вторник, 1 февраля 2011 г.

Информационная безопасность в АСУ ТП


Всем читателям блога с удовольствием сообщаю о том, что в декабрьском номере журнала "Коннект! Мир связи" вышла моя публикация на тему "Информационная безопасность в автоматизированных системах управления технологическими процессами".

Рекомендую тем, кто уже порядком подустал от победоносно шествующей по умам ИБ-сообщества темы персональных данных. Особенно рекомендую всем, кто считает, что субъект ПДн сейчас - центр Вселенной, главная задача ИБ-шника - обеспечить защиту ПДн, а все остальное - вторично.

Анонс в журнале - здесь, ссылка на файл со статьей - здесь. Приятного прочтения! :)

21 комментарий :

  1. Анонимный1.2.11

    Согласен полностью! Необходимо обеспечивать защиту информации в целом, причем потери предприятия от компроментации не ПДн выше на порядки. Если обеспечен должный уровень ИБ, то ПДн будут защищены автоматически, в том числе. Кадры же, как всегда, решают все, но... Скупой платит дважды и пока гром не грянет...Сор из избы ни кто не выносит, по сему на чужих ошибках учиться не получается, ждем своих и надеемся на авось. Руководителей убедить очень тяжело.
    Сергей

    ОтветитьУдалить
  2. to Сергей: Спасибо! Надеюсь, этот материал хоть немного поможет в убеждении.

    ОтветитьУдалить
  3. "Необходимо обеспечивать защиту информации в целом, причем потери предприятия от компроментации не ПДн выше на порядки"
    Не сужайте роль ИБ до обеспечения конфиденциальности. Необходимо обеспечивать защиту активов, а не информации. Конфиденциальная информация — тоже актив.

    ОтветитьУдалить
  4. Анонимный1.2.11

    Согласен, активов, но ВСЕХ активов, и оценить степень их важности, и обеспечить защиту согласно важности, а не носиться с ПДн, как курица с яйцом.
    Сергей.

    ОтветитьУдалить
  5. Один из самых проблемных вопросов при защите ПДн заключается в том, что защищаемый актив - ПДн - в подавляющем большинстве случаев должным образом не оценивается (почему - другой вопрос), и по требованиям наших регуляторов является "важным". Поскольку этот актив компании-оператору не принадлежит, но компания вынуждена тратить деньги на защиту всех без исключения ПДн как если бы она защищала свои важные информационные активы, возникает главное противоречие: ценность актива - непонятна, а стоимость защиты - велика. Некоторые пытаются обосновать затраты на защиту ПДн стоимостью нарушения законодательства - отсюда и основной риск - нарушение закона. Вот такая логика. Как исправить ситуацию - в скором времени с коллегами опубликуем статью ;)

    ОтветитьУдалить
  6. Анонимный1.2.11

    ПДн является особо ценным активом ДЛЯ РЕГУЛЯТОРОВ! Это их бизнес, вернее бизнес государства. А для предпринимателя - это очередной налог или побор (это уж как получится), чиновники борются с коррупцией, а сутенеры с проституцией!
    Сергей.

    ОтветитьУдалить
  7. Ну никак без ПДн не обходится - даже в посте про статью об ИБ в АСУТП :))))

    ОтветитьУдалить
  8. "Как исправить ситуацию - в скором времени с коллегами опубликуем статью ;)"
    Вы даже знаете, как это исправить? Очень интересно... :)

    ОтветитьУдалить
  9. to _DeV1L_: знаем. И расскажем. Имеющий уши да услышит :)

    ОтветитьУдалить
  10. ИБ в АСУ ТП тема очень интересная, хорошо, что вы ее поднимаете. Практика последних лет показывает, что на предприятиях происходит сращивание ранее обособленных Scada систем с корпоративной сетью предприятия. Эти действия, как правило несанкционированы, и выполняются просто потому, что так удобно ИТ специалистам предприятия. Вот и появляются дополнительные перемычки на коммутаторах, дополнительные сетевые карты в АРМ управления АСУ ТП, и прочие способы соединения двух сетей. Поскольку производителями АСУ ТП какая-либо серьезная защита не выполняется, то при соединении двух сетей, вся зараза прет из корпоративной сети на серверы и АРМы АСУ ТП не встречая там достойного сопротивления. Например, известны случаи, когда вирус поразивший Scada систему остановил основной конвейер российского предприятия на сутки и более. В общем, тема эта достаточно серьезна и требует к себе пристального внимания.

