодарил (а): 351 раз
Поблагодарили: 241 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Looker »

Jackson писал(а): 12 окт 2023, 12:13Кстати, ни об одной хакерской атаке на интерфейс RS485 с протоколом ModBUS истории ещё неизвестно.
10-15 лет назад в США "уложили" водоснабжение крупного города, через ModBus зашли, но не RS-485. Это было на https://control.com/ у них был список рассылки.
_______________________________________________
Узкая специализация в широком смысле этого слова ведет к широкой идиотизации в узком смысле этого слова . (С) Бернард Шоу

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Looker писал(а): 13 окт 2023, 21:33 10-15 лет назад в США "уложили" водоснабжение крупного города, через ModBus зашли, но не RS-485. Это было на https://control.com/ у них был список рассылки.
Вот именно, может быть другими словами, но именно это я и хотел сказать. Понятно что во всех наших стандартах про оценку рисков и модель угроз, но нигде не сказано как нужно делать. Я для себя пришёл к выводу, что строительство выделенных сетей никак не спасает от такого случая как вот описан в США. А шифрование от физической защиты до физической защиты спасает. Для доступа персонала АСУТП логин и пароль это слишком слабо. Это моя оценка рисков. Потому знаю и имею, причём имею дважды, не только ключ и сертификат, но и совершенно конкретный MAC адрес ноутбука. Кто и куда, если разрешено, тоже логируется.

Тут меня упрекали что я отказываюсь от серверов. Да это так. Зачем мне администрировать весь сервер (у нас это блэйд система) его операционную систему, ИБП, климат и т.д. если мне достаточно администрировать приложение? Где оно крутится, в докер-контейнере или виртуальной машине, меня это совершенно не волнует. Этими, серьёзными вещами пусть занимаются профессионалы ИТ-шники.
Тут меня упрекали что я отказываюсь от АРМ на ПК. Да это так, а если не получается то при первой же возможности меняю на операторскую панель. Если заменить на операторскую панель невозможно, то виртуализирую этот АРМ на линукс машине и по-максимуму изолирую гостевую систему.
Тут меня обвиняют что я не хочу обслуживать сети связи. Да это так. Пусть этим занимаются профессионалы своего дела. Как там у классика: "..я не знаю, как идет сигнал, Я не знаю принципа связи, Я не знаю, кто клал кабель ...", я занимаюсь АСУТП и просто получаю этот сервис - связь.

Что не так?

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Ryzhij »

Miraflores писал(а): 19 окт 2023, 00:27 Тут меня упрекали что я отказываюсь от серверов. Да это так. Зачем мне администрировать весь сервер (у нас это блэйд система) его операционную систему, ИБП, климат и т.д. если мне достаточно администрировать приложение? Где оно крутится, в докер-контейнере или виртуальной машине, меня это совершенно не волнует. Этими, серьёзными вещами пусть занимаются профессионалы ИТ-шники.
Тут меня упрекали что я отказываюсь от АРМ на ПК. Да это так, а если не получается то при первой же возможности меняю на операторскую панель. Если заменить на операторскую панель невозможно, то виртуализирую этот АРМ на линукс машине и по-максимуму изолирую гостевую систему.
Позвольте напомнить несколько очевидных вещей:
1. "Сервер" - это не столько хард, сколько софт. Поэтому понятие "клиент-серверная архитектура" с дополнительным хардом и, соответственно, со всеми вами описанными ужасами корреспондируется очень слабо. Вы же готовы "администрировать приложение", вот и администрируйте.
2. АРМ на базе ПК куда как легче сопровождать в эксплуатации, чем АРМ на базе панели оператора, проект в которой куда как жестче привязан к харду, нежели проект в ПК.
Вот, перестали поставлять такие панели, и что дальше? А дальше миграция на новое оборудование. Где миграция пройдёт быстрее и проще, там, где панели или там, где ПК?
3. Совсем короткий пункт - "Исторические ТРЕНДЫ". Сравните сами возможности панели и ПК.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 19 окт 2023, 00:27 Тут меня упрекали что я отказываюсь от серверов.
Вас никто не упрекал. Читайте внимательно.
Miraflores писал(а): 19 окт 2023, 00:27 Тут меня упрекали что я отказываюсь от АРМ на ПК.
Тоже нет.
Miraflores писал(а): 19 окт 2023, 00:27 Тут меня обвиняют что я не хочу обслуживать сети связи.
И тоже нет. Дурь какую-то выдумываете.

