В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

КИИ 187-ФЗ

3771 membersпожаловаться на группу
2020 November 11

N

N S M in КИИ 187-ФЗ
Андрей Боровский
В ЦА ФСТЭК более адекватные граждане. Но в регионах свои княжества..
Согласен! Одно время просил выслать модель угроз для ГИС, которой нет и в помине. Все официально. Разговор сошёлся на том, что ответить что ее нет они не могут. Так и сказали такое вам прислать не можем. Прислали "солянку" которую сложно было понять. Это одно из рег.управ, дело было в 2017 году
источник
12:42пожаловаться#1

S

Sergsmmile in КИИ 187-ФЗ
Андрей Боровский
Из практики аудита на военном заводе с ГОЗ. Станок поверхностного монтажа плат. Управляют по сети через спец ПО, при этом, для всех на заводе было новостью, в сети торчит веб интерфейс управления без авторизации. Без станка будет срыв ГОЗ. Так этот станок/плк от него является ОКИИ или ЗОКИИ?
Прям вот сразу будет срыв? На заводе конвейер?
источник
12:43пожаловаться#2

АБ

Андрей Боровский... in КИИ 187-ФЗ
Sergsmmile
Станок + АСУ управления станком с подключением к корпоративной сети-наверное да)
Вопрос дробления на отдельные станки как объекты, либо всю автоматизацию завода в один объект отставим в сторону, тут как кому удобно.
источник
12:43пожаловаться#3

N

N S M in КИИ 187-ФЗ
Андрей Боровский
Из практики аудита на военном заводе с ГОЗ. Станок поверхностного монтажа плат. Управляют по сети через спец ПО, при этом, для всех на заводе было новостью, в сети торчит веб интерфейс управления без авторизации. Без станка будет срыв ГОЗ. Так этот станок/плк от него является ОКИИ или ЗОКИИ?
Конечно ОКИИ)) до тех пор пока им не укажут на обратное. Вопрос - им указали и это нормально восприняли?
источник
12:44пожаловаться#4

S

Sergsmmile in КИИ 187-ФЗ
N S M
Согласен! Одно время просил выслать модель угроз для ГИС, которой нет и в помине. Все официально. Разговор сошёлся на том, что ответить что ее нет они не могут. Так и сказали такое вам прислать не можем. Прислали "солянку" которую сложно было понять. Это одно из рег.управ, дело было в 2017 году
Мне тоже отказали в материалах, на анализе которых ФСТЭК якобы сделал вывод ля всех, что все станки значимые. На хер тогда комиссия по категорированию?!
источник
12:44пожаловаться#5

N

N S M in КИИ 187-ФЗ
Sergsmmile
Мне тоже отказали в материалах, на анализе которых ФСТЭК якобы сделал вывод ля всех, что все станки значимые. На хер тогда комиссия по категорированию?!
Показатели есть не только у сотрудников ДПС))
источник
12:45пожаловаться#6

N

N S M in КИИ 187-ФЗ
https://top3dshop.ru/blog/cnc-machines-programming.html
источник
12:48пожаловаться#7

АБ

Андрей Боровский... in КИИ 187-ФЗ
N S M
Конечно ОКИИ)) до тех пор пока им не укажут на обратное. Вопрос - им указали и это нормально восприняли?
Вопрос кому показывать на явном примере. В рамках внешнего аудита/пентеста можно руководству завода все показать в красках, особенно если завод живет в начале 2000 :)
источник
12:48пожаловаться#8

M

Mikhail in КИИ 187-ФЗ
Андрей Боровский
Если у станка веб интерфейс без пароля, то любое сканирование веб движком нажмёт все возможные кнопки и угробит станок и Настройки.
Это что за сканеры такие, нажимающие кнопки? Больше на работу фазера тянет, сканеры прогоняют web-ку запросами по найденным формам, могут при желании побрутить поля авторизации.
Сканирование нужно с пониманием проводить, понимая что делает  сканер и как может повлиять на систему. Опасные тесты можно и не включать в сканирование.
источник
12:49пожаловаться#9

N

N S M in КИИ 187-ФЗ
Андрей Боровский
Вопрос кому показывать на явном примере. В рамках внешнего аудита/пентеста можно руководству завода все показать в красках, особенно если завод живет в начале 2000 :)
)) знаете, скажу честно, не прокатывает! для тех кто остался головой в "совковых временах" все эти страшилки которые нельзя съесть, одеть, пощупать руками не беспокоят)
источник
12:51пожаловаться#10

