Вчера на InfoSecurity выступил и со второй темой - "Стандарты безопасности АСУ ТП". К сожалению, несмотря на трехкратное напоминание, организаторы так и не поставили эту тему в программу, поэтому аудитория была не готова к моему выступлению - вопросов почти не было ;-(
Но зато мне удалось систематизировать собственные знания в области международных и российских (есть и такие) стандартов безопасности АСУ ТП. Получилось, на мой взгляд неплохо. Есть о чем подумать и тем, кто работает с АСУ ТП, и тем кто защищает, и тем кто разрабатывает свои локальные стандарты.
ЗЫ. Опять же я продолжил тему, начатую (тут и тут) в прошлом году, и посвященную стандартам. Да и курс по 500 стандартам наполняется ;-)
Тематика очень интересная, мы сейчас как раз разрабатываем стандарты для предприятия по защите информации с системах АСУ ТП. Был бы рад послушать Ваше выступление однако не удалось попасть на эту выставку. У меня вопрос следующий, если документы ФСТЭК ДСП, то следует ли закрывать соответствующим грифом наш внутренний стандарт?
ОтветитьУдалитьДокументы ФСТЭК касаются КВО. Если вы входите в состав этих двух с лишним тысяч объектов, то надо смотреть корреляцию документов. Если нет, то вы вправе делать свой стандарт.
ОтветитьУдалитьСпасибо, интересно. О документах ФСТЭК по защите CIP не знал, даже являясь лицензиаром. Обязательно запрошу. Вообще считал, что в связи с отменой подготовки соответствующего закона, все у нас затихнет. Останется только уповать на NERC и IEC TC 57 WG 15 (62351).
ОтветитьУдалитьНи законодательной базы, ни федерального уполномоченного органа, который бы курировал и занимался этими вопросами.
А вот мой вопрос. Как по-вашему, обязательно ли использовать firewall на границе АСУТП и корпоративной сети или можно без дополнительно вложенных средств решить эту задачу, например, с помощью VRF MPLS?
Спасибо.
Обязательно. MPLS же не под это заточено.
ОтветитьУдалить