Я Вам так скажу. Ни одно обсуждение здесь на форуме ещё не привело к чему-то толковому, если автор темы не отвечает на вопросы, которые ему задают. Он как-бы сам с собой беседует - мы-то тогда зачем? :) Давно здесь сидим, опыт, знаете ли. А в сетях (в смысле общения) ещё с тех пор, когда интернета не изобрели.
Jackson писал(а): 13 окт 2023, 21:19 Вы задачу объясните для начала.
Jackson писал(а): 13 окт 2023, 16:34 Miraflores, у Вас задача какая-то или просто поговорить об этом охота?
Jackson писал(а): 12 окт 2023, 12:13 Вопрос непонятен.
И всё без ответов. Какова цель - до сих пор неизвестно.
Miraflores писал(а): 19 окт 2023, 00:27 Что не так?
Всё не так. :) Читайте внимательно что написано, а не из головы придумывайте что Вам больше по душе пришлось. Если придумывать - зачем тогда это всё делать напоказ?
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Просят конкретнее вопрос. Хорошо. Итак у меня вопрос:

На основании оценки какого риска от какой угрозы можно сделать вывод о необходимости строительства выделенной сети связи объединяющей несколько цехов в каждом из которых несколько производственных линий ?

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Ryzhij »

Miraflores писал(а): 21 окт 2023, 09:09 Просят конкретнее вопрос. Хорошо. Итак у меня вопрос:

На основании оценки какого риска от какой угрозы можно сделать вывод о необходимости строительства выделенной сети связи объединяющей несколько цехов в каждом из которых несколько производственных линий ?
Не затруднит ли Вас уточнить начальные условия задачи?
Какая-то сеть, возможно объединённая с офисной, уже существует?
Есть насущная необходимость интеграции существующей АСУТП в АСОДУ?
Поймите правильно, наш штатный экстрасенс в декрете...
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 21 окт 2023, 09:09 Просят конкретнее вопрос. Хорошо. Итак у меня вопрос:

На основании оценки какого риска от какой угрозы можно сделать вывод о необходимости строительства выделенной сети связи объединяющей несколько цехов в каждом из которых несколько производственных линий ?
Я высажу своё мнение проще и без уточнений.
Всегда нужно делать физически выделенную сеть для каждого отдельно взятого технологического элемента (цех, группа цехов, производственная линия и т.п.). Однозначно тем более офисная сеть должна быть отделена от производственной. Больше того, даже в офисной сети подразделения, занимающиеся вещами, составляющими ноу-хау, коммерческую или государственную тайну, должны быть выделенными физически. Доступ из одной сети в другую может быть возможным, но в строго определённом месте, по строго определённому регламенту и строго определённым образом. В местах, где работают с гостайной прмиенятся даже меры экранирования всего оборудования и кабелей - чтобы нельзя было сеть положить просто каким-то пробкотроном, и чтобы трафик нельзя было прослушать по радио.

Какие риски? Да очень просто. На форуме почитайте про вирус Стакснет на АЭС в Бушере. Как был положен цех с центрифугами? Грубо говоря, кто-то из операторов на БЩУ принёс порно на флешке, воткнул - и с этой флешки разлетелся "вирус", дойдя до локальных САУ и далее до ПЛК, положив там всё. Итог - угроза серьезной ядерной аварии.

