Данила Фролов, добрый день! Прошу прощения за поздний ответ. Выступления по особенностям защиты непосредственно объектов нефтегазового комплекса с моей стороны пока не планируются. Возможно, планы изменятся, когда будет больше интересного опыта работы с объектами НГК. Следите за обновлением программы мероприятий (в сентябре) на нашем корпоративном сайте - dialognauka.ru/press-center/events/ С уважением, Дмитрий Ярушевский
Дмитрий Ярушевский, добрый вечер. Пишу вам с просьбой помочь. я студент специальности защита информации.проходил практику в "МРСК Центра" Костромаэнерго. проходив практику понял, что действительно проблема защиты АСУ ТП актуальна. В рамках дипломного проекта хочу реализовать на базе отдела безопасности создание орг структуры по защите АСУ ТП, где руководитель будет спец по ИБ и в штат будет входит кто то по асу. вот только кто не могу определиться. Думал включить в штат специалиста из отдела АСДУ.Еще из за тайн никто не сказал как устроена защита. возник такой вопрос МРСК является КВО? значит по инструкциям ФСТЭК КСИИ должна быть защищена? они придусматривают техническую защиту или какие то специфики по защите,назначение ответственных по защите? прошу прощения за безграмотность в асу тп, но может быть вы можете дать рекомендации в каком направлении вообще копать и возможно знаете что у них на данный момент с защитой.
Георгий Корс Добрый день, Георгий! Во-первых, благодарю за проявленный интерес к теме вообще и к нашему вебинару в частности. Во-вторых, постараюсь ответить на ваши непростые вопросы. Давайте начнем с вопроса о том, является ли «МРСК Центра» КВО. На этот вопрос Вам вряд ли сможет ответить кто-либо, кроме ответственных лиц в организации, знающих была ли соответствующая процедура (оценка и отнесение объекта к КВО) проведена. Однако, даже если нет, как минимум, часть автоматизированных систем МРСК, вероятно, попадают под требования Приказа №31 ФСТЭК от 14 марта 2014 «Об утверждении требований к обеспечению защиты информации…». (Здесь я говорю «вероятно», поскольку с этим заказчиком не работал и деталей деятельности не знаю). Приказ №31 отсылает к документам по КСИИ для моделирования угроз и на основе результатов дает требования по защите системы. Не смотря на то, что на текущий момент обязательность его исполнения обсуждается, я бы рекомендовал ориентироваться именно на 31-й Приказ, т.к. он в настоящий момент является наиболее актуальным и адекватным нормативным документом по защите АСУ ТП. В нем Вы найдете ответы на вопросы и по технической защите и, частично, по организационной ее части. Теперь лично мое мнение о том, как Вам логично было бы выстроить орг. структуру. Я сейчас говорю «о сферическом объекте в вакууме», потому что не знаком со структурой» МРСК Центра». В подразделение, ответственное за защиту АСУ ТП должны в обязательном порядке входить: 1. специалист по ИБ, способный отвечать за организацию, управление и поддержку процессами ИБ - оценку рисков и моделирование угроз, планирование мероприятий, разработку регламентов, требований, документации, мер по защите и т.п. 2. специалист по ИБ, способный реализовывать эти требования и меры технически - управлять СЗИ, проводить технический аудит, контролировать эффективность и выполнение требований, решать технологические проблемы, связанные с эксплуатацией СЗИ, анализировать с технической точки зрения угрозы и риски и т.п. Далее, в зависимости от объекта защиты, специфики организации, режима работы, рисков, связанных с эксплуатации систем и средств защиты и т.д. и т.п., в орг.структуре организации (не обязательно именно подразделения, ответственного за ИБ АСУ ТП), должны быть следующие компетенции: 1. Специалист, консультирующий отдел ИБ по вопросам АСУ ТП, возможностях программного и аппаратного обеспечения, рисках, угрозах нарушений ТП и т.д. 2. Специалист по системам и сетям связи, оказывающий поддержку и консультацию отделу ИБ по части телекоммуникационного оборудования, управления сетью, хорошо знакомый и могущий прогнозировать возможные риски, проблемы и их решения. 3. Дежурный персонал, работающий в режиме 24/7, обеспечивающий агрегацию информации о событиях и инцидентах ИБ и принимающий простейшие решения в соответствии с заранее регламентированными процедурами (например, в случае вирусного заражения - отключения основного АРМ и переход на резервный и т.п.) 4. Лицо, утверждающее решения о принимаемых мерах по защите АСУ ТП. Фактически, этот сотрудник несет ответственность в случаях, если работа СЗИ приведет к нарушению в ТП, поэтому тут очень важно выстроить хорошую цепочку информирования и распределения зон ответственности. С уважением, Дмитрий Ярушевский