- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Прошу помощи в написании Инструкции по ЗИ
Модератор: Глоб.модераторы
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Здравствуйте! Недавно вышел приказ ФСЭК №31 (наверняка многие о нём уже слышали) согласно которого огромное значение теперь уделяется защите информации на АСУ ТП.
В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП. Сперва всё выглядело не очень сложно, но теперь я сел на нескольких моментах:
1. Как можно классифицировать сотрудников, которые имеют безусловный доступ в помещения АСУ ТП? В смысле, что мастера и инженера понятно, но если там кто из начальства цеха захочет туда зайти (а делать ему там совершенно нечего), то как тогда? Не пускать? Ну и в этих помещениях, как правило, стоят и электрощитки, и шкафы видеонаблюдения, и даже шкафы ЦАСОДУ сейчас вот у нас поставили - как классифицировать ещё и их обслуживающий персонал, не говоря о просто уборщицах и, хоть и редких, но нужных, кондиционерщиках? Есть какие-то модели, или надо придумывать с нуля?
2. На кого возложить ответственность за контроль посещения помещений? Если на киповцев, то чего им там делать, если пришли электрики, например? если на начальников смен, то у них и своей работы дофига, как я понимаю..
Дело в том, что классификации помещений и самих АСУ ТП у нас ещё не было, следовательно и рекомендаций пока нет никаких, а инструкция, как положена, должна быть написана ещё позавчера!
Очень сильно надеюсь на вашу помощь!
В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП. Сперва всё выглядело не очень сложно, но теперь я сел на нескольких моментах:
1. Как можно классифицировать сотрудников, которые имеют безусловный доступ в помещения АСУ ТП? В смысле, что мастера и инженера понятно, но если там кто из начальства цеха захочет туда зайти (а делать ему там совершенно нечего), то как тогда? Не пускать? Ну и в этих помещениях, как правило, стоят и электрощитки, и шкафы видеонаблюдения, и даже шкафы ЦАСОДУ сейчас вот у нас поставили - как классифицировать ещё и их обслуживающий персонал, не говоря о просто уборщицах и, хоть и редких, но нужных, кондиционерщиках? Есть какие-то модели, или надо придумывать с нуля?
2. На кого возложить ответственность за контроль посещения помещений? Если на киповцев, то чего им там делать, если пришли электрики, например? если на начальников смен, то у них и своей работы дофига, как я понимаю..
Дело в том, что классификации помещений и самих АСУ ТП у нас ещё не было, следовательно и рекомендаций пока нет никаких, а инструкция, как положена, должна быть написана ещё позавчера!
Очень сильно надеюсь на вашу помощь!
-
- администратор
- Сообщения: 18749
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
Прошу помощи в написании Инструкции по ЗИ
А маразм, тем временем, крепчал.
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Увы, это лишь мне один начальник участка наговорил, а остальные причастные молчат пока.. Боюсь даже звонить в СБ - там такие параноики сидят, что проще повесится сразу! :(
-
- администратор
- Сообщения: 18749
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
Прошу помощи в написании Инструкции по ЗИ
Поскольку никто не знает как это делать - пишите скорее. Как в песне поётся: "И тот кто первый доползёт - тот и расскажет кто был прав, когда припрут"
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Эх.. А я так надеялся не быть "первой ласточкой", более, правда, похожей на пингвина.. Не судьба!.
-
- почётный участник форума
- Сообщения: 1073
- Зарегистрирован: 29 апр 2014, 09:57
- Имя: Рыбкин Владимир Геннадьевич
- Страна: Россия
- город/регион: Тверь
- Благодарил (а): 73 раза
- Поблагодарили: 147 раз
Прошу помощи в написании Инструкции по ЗИ
Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Увы, моя должность называется ведущий специалист по защите информации на АСУ ТП, в связи с этим все стрелки переводятся как раз на меня, а то что должностной инструкции нет (ну, я её написал себе сам, но согласовывают третий месяц) - это вообще никого не интересующий факт!rwg писал(а):Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.