Как простым способом положить всю локалку? Да оч.просто. С любого компа в сети поковыряться в его сетевых настройках и объявить себя мастер-браузером, потом то же самое сделать на соседнем компе. Всё, вся сеть лежит. Если это единая сеть от секретарши директора до металлорежущего станка, то и станок тоже ляжет. Оно Вам надо?

Ещё можете нагуглить тут на форуме оч.смешное видео, где через воткнутый в операторский АРМ GSM-свисток откуда-то из интернета хацкер умудрился сжечь ячейку 6 киловольт, включив заземлитель при включенном выключателе. Красивый фейерверк получился. Видео смешное, потому что это физически невозможно (там механическая блокировка, снимаемая только вручную с места). Сделано было для инвесторов, эффекты впечатляют. Но сам факт того что комп с USB-свистком оказался в той же сети что и АСУ ЭС - вот результат того, что будет если всё будет сидеть в одной сети.

Последний пример. Вы УЗИ или МРТ давно делали? Установку видели? Знаете как можно вынуть оттуда результат обследования? Только на компакт-диск. В совсем современных установках в него встроен ещё один комп с SSD и езернетом, вместо компакт-диска основной комп пишет данные на этот SSD, а коммуникационный с этого SSD делает доступным уже по LAN. И то это далеко не везде и только там где админы подготовили под это сеть, выделив сеть мед.оборудования в отдельную. Представьте что будет если у секретарши директора клиники будет доступ к аппарату ИВЛ в операционной - сама-то она ничего не сотворит, однако её приятель "случайно" будет иметь возможность убить человека на операционном столе.

Какие ещё нужны аргументы....

А главный аргумент - здравый смысл. Зачем? Зачем нужен доступ из офиса к станкам? С какой целью? Я не понимаю. Не надо делать то,что не требуется - делайте только то, что необходимо, и всё.
Почему виндовс дырявая как дуршлаг? Да потому что она умеет вообще всё, что надо и не надо - всё подряд. А средства защиты - это просто запреты ненужных функций. Зачем реализовывать функции а потом бороться с двумя третями их? Глупо. Две трети ненужного просто не надо делать.

Данные из офиса от конструктора к технологам можно передать и через флешку и через интернет или через файлохранилище. Точно также эти данные технолог может передать в станок. Не нужно для этого иметь прямой доступ от конструктора до станка. А возможно и Ethernet совсем не нужен до станка. Может там банальный ModBUS-RTU достаточно, или EtherCAT на худой конец. Физическая несовместимость интерфейсов - лучший "сетевой экран", лучше не придумаешь.

Не надо ставить дверь с замком и системой охраны, если через эту дверь никого нельзя пускать. Зачем стену портить? Сделайте гладкую стену и всё, и не нужен будет ни замок ни СКУД ни охрана. Зачем? - вот главный вопрос. Ели Вы собираетесь объединить офис с цехом в одну сеть, то сначала найдите внятный ответ: ЗАЧЕМ? И, скорее всего, Вы этого ответа не найдёте, а раз не найдёте - незачем и делать так.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Да, всё есть. Хорошая корпоративная сеть передачи данных, правильно построенная; информационные системы разные; конечно же АСУТП технологических линий. Всё работало и вдруг люди испугались какого-то риска чего-то так сильно что решили построить выделенную сеть передачи данных объединяющую исключительно АСУТП технологических линий. Практически это десятки километров сети и десятки производственных линий.
И вот я думаю, что бы это могло быть? Действительно хоть экстрасенса зови. Почти как корабли в Бермудском треугольнике находили - корабль цел, признаков насильственных действий нет, но команда покинула корабль в неизвестном направлении. Чего испугались непонятно...
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Ryzhij писал(а): 21 окт 2023, 10:21 Есть насущная необходимость интеграции существующей АСУТП в АСОДУ?
Вот да! Зачем?