S

Sergsmmile in КИИ 187-ФЗ
N S M
)) знаете, скажу честно, не прокатывает! для тех кто остался головой в "совковых временах" все эти страшилки которые нельзя съесть, одеть, пощупать руками не беспокоят)
👍👍👍
источник
12:51пожаловаться#11

АБ

Андрей Боровский... in КИИ 187-ФЗ
Mikhail
Это что за сканеры такие, нажимающие кнопки? Больше на работу фазера тянет, сканеры прогоняют web-ку запросами по найденным формам, могут при желании побрутить поля авторизации.
Сканирование нужно с пониманием проводить, понимая что делает  сканер и как может повлиять на систему. Опасные тесты можно и не включать в сканирование.
Молодец! Только почитай выше, если в сканере нет сигнатур под уязвимости станка, то сканер никогда ничего не найдёт. Сканировать бестолку. А уязвимости своего станка и прошивки можно и в интернет найти :) только производитель может послать с патчами
источник
12:52пожаловаться#12

АБ

Андрей Боровский... in КИИ 187-ФЗ
N S M
)) знаете, скажу честно, не прокатывает! для тех кто остался головой в "совковых временах" все эти страшилки которые нельзя съесть, одеть, пощупать руками не беспокоят)
С такими гражданами все просто. Они подпишутся под тем что категории нет. И им наплевать на ФСТЭК. А если бахнет, найдут козла отпущения :)
источник
12:54пожаловаться#13

M

Mikhail in КИИ 187-ФЗ
Андрей Боровский
Молодец! Только почитай выше, если в сканере нет сигнатур под уязвимости станка, то сканер никогда ничего не найдёт. Сканировать бестолку. А уязвимости своего станка и прошивки можно и в интернет найти :) только производитель может послать с патчами
🤔 я и написал что к сканированию надо с умом подходить, понимая что ты делаешь, эффективность мероприятия и связанные риски
источник
12:55пожаловаться#14

АБ

Андрей Боровский... in КИИ 187-ФЗ
Mikhail
🤔 я и написал что к сканированию надо с умом подходить, понимая что ты делаешь, эффективность мероприятия и связанные риски
Суть автоматизированного сканирования в рамках управления уязвимостями в том, чтобы искать где патч не встал и что забыли, а не в том чтобы искать нулдеи. Когда у тебя 10 станков с известными настройками и версиями ПО сканер не нужен, можно руками посмотреть.
источник
12:57пожаловаться#15

N

N S M in КИИ 187-ФЗ
Андрей Боровский
С такими гражданами все просто. Они подпишутся под тем что категории нет. И им наплевать на ФСТЭК. А если бахнет, найдут козла отпущения :)
В сфере ИТ не так просто найти "козла", вот "осла" - легко)
источник
13:04пожаловаться#16

АБ

Андрей Боровский... in КИИ 187-ФЗ
Sergsmmile
У ФСТЭК подходы к ИБ остались до сих пор совковые, близкие к защите ГТ. Всё закрыть, всё запретить, всё и всех опечатать и самое главное, ничего не включать и не подключать
Вообще, это вариант модного нынче zero trust :)
источник
13:10пожаловаться#17

V

Valery Komarov in КИИ 187-ФЗ
Sergsmmile
Недавно с Алексеем Комаровым обсуждали вопрос можно ли понимать под АСУ станками с ЧПУ, сам станок с ЧПУ.
Как сказала ФСТЭК-можно. А если кто против для них напишут отдельный закон, как для непонятливых )))
от них и требуется написать нормальный закон. Под текущее определение АСУ в 187ФЗ сам станок ЧПУ не подходит.
источник
13:11пожаловаться#18

V

Valery Komarov in КИИ 187-ФЗ
Андрей Боровский
Из практики аудита на военном заводе с ГОЗ. Станок поверхностного монтажа плат. Управляют по сети через спец ПО, при этом, для всех на заводе было новостью, в сети торчит веб интерфейс управления без авторизации. Без станка будет срыв ГОЗ. Так этот станок/плк от него является ОКИИ или ЗОКИИ?
Сеть управления станками будет ОКИИ. Станки войдут  в состав ОКИИ, но сам станок не ОКИИ
источник
13:12пожаловаться#19

АБ

Андрей Боровский... in КИИ 187-ФЗ
Valery Komarov
Сеть управления станками будет ОКИИ. Станки войдут  в состав ОКИИ, но сам станок не ОКИИ
Аааа, так вот что вы имеете в виду :) Вам не нравится дробление окии на станок+лвс+комп = 3 объекта. Так это кому как удобно. Можно и так и так, на мой взгляд.
источник
13:15пожаловаться#20