    ОтветитьУдалить
  11. to Олег Кузьмин: согласен с Вами. Вот только мысли сейчас у народа совсем о другом. И грезят специалисты мечтами о "соответствии". На реальную работу времени не остается. А до АСУТП - вообще руки не доходят, не то что головы...

    ОтветитьУдалить
  12. Согласен, если уж прямо говорить, то у нас вообще понимание ИБ в основной массе специалистов области, зачастую повернуто градусов на 180 от нужного направления.

    ОтветитьУдалить
  13. Анонимный2.2.11

    >понимание ИБ в основной массе специалистов области, зачастую повернуто градусов на 180 от нужного направления.
    Это не их вина, а их беда. Вертеться приходится в ту сторону, куда укажет руководящая и направляющая... ИБТП - основа безопасности, вернее жизни любого нормального предприятия, только осознать это должны прежде всего на высшем уровне, тогда и спецы повернуться, и работа пойдет.
    Сергей.

    ОтветитьУдалить
  14. Анонимный3.2.11

    > осознать это должны прежде всего на высшем уровне
    не соглашусь. Осознать это прежде всего должны сами специалисты (люди, отвечающие за обеспечение ИБ на предприятии), тогда и приоритеты в деятельности будут расставлены правильно и мнение непосредственных вождей будет формироваться под правильным углом.
    А что касается "высшего" уровня в России, теракты в метро и Домодедово наглядно иллюстрируют поговорку "Пока гром не грянет...".
    Случилась Саяно-шушенская - задергались, поутихла та история - снова про безопасность (и ИБ в том числе) на предприятиях "забыли".
    Кормушка на перс.данных пожирнее поди будет...

    ps: системности в действиях "высшего" уровня не хватает
    ---
    С ув. Turkish

    ОтветитьУдалить
  15. После того как проблема защиты ПДн стала актуальна, с одной стороны спрос на специалистов в области ИБ вырос, что не может не радовать, с другой - защита информации от НСД превратилась в защиту организации от регуляторов.

    ОтветитьУдалить
  16. Анонимный3.2.11

    Да не стала эта проблема актуальной, других хватает, и не проблема это, а так, выделить из общего, уже давно и успешно защищаемого! информационного актива ПДн и описать, как они защищены.
    Сергей.

    ОтветитьУдалить
  17. >> Да не стала эта проблема актуальной

    для операторов стала :) еще как! Многие до появления 152-ФЗ вообще про защиту информации и не слышали, и на задумывались. А теперь задумались многие => актуальность на лицо :)

    ОтветитьУдалить
  18. Анонимный3.2.11

    >для операторов стала
    Это для тех, кто ЗИ не занимался вообще и кому кроме ПДн защищать нечего. У кого система ЗИ была, ПДн и так защищались.
    Сергей.

    ОтветитьУдалить
  19. Этот комментарий был удален автором.

    ОтветитьУдалить
  20. >У кого система ЗИ была, ПДн и так защищались.
    Я не один раз работала с компаниями, у которых система ЗИ была, но защищал они только ком. тайну. А теперь задумались и о защите ПДн.

    ОтветитьУдалить
  21. Анонимный7.2.11

    to Анна
    При наличии системы ЗИ распространить ее на защиту ПДн достаточно просто: МЭ есть, VPN или крипто есть, антивирус есть, пароли есть, максимум - навесить СЗИ на ИСПДн. Больше возни с неавтоматизированной обработкой - но тут в основном оргмеры.
    Сергей.

    ОтветитьУдалить