Отправлено спустя 4 минуты 41 секунду:
[+]
Miraflores писал(а): 21 окт 2023, 11:38 Почти как корабли в Бермудском треугольнике находили - корабль цел, признаков насильственных действий нет, но команда покинула корабль в неизвестном направлении. Чего испугались непонятно...
Всё там было понятно - в Бермудском треугольнике. Меньше читайте публицистику. Кстати, Бермудский треугольник славится как раз очень малым количеством происществий, а не большим. Есть места где и намного чаще и действительно непонятное творится. Это я Вам как моряк говорю. Бермудский треугольник - просто раскрученный бренд, и всё.
Отправлено спустя 19 минут 28 секунд:
Miraflores писал(а): 21 окт 2023, 11:38 Практически это десятки километров сети и десятки производственных линий.
и что в этом странного?
Перекладывать в е эти десятки километров нет нужды. Достаточно в нужных местах сети просто разделить. Это по месту смотреть надо, как лучше сделать.
Выдернули кабель из офисной сети в АСУшнцю - всё, вот и разделили физически. Остается сделать так чтобы оба сегмента продолжили функционировать (какая сеть была - мы не знаем, может сервер или контроллер доменов добавить придется.

А какие данные нужно гонять из одной сети в другую: берите карандаш, выписывайте в список столбиком, и дальше подумать как эту передачу лучше обеспечить.

Это сильно утрировано конечно, но идею вижу такую.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Jackson писал(а): 21 окт 2023, 12:35 Перекладывать в е эти десятки километров нет нужды. Достаточно в нужных местах сети просто разделить. Это по месту смотреть надо, как лучше сделать.
Если отставить в сторону эмоции то вот она здравая мысль. Но не всегда это так. Если обратиться к нормативным документам, там чётко прописано в каком случае требуется именно выделенная сеть. Если объекту управления по-жизни прописана ПАЗ и эта ПАЗ содержит в своём составе сеть передачи данных, то это должна быть выделенная, изолированная сеть. В остальных случаях хозорган самостоятельно принимает решение какие компенсирующие меры от каких угроз предпринять для снижения рисков для ОКИИ.

Вот вопрос то у меня и был, почему люди приняли такое решение - покинуть построенную на дорогом оборудовании, высокопроизводительную, обслуживаемую сеть передачи данных и начать строить свою "из говна и палок" и не имея соответствующих знаний и опыта ?
В аналогии с Бермудским треугольником - оставить корабль и пересесть на шлюпки.

Я конечно же спрашивал у своих бывших коллег - как так произошло? И тут опять полная аналогия с тем что поёт Высоцкий про Бермудский треугольник: "... двух безумных наших братьев к нам в больницу привезли ... что там было как ты спасся? ... но механик только трясся и чинарики стрелял."

Говорят что всё было как обычно, потихоньку собачились с итшниками, собачились - собачились, но ничто не предвещало беды. И вдруг, было принято такое решение - строить выделенную сеть. Как и почему это произошло никто объяснить не может.

Вот почему я и попросил здесь разъяснений, может у кого был подобный опыт.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Ryzhij »

Есть ещё одна народная мудрость, нет, даже две:
1. "Начав в потёмках, закончишь во тьме";
2. "Не стоит позволять хвосту вилять собакой", - неплохо отражающие законы общественного бытия.

Первая хорошо ложится на ситуацию строительства дендрофекальным способом (проект-то хоть есть?) промышленной сети.
Вторая - про взаимоотношения служб безопасности и IT с производством и АСУТП.
У вас там IT для производства, или производство для IT?

