Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

Прошу помощи в написании Инструкции по ЗИ


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 13:01

Здравствуйте! Недавно вышел приказ ФСЭК №31 (наверняка многие о нём уже слышали) согласно которого огромное значение теперь уделяется защите информации на АСУ ТП.
В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП. Сперва всё выглядело не очень сложно, но теперь я сел на нескольких моментах:

1. Как можно классифицировать сотрудников, которые имеют безусловный доступ в помещения АСУ ТП? В смысле, что мастера и инженера понятно, но если там кто из начальства цеха захочет туда зайти (а делать ему там совершенно нечего), то как тогда? Не пускать? Ну и в этих помещениях, как правило, стоят и электрощитки, и шкафы видеонаблюдения, и даже шкафы ЦАСОДУ сейчас вот у нас поставили - как классифицировать ещё и их обслуживающий персонал, не говоря о просто уборщицах и, хоть и редких, но нужных, кондиционерщиках? Есть какие-то модели, или надо придумывать с нуля?

2. На кого возложить ответственность за контроль посещения помещений? Если на киповцев, то чего им там делать, если пришли электрики, например? если на начальников смен, то у них и своей работы дофига, как я понимаю..

Дело в том, что классификации помещений и самих АСУ ТП у нас ещё не было, следовательно и рекомендаций пока нет никаких, а инструкция, как положена, должна быть написана ещё позавчера!

Очень сильно надеюсь на вашу помощь!

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7878
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение TEB » 07 сен 2016, 13:04

:o
А маразм, тем временем, крепчал.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 13:09

TEB писал(а):Источник цитаты :o
А маразм, тем временем, крепчал.

Увы, это лишь мне один начальник участка наговорил, а остальные причастные молчат пока.. Боюсь даже звонить в СБ - там такие параноики сидят, что проще повесится сразу! :(

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7878
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение TEB » 07 сен 2016, 13:11

Поскольку никто не знает как это делать - пишите скорее. Как в песне поётся: "И тот кто первый доползёт - тот и расскажет кто был прав, когда припрут"
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 13:13

TEB писал(а):Источник цитаты Поскольку никто не знает как это делать - пишите скорее. Как в песне поётся: "И тот кто первый доползёт - тот и расскажет кто был прав, когда припрут"

Эх.. А я так надеялся не быть "первой ласточкой", более, правда, похожей на пингвина.. Не судьба!.


rwg
частый гость
частый гость
Сообщения: 491
Зарегистрирован: 29 апр 2014, 08:57
Ф.И.О.: Рыбкин Владимир Геннадьевич
Благодарил (а): 10 раз
Поблагодарили: 19 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение rwg » 07 сен 2016, 13:32

Valeriy писал(а):Источник цитаты В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП.

Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 13:40

rwg писал(а):Источник цитаты
Valeriy писал(а):Источник цитаты В связи с этим меня обязали написать инструкцию по доступу в помещения АСУ ТП.

Переведите стрелки. В связи с тем, что Вы инженер АСУТП, а не спецслужб, Вы некомпетентны в решении поставленной задачи. В то же время на предприятии есть люди, которые не только специально обучены, но и получают за эту работу зарплату. И примите мои соболезнования, из-за держиморд и первоотдельных маразматиков немало хороших специалистов уволилось с хорошей работы.

Увы, моя должность называется ведущий специалист по защите информации на АСУ ТП, в связи с этим все стрелки переводятся как раз на меня, а то что должностной инструкции нет (ну, я её написал себе сам, но согласовывают третий месяц) - это вообще никого не интересующий факт!
Как бы самому не стать держимордой.. Ведь требовать будут с меня..

Аватара пользователя

dtv
освоился
освоился
Сообщения: 254
Зарегистрирован: 04 фев 2014, 07:41
Ф.И.О.: Дмитриев Тарас Валерьевич
Откуда: г. Екатеринбург
Благодарил (а): 18 раз
Поблагодарили: 6 раз
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение dtv » 07 сен 2016, 13:43

Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".
Взгляд знатока намного уже кругозора неуча. Ю.Базылев


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 13:51

dtv писал(а):Источник цитаты Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".

Уже есть один момент, когда требуют применять к помещениям АСУ ТП требования по безопасности, как к ЦОД (а конкретно - как к серверной), но у этих же помещений абсолютно разный функционал! Ну, пусть не абсолютно, но во многом


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2555
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 41 раз
Поблагодарили: 70 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Ryzhij » 07 сен 2016, 14:12

Valeriy писал(а):Источник цитаты В смысле, что мастера и инженера...
Во-первых, инженеры.
А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

erv_asutp
осмотрелся
осмотрелся
Сообщения: 108
Зарегистрирован: 25 авг 2015, 11:55
Ф.И.О.: Ефименко Роман Владимирович
Откуда: Днепропетровск
Поблагодарили: 7 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение erv_asutp » 07 сен 2016, 14:14

03-05.pdf

Тут можно почитать. Не совсем то, но общее направление немного становится понятно.
У вас нет необходимых прав для просмотра вложений в этом сообщении.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 14:23

Ryzhij писал(а):Источник цитаты
Valeriy писал(а):Источник цитаты В смысле, что мастера и инженера...
Во-первых, инженеры.

