Да, Ваш принцип построения понятен. Но Вы в основном описали именно принцип построения АСУ ТП. При этом общий тренд – это переход на Industrial Ethernet, подключение к MES и иным системам. Понятно, что компьютер не подключен к сети, но при этом суть в том, что не доверенные съемные носители могут быть элементом комплексной сложной APT, вот о чем речь. По хорошему нужен регламент, т.е. организационные меры, и технические меры, которые предотвращают несанкционированное подключение. Хорошо, если вы один обслуживаете этот АРМ, а если их много? Вы делаете харденинг ОС? Про вторую часть я бы предложил еще организовывать ДМЗ, в нее выносить сервисы, нуждающиеся в удаленном доступе. Подумал бы о применении PAM.
В статье оговаривался человеческий фактор при преодолении воздушного зазора. Либо халатность, либо результат соц. инженерии.
Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.
В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
Подстанциями можно управлять удаленно, но пока не очень многими. При этом концепция развития ПАО «Россети» подразумевает переход к необслуживаемым, т.е. удаленно управляемым подстанциям. Это прямо написано в СТО ПАО «Россети».
Если подать отдельную команду, то, скорее всего, ничего не будет, это верно. Но при этом, если комплексно подменить команды, оперативные блокировки, то физические последствия возможны. Дальше, конечно, есть разные варианты.
Ответ лежит в плоскости практического применения стандартов МЭК 62351 и МЭК 62443. В целом можно предложить механизмы (над ними работают, в том числе, российские вендоры): комбинация наложенных и встраиваемых средств безопасности, в том числе криптографических. Это становится особенно важным по мере реализации концепции Smart Grid и ААС ЕЭС.
Речь шла не обязательно про ОСРВ. Настоящий ПЗ определяет требования безопасности к операционным системам реального времени (тип «В») .
По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.
Я писал про два разных кейса или случая.
В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
Да, иногда возникает такая путаница, мы поэтому и написали про центр мониторинга (который тоже SOC — Security Operations Center) там же, в заголовке. Много сущностей в ИТ и ИБ, незанятые аббревиатуры кончаются, видимо)
В статье написано, что на каждом КШ настраивается отдельный туннель для каждой площадки и приведен пример типовой настройки. При инсталляции 100 КШ такой подход вряд ли будет продуктивным.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.
Повезло тем компаниям, в которых Вы являетесь системным администратором. Но все же есть масса нюансов, например, недоменные пользователи, или в компании разрешено использование собственных компьютеров. Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет, да и использование белых списков в таких компаниях не практикуется, всегда есть сотрудники, например, разработчики, которым необходимо огромное количество различного софта.
Для этого есть модуль контроля использования приложений, с помощью которого можно сформировать белые списки и который не допустит использование неразрешенных приложений.
Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.
В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.
В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.