Либо служба АСУТП "рождает Бабу-Ягу в своём коллективе" и обучает своих специалистов "паучье-сетевым" премудростям, либо часть спецов из IT переходят в службу АСУТП и под чутким присмотром товарищей создают и обслуживают выделенную производственно-технологическую сеть предприятия.
В противном случае - смотрите первый постулат (про грядущую тьму).
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

keysansa
эксперт
эксперт
Сообщения: 2471
Зарегистрирован: 20 дек 2018, 04:45
Имя: Сергей
Страна: РБ/РФ
город/регион: РФ Сергиев Посад
Благодарил (а): 2121 раз
Поблагодарили: 208 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение keysansa »

Miraflores писал(а): 13 окт 2023, 15:54 1. коллеги зачем вы берёте к себе сервера и рабочие станции на основе ПК, сети связи? Зачем это вам нужно? АСУТП, в моём понимании заканчивается операторскими панельками, ЧРП, PLC и, на худой конец IES. То есть это что-то встраиваемое. Всё!
Интересна тонкая разница, которую вы видите между начинкой панели и сервера/ПК... Поясните?

Отправлено спустя 9 минут 9 секунд:
Jackson писал(а): 21 окт 2023, 12:35 Перекладывать в е эти десятки километров нет нужды. Достаточно в нужных местах сети просто разделить. Это по месту смотреть надо, как лучше сделать.
Выдернули кабель из офисной сети в АСУшнцю - всё, вот и разделили физически. Остается сделать так чтобы оба сегмента продолжили функционировать (какая сеть была - мы не знаем, может сервер или контроллер доменов добавить придется.
Если разговор идет о десятках километров - скорее всего там оптика, прокладывать ничего не надо, достаточно обварить еще жилку/пару - и сеть физически будет разделена с офисом.
В трансформаторной будке живет трансформаторная собака (с) Прозрачный гонщик.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 21 окт 2023, 15:20 Но не всегда это так.
Я же написал - по месту.
Miraflores писал(а): 21 окт 2023, 15:20 Если обратиться к нормативным документам, там чётко прописано
Так вы уже наконец сообщите нам и расскажите, Вам шашечки нужны или ехать? Чтобы было хорошо - надо разделить. Чтобы было по нормативам - надо читать нормативы. Но ни в одном нормативе не сказано, что сети разделять запрещено.
Если Вы разделите сети там, где по нормативу этого не требуется - от этого хуже станет чтоли?
Miraflores писал(а): 21 окт 2023, 15:20 Вот вопрос то у меня и был, почему люди приняли такое решение
Стоп. Какие-то люди где-то на 1/6 части суши приняли решение. Другой человек где-то в интернете задаёт вопрос: почему те люди приняли такое решение. Как Вы полагаете, мы можем каким-то образом узнать, что у тех людей на уме было? Может Вам просто у них спросить?
Miraflores писал(а): 21 окт 2023, 15:20потихоньку собачились с итшниками
О, ещё и ИТшники, неизвестные нам, там подключились. И что, в этой Вашей местной санта-барбаре мы как-то можем разобраться? Тут даже одного телепата и одного экстрасенса будет недостаточно, но у нас ни одного нет.

Читайте что Ryzhij Вам ответил, всё по-делу и кратко. Разберитесь там у себя сначала, кто рулит. А чтобы от ИТшников отвязаться - просто разделите сети и всё, и нефиг им в АСУшную часть лезть.
keysansa писал(а): 21 окт 2023, 19:04 Интересна тонкая разница, которую вы видите между начинкой панели и сервера/ПК... Поясните?
Ну, сейчас вообще ящик Пандоры откроем. Может не надо?

Отправлено спустя 15 минут 7 секунд:
На бытовом уровне. Можно дома прекрасно обходиться без антивируса вообще. Совсем. Достаточно держать брандмауэр в режиме тотального запрета, и разрешить в нём только то, чем Вы лично (а не Ваш компьютер) пользуетесь. И всё. Вот пример того, что такое "делать только необходимое". Компу кстати резко полегчает.
А уж если Вы намеренно разрешите брандмауэру пропускать откуда угодно что угодно - это уже не защита. Это диверсия. А против лома нет приёма.