Спасибо, за поправку! Конечно, инженеры
Ryzhij писал(а):А во-вторых, за доступ в электропомещение отвечает владелец. См. ПОТ РМ.
Аппаратура АСУТП - это не "сферический конь в вакууме", а неотъемлемая часть технологического оборудования.
Таким образом, за само помещение и доступ к нему отвечает начальник цеха или установки.

Это мне как раз понятно, поэтому и думал сперва напрячь со списком доступа именно начальника цеха. Но и ему надо как-то сформулировать по каким критерием народ в этот список вносить, а не как он хочет. А то он (не дай Бог!) весь цех туда запишет, чтобы не заморачиваться, а по шапке - мне.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 14:38

erv_asutp писал(а):Источник цитаты
03-05.pdf

Тут можно почитать. Не совсем то, но общее направление немного становится понятно.

Спасибо! Написано доступно и кое-какие моменты действительно пригодятся. Надо будет продавливать решение о назначении "смотрящего" за помещениями АСУ ТП, как я понял..

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7878
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение TEB » 07 сен 2016, 15:01

dtv писал(а):Источник цитаты Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".

Это и я тоже рекомендую сделать. Так будет лучше.

В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений. Две разные таблицы (общая и частная) нужны потому, что вторая скажет людям "что делать прямо здесь и сейчас", а первая - на будущее, если предприятие будет расширяться или модернизироваться.

Поскольку нет никаких норм ИБ в АСУТП - придумывайте их как угодно, вот например Вам план.

Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 15:13

TEB писал(а):Источник цитаты
dtv писал(а):Источник цитаты Тут есть риск, что "охранники" напишут для топикстартера такую инструкцию, что он взвоет, исполняя её. На мой взгляд, такую вещь лучше попытаться сделать "под себя".

Это я и рекомендую сделать. Так будет лучше.

В инструкции во первых разделах надо дать определения (что такое ИБ, что такое угроза ИБ), перечислить виды мер защиты (их мне видится два-три максимум), перечислить объекты защиты (раскидать их по двум-трём типам в завис-ти от ответственности). Затем, перечислить какие объекты защиты есть на Вашем предприятии и определить для каждого тип в соответствии с данным выше определением. Перечислить обязательные меры для защиты объектов каждого типа - последнее в виде таблицы с графами "ответственные исполнители" (указать в общем руководителей соответствующих подразделений). Далее - по желанию, можно свести в таблицу все объекты защиты, имеющиеся на Вашем предприятии, для каждого указать тип, и перечислить меры защиты, в графе "ответственный исполнитель" указать уже конкретных начальников конкретных подразделений.

Только, вообще-то, эта инструкция должна быть как минимум ДСП, иначе какой в ней смысл?

Спасибо. Действительно полезные замечания! Я посмотрю, как их можно использовать.

И инструкция будет внутренняя, но не ДСП, потому что нужна общая, а не конкретно по каждому цеху.

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7878
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение TEB » 07 сен 2016, 15:23

Valeriy писал(а):Источник цитаты нужна общая, а не конкретно по каждому цеху.

Так это всё упрощает! Продумать надо, конечно, конкретные меры, а в тексте не детализировать, типа "в общем".

Отправлено спустя 3 минуты 51 секунду:
Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:
Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.

Как ремонтировать - а х.з., схема приложена, разбирайся. :)
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 07 сен 2016, 15:50

TEB писал(а):Образец стиля - старые советские инструкции по поиску и устранению неисправностей в бытовой электронике, как сейчас помню из инструкции к бобинному магнитофону Астра-101:
Проявление неисправности: после записи слышны звуки предыдущей записи.
Причина неисправности: не работает генератор стирания-подмагничивания.
Метод устранения неисправности: отремонтируйте генератор стирания-подмагничивания.

Как ремонтировать - а х.з., схема приложена, разбирайся. :)

Зато сейчас по любому чиху - видеоинструкция! Подробнейшая! На 10-20 минут как, например, сменить тему в Винде или батарейки в пульте ДУ :lol:

Как инструкция выйдет на этап согласования - я её здесь выложу шаблоном (если не запрещено, конечно), вдруг ещё кому пригодится! Закон №31 - он для всех :)

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7878
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение TEB » 07 сен 2016, 15:56

Valeriy писал(а):Источник цитаты Зато сейчас по любому чиху - видеоинструкция! Подробнейшая!

