1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Прошу помощи в написании Инструкции по ЗИ

Ответить

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

Здравствуйте! Недавно вышел приказ ФСЭК №31 (наверняка многие о нём уже слышали) согласно которого огромное значение теперь уделяется защите информации на АСУ ТП.
В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП. Сперва всё выглядело не очень сложно, но теперь я сел на нескольких моментах:

1. Как можно классифицировать сотрудников, которые имеют безусловный доступ в помещения АСУ ТП? В смысле, что мастера и инженера понятно, но если там кто из начальства цеха захочет туда зайти (а делать ему там совершенно нечего), то как тогда? Не пускать? Ну и в этих помещениях, как правило, стоят и электрощитки, и шкафы видеонаблюдения, и даже шкафы ЦАСОДУ сейчас вот у нас поставили - как классифицировать ещё и их обслуживающий персонал, не говоря о просто уборщицах и, хоть и редких, но нужных, кондиционерщиках? Есть какие-то модели, или надо придумывать с нуля?

2. На кого возложить ответственность за контроль посещения помещений? Если на киповцев, то чего им там делать, если пришли электрики, например? если на начальников смен, то у них и своей работы дофига, как я понимаю..

Дело в том, что классификации помещений и самих АСУ ТП у нас ещё не было, следовательно и рекомендаций пока нет никаких, а инструкция, как положена, должна быть написана ещё позавчера!

Очень сильно надеюсь на вашу помощь!
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Jackson »

:o
А маразм, тем временем, крепчал.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

TEB писал(а): :o
А маразм, тем временем, крепчал.
Увы, это лишь мне один начальник участка наговорил, а остальные причастные молчат пока.. Боюсь даже звонить в СБ - там такие параноики сидят, что проще повесится сразу! :(
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Jackson »

Поскольку никто не знает как это делать - пишите скорее. Как в песне поётся: "И тот кто первый доползёт - тот и расскажет кто был прав, когда припрут"
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

TEB писал(а): Поскольку никто не знает как это делать - пишите скорее. Как в песне поётся: "И тот кто первый доползёт - тот и расскажет кто был прав, когда припрут"
Эх.. А я так надеялся не быть "первой ласточкой", более, правда, похожей на пингвина.. Не судьба!.

rwg
почётный участник форума
почётный участник форума
Сообщения: 1039
Зарегистрирован: 29 апр 2014, 09:57
Имя: Рыбкин Владимир Геннадьевич
Страна: Россия
город/регион: Тверь
Благодарил (а): 54 раза
Поблагодарили: 131 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение rwg »

Valeriy писал(а): В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП.
Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

rwg писал(а):
Valeriy писал(а): В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП.
Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.
Увы, моя должность называется ведущий специалист по защите информации на АСУ ТП, в связи с этим все стрелки переводятся как раз на меня, а то что должностной инструкции нет (ну, я её написал себе сам, но согласовывают третий месяц) - это вообще никого не интересующий факт!
Как бы самому не стать держимордой.. Ведь требовать будут с меня..
Аватара пользователя

dtv
завсегдатай
завсегдатай
Сообщения: 575
Зарегистрирован: 04 фев 2014, 08:41
Имя: Тарас Валерьевич
Страна: Россия
город/регион: Екатеринбург
Благодарил (а): 59 раз
Поблагодарили: 89 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение dtv »

Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Взгляд знатока намного уже кругозора неуча. Ю.Базылев

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

dtv писал(а): Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Уже есть один момент, когда требуют применять к помещениям АСУ ТП требования по безопасности, как к ЦОД (а конкретно - как к серверной), но у этих же помещений абсолютно разный функционал! Ну, пусть не абсолютно, но во многом

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5620
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 544 раза
Поблагодарили: 706 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Ryzhij »

Valeriy писал(а): В смысле, что мастера и инженера...
Во-первых, инженеры.
А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

erv_asutp
осмотрелся
осмотрелся
Сообщения: 125
Зарегистрирован: 25 авг 2015, 11:55
Имя: Ефименко Роман Владимирович
Страна: Россия
город/регион: Москва
Благодарил (а): 1 раз
Поблагодарили: 14 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение erv_asutp »

03-05.pdf
Тут можно почитать. Не совсем то, но общее направление немного становится понятно.
У вас нет необходимых прав для просмотра вложений в этом сообщении.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

Ryzhij писал(а):
Valeriy писал(а): В смысле, что мастера и инженера...
Во-первых, инженеры.
Спасибо, за поправку! Конечно, инженеры
Ryzhij писал(а):А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.
Это мне как раз понятно, поэтому и думал сперва напрячь со списком доступа именно начальника цеха. Но и ему надо как-то сформулировать по каким критерием народ в этот список вносить, а не как он хочет. А то он (не дай Бог!) весь цех туда запишет, чтобы не заморачиваться, а по шапке - мне.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

erv_asutp писал(а):
03-05.pdf
Тут можно почитать. Не совсем то, но общее направление немного становится понятно.
Спасибо! Написано доступно и кое-какие моменты действительно пригодятся. Надо будет продавливать решение о назначении "смотрящего" за помещениями АСУ ТП, как я понял..
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Jackson »

dtv писал(а): Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Это и я тоже рекомендую сделать. Так будет лучше.