Также и в сетях. Объединив сети, у Вас там люди сами создали возможность того, что ИТшники засунут в АСУшную часть свои руки и будут требовать жить по своим правилам. А теперь сколько угодно можно тыкать в нормативы и прочее - это всё бессмысленно, только время теряется впустую. "Надо сделать именно то, что необходимо". Не меньше, но и не больше, и всё будет как надо, и собачиться никто не будет.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Looker
почётный участник форума
почётный участник форума
Сообщения: 1181
Зарегистрирован: 09 фев 2011, 11:32
Имя: Дитрих Евгений Линусович
город/регион: Донецк
Благодарил (а): 351 раз
Поблагодарили: 241 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Looker »

Делали автоматику энергоузла на фабрике банкнотной бумаги - сети не объединились.
_______________________________________________
Узкая специализация в широком смысле этого слова ведет к широкой идиотизации в узком смысле этого слова . (С) Бернард Шоу

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Ryzhij писал(а): 21 окт 2023, 17:30 Вторая - про взаимоотношения служб безопасности и IT с производством и АСУТП.
У вас там IT для производства, или производство для IT?
АСУТП из формулы выпало. К чему Вы относите АСУТП к производству или к IT ? Нужно уточнить.
keysansa писал(а): 21 окт 2023, 19:04 Интересна тонкая разница, которую вы видите между начинкой панели и сервера/ПК... Поясните?
Поясняю. В нормативных документах есть требования об установке обновлений операционной системы если таковые появляются. Странное требование, его проблематично выполнить и непонятно зачем, если АРМ изолирован. Это отмечали даже представители иностранных брендов, но это не повлияло на нормативную базу. Может быть пока не повлияло, но очевидно что требуется уточнение.
Для панелек таковые обновления не появляются.

olexsa
эксперт
эксперт
Сообщения: 1584
Зарегистрирован: 29 май 2009, 21:40
Имя: Александр
Страна: Россия
город/регион: Курган
Благодарил (а): 86 раз
Поблагодарили: 208 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение olexsa »

Miraflores писал(а): 21 окт 2023, 21:40 В нормативных документах есть требования об установке обновлений операционной системы если таковые появляются.
В каких именно нормативных документах? Уровень компетенции - законы, постановления федерального уровня, отраслевые, ведомственные, производственные?
Вот к примеру, требования по обновлению операционной системы АРМ, который используется в АСУТП, в одном из ведомств: "Запрещается автоматическое обновление ОС. Обновление ОС может быть выполнено после получения письменного разрешения от производителя прикладного ПО. .... " Ну и там далее по тексту еще уточнения. Но суть - во главу угла прикладное ПО АСУТП, а не ОС.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 21 окт 2023, 21:40 АСУТП из формулы выпало. К чему Вы относите АСУТП к производству или к IT ? Нужно уточнить.
Если Вы нас спрашиваете, то уточнение есть в самой аббревиатуре АСУТП. Но это как раз Вас и спросили: у Вас-то там как это выглядит? Сейчас.
Miraflores писал(а): 21 окт 2023, 21:40 Поясняю. В нормативных документах есть требования об установке обновлений операционной системы если таковые появляются.
Разговариваем предметно: название норматива, номер, цитату из него - в студию. Иначе это всё фантазии какие-то.
Miraflores писал(а): 21 окт 2023, 21:40Для панелек таковые обновления не появляются.
Уверены? Или просто не видели их? Системный софт для операторских панелей очень часто обновляется производителем панелей.
Miraflores писал(а): 21 окт 2023, 21:40 но это не повлияло на нормативную базу.
А как оно может повлиять на нормативную базу? Хвост собакой вилять не должен. Или должен?
olexsa писал(а): 21 окт 2023, 22:02Вот к примеру, требования по обновлению операционной системы АРМ, который используется в АСУТП, в одном из ведомств
Вот это уже ближе к делу. :good:

Отправлено спустя 3 минуты 16 секунд:
И я уже спрашивал, ответа так и не получил много раз.

Miraflores, лично Вы как предпочитаете работать: по нормативам или по здравому смыслу? Только без юления, пояснений и уточнений, пожалуйста. Коротко парой слов: либо одно, либо другое.