[+] это уже оффтопик
В случае с ремонтом ГСП это должен быть полнометражный фильм, остросюжетный психологический, потому что как-то надо попросить родных терпеть дома наличие склада приборов и радиодеталей, а также постоянный запах паяльника, фоновой линией должна идти сама покупка магнитофона и проблемы его эксплуатации - это не считая квеста по поиску неисправности в самом ГСП. :)

Valeriy писал(а):Источник цитаты Как инструкция выйдет на этап согласования - я её здесь выложу шаблоном

Конечно!
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Alex question
осмотрелся
осмотрелся
Сообщения: 123
Зарегистрирован: 20 янв 2015, 10:13
Ф.И.О.: Алексей
Поблагодарили: 7 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Alex question » 07 сен 2016, 16:55

Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.

Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.


Михайло
почётный участник форума
почётный участник форума
Сообщения: 2212
Зарегистрирован: 10 ноя 2009, 04:58
Ф.И.О.: Толмачев Михаил Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 22 раза
Контактная информация:

Прошу помощи в написании Инструкции по ЗИ

Сообщение Михайло » 07 сен 2016, 17:14

Вот! Яжговорил!!! Вот они организационные мероприятия по защите АСУТП от кибер-атак! :crazy0to:


Alex question
осмотрелся
осмотрелся
Сообщения: 123
Зарегистрирован: 20 янв 2015, 10:13
Ф.И.О.: Алексей
Поблагодарили: 7 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Alex question » 07 сен 2016, 23:01

Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.

я вообще не понимаю как это будет реализовываться на практике.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 08 сен 2016, 07:46

Alex question писал(а):Источник цитаты Случайно заметил эту тему.
Здорово что есть еще кто то, кого напрягли этим гемороем. А то я смотрю на этот приказ 31 и просто охреневаю потихоньку.

Буду очень благодарен за хотя бы шаблон инструкций. А желательнее поделиться опытом выполнения требований. Ну и рассказать в целом как там вообще дела движутся. Потому что инструкция по доступу это только мизерная часть от всех требований по иб.

у меня есть несколько нароботок, но они очень и очень "сырые".. Но вот только что запустили тендер среды фирм, занимающихся ЗИ на АСУ ТП. Пока только будем класифицировать, месяца через два (надеюсь), а в следующем году и внедрять.
Но сырые инструкции не вижу смысла вывешивать, как что-то согласуют, так шаблоном поделюсь, чтобы было наиболее близко к теме.


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 08 сен 2016, 07:48

Михайло писал(а):Источник цитаты Вот! Яжговорил!!! Вот они организационные мероприятия по защите АСУТП от кибер-атак! :crazy0to:

Поправте меня, если я ошибаюсь, но, по-моему, кибер-атаки - это чисто программные (ну может частично и аппаратные, да) решения. Здесь же от меня требуют защитить и помещения и ещё чего-нибудь в догонку, сами не знают чего, но согласно приказу №31!


Автор темы
Valeriy
здесь недавно
здесь недавно
Сообщения: 16
Зарегистрирован: 07 сен 2016, 12:58
Ф.И.О.: Куприков Валерий

Прошу помощи в написании Инструкции по ЗИ

Сообщение Valeriy » 08 сен 2016, 07:51

Alex question писал(а):Источник цитаты Проблема в том, что там в приказе не "организационные мероприятия", а куча всякого бреда типа "мы должны быть защищены от всего на любом уровне, все писать, все настраивать, все шифровать и все тестировать на угрозы". Короче такое впечатление что кто то начитавшись оглавлений умных книжек просто вывалил все это ооглавление в общий список, а другой, кто вообще не в курсе про что там говорится, оформил это в виде приказной бумажки.

я вообще не понимаю как это будет реализовываться на практике.

Главное - они оставили хорошую лазейку: "Принимаемые организационные и технические меры защиты информации: не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления." Поэтому особо рьяным проверяющим можно этим пунктом в нос-то и потыкать! :)


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2555
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 41 раз
Поблагодарили: 70 раз

Прошу помощи в написании Инструкции по ЗИ

Сообщение Ryzhij » 08 сен 2016, 08:47

У нас сие оформлено следующим образом.
Техническая часть: Камеры видеонаблюдения по 1-2 на электропомещения.
Организационно: Любой работник, кому надо бывать в определённом помещении, проходит инструктаж.
Есть утверждённые списки лиц с правом проведения работ единолично. Иногда в этих списках указаны не лица, а должности.
Если полез куда тебе не положено (помним о камерах) - наказывают.
Подрядчики, которым надо работать в контроллерных, подписывают наряд на работу не только у руководства цеха и установки, но предварительно и у начальника участка АСУТП. Иногда им дополнительно выделяется наблюдающий из числа специалистов.
В обязанности обслуживающего персонала входит проверять у лиц, находящихся в контроллерных наличие нарядов-допусков.
После одного-двух публичных наказаний шатания через контроллерные и тому подобные помещения прекращаются.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


Вернуться в «Безопасность»



Кто сейчас на конференции

Сейчас этот форум просматривают: Smokeboy и 0 гостей