Как бы самому не стать держимордой.. Ведь требовать будут с меня..
-
- завсегдатай
- Сообщения: 582
- Зарегистрирован: 04 фев 2014, 08:41
- Имя: Тарас Валерьевич
- Страна: Россия
- город/регион: Екатеринбург
- Благодарил (а): 78 раз
- Поблагодарили: 98 раз
Прошу помощи в написании Инструкции по ЗИ
Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Взгляд знатока намного уже кругозора неуча. Ю.Базылев
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Уже есть один момент, когда требуют применять к помещениям АСУ ТП требования по безопасности, как к ЦОД (а конкретно - как к серверной), но у этих же помещений абсолютно разный функционал! Ну, пусть не абсолютно, но во многом
-
- почётный участник форума
- Сообщения: 5790
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 673 раза
- Поблагодарили: 840 раз
Прошу помощи в написании Инструкции по ЗИ
Во-первых, инженеры.
А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- осмотрелся
- Сообщения: 125
- Зарегистрирован: 25 авг 2015, 11:55
- Имя: Ефименко Роман Владимирович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 17 раз
Прошу помощи в написании Инструкции по ЗИ
Тут можно почитать. Не совсем то, но общее направление немного становится понятно.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Спасибо, за поправку! Конечно, инженеры
Это мне как раз понятно, поэтому и думал сперва напрячь со списком доступа именно начальника цеха. Но и ему надо как-то сформулировать по каким критерием народ в этот список вносить, а не как он хочет. А то он (не дай Бог!) весь цех туда запишет, чтобы не заморачиваться, а по шапке - мне.Ryzhij писал(а):А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Спасибо! Написано доступно и кое-какие моменты действительно пригодятся. Надо будет продавливать решение о назначении "смотрящего" за помещениями АСУ ТП, как я понял..
-
- администратор
- Сообщения: 18749
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
Прошу помощи в написании Инструкции по ЗИ
Это и я тоже рекомендую сделать. Так будет лучше.
В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений. Две разные таблицы (общая и частная) нужны потому, что вторая скажет людям "что делать прямо здесь и сейчас", а первая - на будущее, если предприятие будет расширяться или модернизироваться.
Поскольку нет никаких норм ИБ в АСУТП - придумывайте их как угодно, вот например Вам план.
Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Спасибо. Действительно полезные замечания! Я посмотрю, как их можно использовать.TEB писал(а):Это я и рекомендую сделать. Так будет лучше.
В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений.
Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?
И инструкция будет внутренняя, но не ДСП, потому что нужна общая, а не конкретно по каждому цеху.
-
- администратор
- Сообщения: 18749
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
Прошу помощи в написании Инструкции по ЗИ
Так это всё упрощает! Продумать надо, конечно, конкретные меры, а в тексте не детализировать, типа "в общем".
Отправлено спустя 3 минуты 51 секунду:
Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:
Как ремонтировать - а х.з., схема приложена, разбирайся. :)Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Зато сейчас по любому чиху - видеоинструкция! Подробнейшая! На 10-20 минут как, например, сменить тему в Винде или батарейки в пульте ДУTEB писал(а):Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:Как ремонтировать - а х.з., схема приложена, разбирайся. :)Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.
Как инструкция выйдет на этап согласования - я её здесь выложу шаблоном (если не запрещено, конечно), вдруг ещё кому пригодится! Закон №31 - он для всех :)
-
- администратор
- Сообщения: 18749
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1852 раза
Прошу помощи в написании Инструкции по ЗИ
Конечно!
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 144
- Зарегистрирован: 20 янв 2015, 10:13
- Имя: Алексей
- Страна: Россия
- Поблагодарили: 10 раз
Прошу помощи в написании Инструкции по ЗИ
Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.
Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.
Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.
