В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

RUSCADASEC community: Кибербезопасность АСУ ТП

1965 membersпожаловаться на группу
2019 July 23

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Понял вопрос, из предположений тут должно иметься ввиду именно то, что написано в ГОСТе, а то, что в приказе 17 - да, присутствует в виде других мер раздела АУД приказа 239. Но четкого ответа в виде методических указаний товарищи из ФСТЭК пока предоставлчть не хотят
Т.е. в сухом остатке пункт АУД.7 до тех пор, пока не будет официальной методички, можно трактовать как требование оперативного реагирования на события безопасности стороны человека.
источник
16:31пожаловаться#1

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Т.е. АУД.4 требует логи писать, а АУД.7 еще и читать :)
источник
16:32пожаловаться#2

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Коллеги, добрый день!
Подскажите, может быть встречал кто-то в документах/пояснениях от регулятора, что конкретно подразумевается в 239 приказе ФСТЭК под мерой "АУД.7 Мониторинг безопасности"?
Сейчас разрабатывается ГОСТ на эту тему. Если коротко, то это SIEM
источник
16:33пожаловаться#3

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Т.е. АУД.4 требует логи писать, а АУД.7 еще и читать :)
Читать да, но не реагировать))
источник
16:35пожаловаться#4

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
Сейчас разрабатывается ГОСТ на эту тему. Если коротко, то это SIEM
Тогда, если следовать 138 приказу ФСТЭК, то к SIEM нужено в обязаловку подключать все АСУТП имеющие классы 1-3, но не попавшие под категорию ОКИИ.
источник
16:42пожаловаться#5

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Читать да, но не реагировать))
На логи и не реагируют :)

АУД.4 - писать логи, АУД.7 - собирать и делать пригодными для оперативного анализа, ИНЦ.1 - коррелировать для выявления инцидентов
источник
16:43пожаловаться#6

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
На логи и не реагируют :)

АУД.4 - писать логи, АУД.7 - собирать и делать пригодными для оперативного анализа, ИНЦ.1 - коррелировать для выявления инцидентов
Ну и я о том же, это скорее на предыдущее сообщение Дмитрия Пономарева
источник
16:44пожаловаться#7

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Тогда, если следовать 138 приказу ФСТЭК, то к SIEM нужено в обязаловку подключать все АСУТП имеющие классы 1-3, но не попавшие под категорию ОКИИ.
Добровольно. Весь 31й прикащ, даже в редакции 138го приказа - документ добровольного применения
источник
16:45пожаловаться#8

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
Добровольно. Весь 31й прикащ, даже в редакции 138го приказа - документ добровольного применения
Ну на изолированную систему с двумя АРМ может SIEM и избыточна явно, даже если система окажется 3 класса.
источник
16:58пожаловаться#9

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Поэтому, я бы предпочел пункт АУД.7 трактовать как просто необходимость оперативного реагирования персонала на события ИБ. А уж через SIEM это собирается или через что-то более простое - это уже вопрос второй.
источник
17:05пожаловаться#10

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Читать да, но не реагировать))
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
источник
17:07пожаловаться#11

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
Реагировать нужно на инциденты скорее. Что и отражено в разделе ИНЦ
источник
17:11пожаловаться#12

e

engine in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
Это взгляд со стороны. Если глубже компнуть, выяснится, что это красное, руководство в курсе, денег на реагирование нет, это красное - все в курсе, саппорт приедет через неделю и все пофиксит, это красное - без останова техпроцесса не вылечишь, будет красным до капремонта и т.д. Жизнь в документах не опишешь.
источник
17:13пожаловаться#13

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Реагировать нужно на инциденты скорее. Что и отражено в разделе ИНЦ
это уже раздел об инцидентах, а я о событиях. Но может это уже просто софистика
источник
17:15пожаловаться#14

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
engine
Это взгляд со стороны. Если глубже компнуть, выяснится, что это красное, руководство в курсе, денег на реагирование нет, это красное - все в курсе, саппорт приедет через неделю и все пофиксит, это красное - без останова техпроцесса не вылечишь, будет красным до капремонта и т.д. Жизнь в документах не опишешь.
Так это нормальную ситуацию вы описываете! Что на событие прореагировали. Провели анализ, завели инцидент... а если проблема еще не решена - ситуация понятная. А если бэкапы не делаются, например, система показывает, что беда-беда, или нода кластера СУБД лежит, а всем пофиг, пока резервная не упадет... я вот про эту пофигень-траву.
источник
17:19пожаловаться#15

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
Та к вам тогда нес мер 239 приказа и начинать надо))))
источник
17:20пожаловаться#16

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
а бардак причесать сначала)))
источник
17:21пожаловаться#17

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
Та к вам тогда нес мер 239 приказа и начинать надо))))
А если в ТЗ на систему не было пункта "причесать бардак в голове у заказчика"? :)
источник
17:22пожаловаться#18

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
навязать необходимость защищаться нельзя. Это же как с дверьми в дом. Их не запирают и ключи валяются где попало, пока  либо не обнесут само помещение, либо его просто не испльзуют в качестве туалета.
источник
17:24пожаловаться#19

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
навязать необходимость защищаться нельзя. Это же как с дверьми в дом. Их не запирают и ключи валяются где попало, пока  либо не обнесут само помещение, либо его просто не испльзуют в качестве туалета.
Дим, если перефразировать мою мысль исходя из твоего примера, то установщик двери в данном случае не должен нести ответственность за то, что дом обнесли. И на это должен быть пункт в договоре. Вот я и пытаюсь понять о чем пункт АУД.7 говорит. О том что хозяин должен регировать на то, закрыт замок и не валяются ли ключи где попало или пункт его не обязывает это делать.
источник
17:41пожаловаться#20