И кстати, должность у Вас какая?
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Miraflores
здесь недавно
здесь недавно
Сообщения: 55
Зарегистрирован: 28 апр 2017, 21:43
Имя: Владимир
Страна: Россия
город/регион: Сыктывкар
Благодарил (а): 11 раз
Поблагодарили: 9 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение Miraflores »

Jackson писал(а): 22 окт 2023, 16:55 Если Вы нас спрашиваете, то уточнение есть в самой аббревиатуре АСУТП. Но это как раз Вас и спросили: у Вас-то там как это выглядит? Сейчас.

И кстати, должность у Вас какая?
Как Вы лихо противопоставили меня коллективу. Это же технический форум, а не профсоюзный. Я всего лишь спросил то, что мне было непонятно. Что уточняет аббревиатура, букву П в конце АСУТП имеете в виду? Это "процесс". Специальность моя по диплому АСУТПиП, где последняя буква П это "производство". Но так уж сложилось что к ERP и MES за время трудовой деятельности отношения не имел. ИТшники занимаются управлением производством. То есть Вы считаете что АСУТП в таком случае, без второго П, не имеет отношения к производству? Специальность в ВУЗах сейчас переименовывают на "управление в технических системах", УТС. Буква П совсем пропала.

Кстати, это неважно, всегда считал себя инженером.

И вот olexsa тоже отметил что ведомственные нормативные документы не противоречат федеральным, но при некотором условии в них прописанном. Вот ведь словоблуды.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

Miraflores писал(а): 22 окт 2023, 18:31 То есть Вы считаете что АСУТП в таком случае, без второго П, не имеет отношения к производству?
Мы можем по-разному считать и мы скажем как, не секрет это.
Просто при специальности по диплому "АСУТПиП" и при сознании себя инженером, и ещё и при связанности с MES, такого понятия просто не может не быть, оно должно быть неизбежно. Вот мы (в моём пока лице) и интересуемся: какое оно у Вас в голове и как с этим обстоят дела у Вас на объекте. От этого и начнутся дальнейшие пляски. И заодно ещё один интерес: какое уч.заведение заканчивали? Нам интересно знать это место, после которого такие вопросы у выпускников остаются.
Miraflores писал(а): 22 окт 2023, 18:31Кстати, это неважно
В смысле? Если вопрос задали, значит наверное он как-то важен для разговора. Или Вам виднее что для нас важно а что нет? Кстати, инженер - это не должность, а мировоззрение. Должность - это когда ещё конкретизировано. "Инженер ТБ" например, или "инженер-конструктор по электрооборудованию". Нам совершено неинтересно кем Вы себя считаете. Вы задали большой вопрос, и нам интересно с какой должности Вы на него смотрите, потому что с разных должностей это всё очень по-разному выглядит. Вы считаете что не важно на каком языке с Вами разговаривать? Нет так нет, но и ответов корректных тогда не ждите.
Miraflores писал(а): 22 окт 2023, 18:31Вот ведь словоблуды.
Словоблудие - это вместо ответов на простые вопросы что-то там рассуждать. Немногие тут заданные Вам вопросы получили ответы. И решать за людей, важны им их вопросы или нет - оно же.
Miraflores писал(а): 22 окт 2023, 18:31 И вот olexsa тоже отметил что ведомственные нормативные документы не противоречат федеральным
И вот это вот тоже словоблудие - выдумывать то чего не было и этим обосновывать свою точку зрения. Уважаемый olexsa ни разу ничего не упомянул про противоречия или их отсутствие в нормативах между собой. Он эти нормативы даже не назвал, так что и уровень их точно неизвестен. Точнее его - единственного норматива, косвенно упомянутого. Сам себе он вряд ли противоречит. :)

Давайте-ка для начала корректно вести дискуссию. А то пока это всё только флудилки достойно.
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Флудилка обо всём»