tag:blogger.com,1999:blog-7009601368225237795.post158401320453611884..comments2014-06-16T09:24:41.237+04:00Comments on Si vis pacem para bellum - Блог об информационной безопасности: ФСТЭК АСУТП ИБ - праздник к нам приходит!Ilya Borisovhttp://www.blogger.com/profile/16993879751647112333noreply@blogger.comBlogger5125tag:blogger.com,1999:blog-7009601368225237795.post-38076045114155255642014-02-19T00:08:47.084+04:002014-02-19T00:08:47.084+04:00Я хотел и по ПП 87 пройтись, но это несколько боле...Я хотел и по ПП 87 пройтись, но это несколько более широкая тема. )) А так да, отрасль и так зарегулированна дальше некуда. По поводу качества экспертизы - целиком согласен. Вообще все-так.<br />Лично я отношусь к данному документу ФСТЭК, скорее как к необходимому злу. Регулированию быть и уж лучше оно тогда будет хорошим и адекватным, как мне кажется пока получилось уж не очень плохо. На практике, драконить никого не будут, так как всегда есть вариант с компенсирующими мерами, а их не может не быть. )))<br />Ilya Borisovhttps://www.blogger.com/profile/16993879751647112333noreply@blogger.comtag:blogger.com,1999:blog-7009601368225237795.post-30157604308826618282014-02-19T00:03:31.600+04:002014-02-19T00:03:31.600+04:00Хм.
1) Дело в том, что на мой вгляд, практически н...Хм.<br />1) Дело в том, что на мой вгляд, практически невозможно не менять АСУ при внедрении СОИБ. Любые технические решения по защите потенциально влияют на работоспособность системы в целом. Например, за счет появления единичных точек отказа (ex. firewall между различными сегментами, блокировки протоколов или приложений).<br />2) Мешает, например, отсутствие лицензции. Как я писал, проектирование ОПО лицензируемый вид деятельности. Ты же сам ратовал за наличие лицензий, как подтверждение профессионализма и компетентности. Кроме того, вопрос ответственности. Если согласовывать изменения будет интегратор, то вся ответственность за новый проект и итоговую систему лежит на нем. Но, он то опыта проектирования опасных производств не имеет и АСУ не разрабатывает и рисков технологических не понимает - как он может нести ответственность?<br />3) Если честно, то я не знаю, кто и из каких соображений ограничил круг лиц допущенных к проектированию СОИБ - я лишь изложил свое мнение, почему это могло быть сделано и зачем. Я имею сильное сомнение, что это лоббировалось проектировщиками, скорее это просто консервативный подход к обеспечению промышленной безопасности. <br /><br />Логика на мой вгляд простая - во главе угла безопасность производства и населения. ИБ должна помогать решению этих задач, а не мешать. Как у врачей - не навреди. <br />Я не против участия ИБ интеграторов, даже за, ибо каждый своим делом должен заниматься, но вот если честно, качество интеграторов и их ответственность являются темой отдельной дискуссии. <br /><br />PS Не вижу никакой проблемы в использовании схемы с субподрядом. На мой взгляд, на первое время оптимальный вариант сотрудничества проектировщиков и интеграторов. Возможно стоит добавить требования по обязательному привлечению к проектам АСУТП лицензированных в области ИБ организаций. Не знаю. Поживем - увидим. <br />Ilya Borisovhttps://www.blogger.com/profile/16993879751647112333noreply@blogger.comtag:blogger.com,1999:blog-7009601368225237795.post-75684062024866134182014-02-18T23:32:08.032+04:002014-02-18T23:32:08.032+04:00На всякий случай отвечаю тут, хотя уже обсуждали в...На всякий случай отвечаю тут, хотя уже обсуждали в фейсбуке (и каждый остался при своем):<br />- не всегда при проектировании СОИБ надо менять проект АСУ (я например, не стал бы трогать менять АСУ)<br />- даже если мы меняем (дополняем) проект АСУ, что мешает "другому лицу" согласовать эти изменения с проектировщиком или Ростехназором? Это возможно. Таким образом, ограничение на проектирование СОИБ только проектировщиком считаю необоснованным<br />- по поводу "последнего". Зачем в таком случае писать ограничения на возможность реализации СОИБ только проектировщиком. А эти ограничения в документе есть. Значит твое личное мнение не совпадает с личным мнением другого проектировщика АСУ.<br /><br />ИТОГО:<br />- считаю что ФСТЭК должен писать в этом документе требования только к СОИБ (не надо делать требований к АСУ в целом или созданию АСУ в целом и будет меньше проблем с Ростехнадзором)<br />- хоть я и понимаю, что Проектировщик АСУ - ключевое лицо при создании АСУ, я считаю необоснованным ограничивать в данном документе право на проектирование и создание СОИБ только проектировщиком. <br />Считаю что ФСТЭКу надо разрабатывать требования только в части СОИБ, а следовательно выделять только "заказчика", "оператора" и "иных лиц"<br />Если иное лицо участвует в работах по ИБ - выполняет требования ФСТЭК<br />Если иное лицо участвует в проектировании АСУ - выполняет требования Ростехнадзора. <br />Не надо заставлять ФСТЭК дублировать требования Ростехнадзора (а вдруг они поменяются?). Пусть ФСТЭК думет за свой кусок и выставляет требования только к нему. <br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7009601368225237795.post-88913491119195814912014-02-13T02:34:20.737+04:002014-02-13T02:34:20.737+04:00От лица проектировщика скажу, что рынок давно ждет...От лица проектировщика скажу, что рынок давно ждет не очередных нормативных заплаток на давно всем очевидные работы, а полной переработки 87 постановления с требованиями по автоматизации хотябы страницы на две. Где в составе все требования к разделу и учесть. А то мчс со своими системами лезет на объекты. Энергоэффективность со своими. И все как будто нужны и одновременно никем толком не проверяется (экспертиза).Anonymoushttps://www.blogger.com/profile/17492683857421609661noreply@blogger.comtag:blogger.com,1999:blog-7009601368225237795.post-48517038150605623152014-02-13T01:51:26.597+04:002014-02-13T01:51:26.597+04:00Илья, твои аргументы я услышал и понял в фейсбуке....Илья, твои аргументы я услышал и понял в фейсбуке. Но захотелось привлечь больше людей к этой дискуссии - поэтому и запись в блоге. Подожду, будут ли ещё мнения и потом прокомментирую. Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.com