Size: a a a

RUSCADASEC community: Кибербезопасность АСУ ТП

2019 July 23

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Понял вопрос, из предположений тут должно иметься ввиду именно то, что написано в ГОСТе, а то, что в приказе 17 - да, присутствует в виде других мер раздела АУД приказа 239. Но четкого ответа в виде методических указаний товарищи из ФСТЭК пока предоставлчть не хотят
Т.е. в сухом остатке пункт АУД.7 до тех пор, пока не будет официальной методички, можно трактовать как требование оперативного реагирования на события безопасности стороны человека.
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Т.е. АУД.4 требует логи писать, а АУД.7 еще и читать :)
источник

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Коллеги, добрый день!
Подскажите, может быть встречал кто-то в документах/пояснениях от регулятора, что конкретно подразумевается в 239 приказе ФСТЭК под мерой "АУД.7 Мониторинг безопасности"?
Сейчас разрабатывается ГОСТ на эту тему. Если коротко, то это SIEM
источник

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Т.е. АУД.4 требует логи писать, а АУД.7 еще и читать :)
Читать да, но не реагировать))
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
Сейчас разрабатывается ГОСТ на эту тему. Если коротко, то это SIEM
Тогда, если следовать 138 приказу ФСТЭК, то к SIEM нужено в обязаловку подключать все АСУТП имеющие классы 1-3, но не попавшие под категорию ОКИИ.
источник

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Читать да, но не реагировать))
На логи и не реагируют :)

АУД.4 - писать логи, АУД.7 - собирать и делать пригодными для оперативного анализа, ИНЦ.1 - коррелировать для выявления инцидентов
источник

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
На логи и не реагируют :)

АУД.4 - писать логи, АУД.7 - собирать и делать пригодными для оперативного анализа, ИНЦ.1 - коррелировать для выявления инцидентов
Ну и я о том же, это скорее на предыдущее сообщение Дмитрия Пономарева
источник

DK

Dmitry Kuznetsov in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Тогда, если следовать 138 приказу ФСТЭК, то к SIEM нужено в обязаловку подключать все АСУТП имеющие классы 1-3, но не попавшие под категорию ОКИИ.
Добровольно. Весь 31й прикащ, даже в редакции 138го приказа - документ добровольного применения
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Kuznetsov
Добровольно. Весь 31й прикащ, даже в редакции 138го приказа - документ добровольного применения
Ну на изолированную систему с двумя АРМ может SIEM и избыточна явно, даже если система окажется 3 класса.
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Поэтому, я бы предпочел пункт АУД.7 трактовать как просто необходимость оперативного реагирования персонала на события ИБ. А уж через SIEM это собирается или через что-то более простое - это уже вопрос второй.
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Читать да, но не реагировать))
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
источник

ИГ

Илья Губаренко in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
Реагировать нужно на инциденты скорее. Что и отражено в разделе ИНЦ
источник

e

engine in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Ponomarev
Не согласен. Толку от того что видят, но не реагируют? Мы такие ситуации наблюдаем в реальности. Весь дашборд красный, а инженерам/операторам/ИБшникам пофиг, пока  система не рухнет. :(
Это взгляд со стороны. Если глубже компнуть, выяснится, что это красное, руководство в курсе, денег на реагирование нет, это красное - все в курсе, саппорт приедет через неделю и все пофиксит, это красное - без останова техпроцесса не вылечишь, будет красным до капремонта и т.д. Жизнь в документах не опишешь.
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Илья Губаренко
Реагировать нужно на инциденты скорее. Что и отражено в разделе ИНЦ
это уже раздел об инцидентах, а я о событиях. Но может это уже просто софистика
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
engine
Это взгляд со стороны. Если глубже компнуть, выяснится, что это красное, руководство в курсе, денег на реагирование нет, это красное - все в курсе, саппорт приедет через неделю и все пофиксит, это красное - без останова техпроцесса не вылечишь, будет красным до капремонта и т.д. Жизнь в документах не опишешь.
Так это нормальную ситуацию вы описываете! Что на событие прореагировали. Провели анализ, завели инцидент... а если проблема еще не решена - ситуация понятная. А если бэкапы не делаются, например, система показывает, что беда-беда, или нода кластера СУБД лежит, а всем пофиг, пока резервная не упадет... я вот про эту пофигень-траву.
источник

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
Та к вам тогда нес мер 239 приказа и начинать надо))))
источник

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
а бардак причесать сначала)))
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
Та к вам тогда нес мер 239 приказа и начинать надо))))
А если в ТЗ на систему не было пункта "причесать бардак в голове у заказчика"? :)
источник

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
навязать необходимость защищаться нельзя. Это же как с дверьми в дом. Их не запирают и ключи валяются где попало, пока  либо не обнесут само помещение, либо его просто не испльзуют в качестве туалета.
источник

DP

Dmitry Ponomarev in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
навязать необходимость защищаться нельзя. Это же как с дверьми в дом. Их не запирают и ключи валяются где попало, пока  либо не обнесут само помещение, либо его просто не испльзуют в качестве туалета.
Дим, если перефразировать мою мысль исходя из твоего примера, то установщик двери в данном случае не должен нести ответственность за то, что дом обнесли. И на это должен быть пункт в договоре. Вот я и пытаюсь понять о чем пункт АУД.7 говорит. О том что хозяин должен регировать на то, закрыт замок и не валяются ли ключи где попало или пункт его не обязывает это делать.
источник