-
- эксперт
- Сообщения: 3643
- Зарегистрирован: 10 ноя 2009, 04:58
- Имя: Толмачев Михаил Алексеевич
- город/регион: г. Чехов, МО
- Благодарил (а): 8 раз
- Поблагодарили: 286 раз
Прошу помощи в написании Инструкции по ЗИ
Вот! Яжговорил!!! Вот они организационные мероприятия по защите АСУТП от кибер-атак!
-
- осмотрелся
- Сообщения: 144
- Зарегистрирован: 20 янв 2015, 10:13
- Имя: Алексей
- Страна: Россия
- Поблагодарили: 10 раз
Прошу помощи в написании Инструкции по ЗИ
Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.
я вообще не понимаю как это будет реализовываться на практике.
я вообще не понимаю как это будет реализовываться на практике.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
у меня есть несколько нароботок, но они очень и очень "сырые".. Но вот только что запустили тендер среды фирм, занимающихся ЗИ на АСУ ТП. Пока только будем класифицировать, месяца через два (надеюсь), а в следующем году и внедрять.Alex question писал(а): Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.
Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.
Но сырые инструкции не вижу смысла вывешивать, как что-то согласуют, так шаблоном поделюсь, чтобы было наиболее близко к теме.
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Поправте меня, если я ошибаюсь, но, по-моему, кибер-атаки - это чисто программные (ну может частично и аппаратные, да) решения. Здесь же от меня требуют защитить и помещения и ещё чего-нибудь в догонку, сами не знают чего, но согласно приказу №31!
-
- здесь недавно
- Сообщения: 16
- Зарегистрирован: 07 сен 2016, 12:58
- Имя: Куприков Валерий
- Страна: Россия
- город/регион: Новомосковск
Прошу помощи в написании Инструкции по ЗИ
Главное - они оставили хорошую лазейку: "Принимаемые организационные и технические меры защиты информации: не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления." Поэтому особо рьяным проверяющим можно этим пунктом в нос-то и потыкать! :)Alex question писал(а): Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.
я вообще не понимаю как это будет реализовываться на практике.
-
- почётный участник форума
- Сообщения: 5790
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 673 раза
- Поблагодарили: 840 раз
Прошу помощи в написании Инструкции по ЗИ
У нас сие оформлено следующим образом.
Техническая часть: Камеры видеонаблюдения по 1-2 на электропомещения.
Организационно: Любой работник, кому надо бывать в определённом помещении, проходит инструктаж.
Есть утверждённые списки лиц с правом проведения работ единолично. Иногда в этих списках указаны не лица, а должности.
Если полез куда тебе не положено (помним о камерах) - наказывают.
Подрядчики, которым надо работать в контроллерных, подписывают наряд на работу не только у руководства цеха и установки, но предварительно и у начальника участка АСУТП. Иногда им дополнительно выделяется наблюдающий из числа специалистов.
В обязанности обслуживающего персонала входит проверять у лиц, находящихся в контроллерных наличие нарядов-допусков.
После одного-двух публичных наказаний шатания через контроллерные и тому подобные помещения прекращаются.
Техническая часть: Камеры видеонаблюдения по 1-2 на электропомещения.
Организационно: Любой работник, кому надо бывать в определённом помещении, проходит инструктаж.
Есть утверждённые списки лиц с правом проведения работ единолично. Иногда в этих списках указаны не лица, а должности.
Если полез куда тебе не положено (помним о камерах) - наказывают.
Подрядчики, которым надо работать в контроллерных, подписывают наряд на работу не только у руководства цеха и установки, но предварительно и у начальника участка АСУТП. Иногда им дополнительно выделяется наблюдающий из числа специалистов.
В обязанности обслуживающего персонала входит проверять у лиц, находящихся в контроллерных наличие нарядов-допусков.
После одного-двух публичных наказаний шатания через контроллерные и тому подобные помещения прекращаются.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)