В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений. Две разные таблицы (общая и частная) нужны потому, что вторая скажет людям "что делать прямо здесь и сейчас", а первая - на будущее, если предприятие будет расширяться или модернизироваться.

Поскольку нет никаких норм ИБ в АСУТП - придумывайте их как угодно, вот например Вам план.

Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

TEB писал(а):
dtv писал(а): Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Это я и рекомендую сделать. Так будет лучше.

В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений.

Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?
Спасибо. Действительно полезные замечания! Я посмотрю, как их можно использовать.

И инструкция будет внутренняя, но не ДСП, потому что нужна общая, а не конкретно по каждому цеху.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Jackson »

Valeriy писал(а): нужна общая, а не конкретно по каждому цеху.
Так это всё упрощает! Продумать надо, конечно, конкретные меры, а в тексте не детализировать, типа "в общем".

Отправлено спустя 3 минуты 51 секунду:
Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:
Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.
Как ремонтировать - а х.з., схема приложена, разбирайся. :)
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

TEB писал(а):Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:
Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.
Как ремонтировать - а х.з., схема приложена, разбирайся. :)
Зато сейчас по любому чиху - видеоинструкция! Подробнейшая! На 10-20 минут как, например, сменить тему в Винде или батарейки в пульте ДУ :lol:

Как инструкция выйдет на этап согласования - я её здесь выложу шаблоном (если не запрещено, конечно), вдруг ещё кому пригодится! Закон №31 - он для всех :)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17466
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 744 раза
Поблагодарили: 1277 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Jackson »

Valeriy писал(а): Зато сейчас по любому чиху - видеоинструкция! Подробнейшая!
[+] это уже оффтопик
В случае с ремонтом ГСП это должен быть полнометражный фильм, остросюжетный психологический, потому что как-то надо попросить родных терпеть дома наличие склада приборов и радиодеталей, а также постоянный запах паяльника, фоновой линией должна идти сама покупка магнитофона и проблемы его эксплуатации - это не считая квеста по поиску неисправности в самом ГСП. :)
Valeriy писал(а): Как инструкция выйдет на этап согласования - я её здесь выложу шаблоном
Конечно!
По вопросам работы Форума можно обратиться по этим контактам.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Alex question »

Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.

Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.

Михайло
почётный участник форума
почётный участник форума
Сообщения: 3558
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 6 раз
Поблагодарили: 253 раза

Прошу помощи в написании Инструкции по ЗИ

Сообщение Михайло »

Вот! Яжговорил!!! Вот они организационные мероприятия по защите АСУТП от кибер-атак! :crazy0to:

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Alex question »

Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.

я вообще не понимаю как это будет реализовываться на практике.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

Alex question писал(а): Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.

Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.
у меня есть несколько нароботок, но они очень и очень "сырые".. Но вот только что запустили тендер среды фирм, занимающихся ЗИ на АСУ ТП. Пока только будем класифицировать, месяца через два (надеюсь), а в следующем году и внедрять.
Но сырые инструкции не вижу смысла вывешивать, как что-то согласуют, так шаблоном поделюсь, чтобы было наиболее близко к теме.

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

Михайло писал(а): Вот! Яжговорил!!! Вот они организационные мероприятия по защите АСУТП от кибер-атак! :crazy0to:
Поправте меня, если я ошибаюсь, но, по-моему, кибер-атаки - это чисто программные (ну может частично и аппаратные, да) решения. Здесь же от меня требуют защитить и помещения и ещё чего-нибудь в догонку, сами не знают чего, но согласно приказу №31!

Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Имя: Куприков Валерий
Страна: Россия
город/регион: Новомосковск

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy »

Alex question писал(а): Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.

я вообще не понимаю как это будет реализовываться на практике.
Главное - они оставили хорошую лазейку: "Принимаемые организационные и технические меры защиты информации: не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления." Поэтому особо рьяным проверяющим можно этим пунктом в нос-то и потыкать! :)

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5620
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 544 раза
Поблагодарили: 706 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Ryzhij »

У нас сие оформлено следующим образом.
Техническая часть: Камеры видеонаблюдения по 1-2 на электропомещения.
Организационно: Любой работник, кому надо бывать в определённом помещении, проходит инструктаж.
Есть утверждённые списки лиц с правом проведения работ единолично. Иногда в этих списках указаны не лица, а должности.
Если полез куда тебе не положено (помним о камерах) - наказывают.
Подрядчики, которым надо работать в контроллерных, подписывают наряд на работу не только у руководства цеха и установки, но предварительно и у начальника участка АСУТП. Иногда им дополнительно выделяется наблюдающий из числа специалистов.
В обязанности обслуживающего персонала входит проверять у лиц, находящихся в контроллерных наличие нарядов-допусков.
После одного-двух публичных наказаний шатания через контроллерные и тому подобные помещения прекращаются.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Ответить

Вернуться в «Информационная безопасность»