Организованный при размещении заметки про ИБП опрос - https://t.me/ruporsecurite/582, показывает отсутствие единой позиции по отнесению различных программно-аппаратных комплексов к АСУ. Пока голоса сторон идут вровень, без перевеса. Добавим к обсуждению еще один программно-аппаратный комплекс, производители которого утверждают, что он АВТОМАТИЧЕСКИЙ. Такая же позиция закреплена законодательно. К тому же, в его составе используется ИБП. Речь пойдет о мобильных/передвижных автономных автоматических измерительных комплексах с видеофиксации дорожного движения.
Начало - https://valerykomarov.blogspot.com/2020/10/blog-post_19.html
Начнем с информационной безопасности. Данный тип устройств подвержен компьютерным атакам. И это не теория, а результат из жизни.
Причиной поломки камер стало неизвестное вредоносное ПО, внедренное злоумышленниками в ходе кибератаки. По словам экспертов, данный случай является беспрецедентным и даже катастрофическим, поскольку на восстановление работы камер понадобится более месяца. ...что из-за взлома системы была повреждена файловая система блоков обработки и управления комплексов. Это послужило причиной невозможности запуска Windows XP и их специализированного программного обеспечения.Кроме того, в результате взлома были повреждены системные журналы ОС, а также изменены учетные данные администратора для входа в нее. В ходе расследования инцидента эксперты обнаружили вредоносный пакетный файл 222.bat, предназначенный для автоматического изменения пароля операционной системы и запуска исполняемого файла1.exe (https://www.securitylab.ru/news/448864.php)
Оценка ущерба - "Ущерб от действий неизвестных злоумышленников за неделю вынужденного «простоя» камер фотовидеофиксации нарушений ПДД составит около двух миллионов рублей." ("За рулем")
Если почитать эксплуатационную документацию на такие комплексы, то используется только "АВТОМАТИЧЕСКОЕ". Для примера - " Комплекс «.....» предназначен для автоматического измерения скоростей, определения положения и фотофиксации всех ТС"
Есть ГОСТ Р 57145-2016 Специальные технические средства, работающие в автоматическом режиме и имеющие функции фото- и киносъемки, видеозаписи, для обеспечения контроля за дорожным движением. Правила применения и ГОСТ Р 57144-2016 Специальные технические средства, работающие в автоматическом режиме и имеющие функции фото- и киносъемки, видеозаписи, для обеспечения контроля за дорожным движением. Общие технические требования.
Сертификаты такие комплексы получают как средства измерений.
Есть Постановление Пленума Верховного Суда РФ от 25.06.2019 N 20
"О некоторых вопросах, возникающих в судебной практике при рассмотрении дел об административных правонарушениях, предусмотренных главой 12 Кодекса Российской Федерации об административных правонарушениях"
Вопросы фиксации административных правонарушений работающими в автоматическом режиме специальными техническими средствами, имеющими функции
фото- и киносъемки, видеозаписи, или средствами фото- и киносъемки, видеозаписи
При этом под автоматическим режимом следует понимать работу соответствующего технического средства без какого-либо непосредственного воздействия на него человека, когда такое средство размещено в установленном порядке в стационарном положении либо на движущемся по утвержденному маршруту транспортном средстве, осуществляет фиксацию в зоне своего обзора всех административных правонарушений, для выявления которых оно предназначено, независимо от усмотрения того или иного лица.
То есть, в законодательстве четко различается "автоматический" и "автоматизированный" режим работы.
Имеются ли последствия по ПП127 от компьютерных атак на такие комплексы?
Да, имеются. Нарушение работоспособности приведет к экономическим потерям организации-владельца и снижению выплат в бюджеты государства. Показатель значимости № 9 придется учитывать. Еще и вопрос с применимостью показателя значимости № 14 возникает.
Как сообщают Российские СМИ: с июля по декабрь 2017 года в подмосковный бюджет поступило более 337 млн рублей за счет оплаты штрафов. 254 млн рублей «перечислено концессионеру».
Понятно, что эти цифры для комплексной системы видеонаблюдения в масштабе региона, а мы обсуждаем автономные комплексы.
Вот яркий пример последствий от нарушения в работе комплекса для общественной безопасности: Это случилось в Вологодской области. Камера была установлена на 80-м километре дороги "Вологда — Новая Ладога" ..камера успела "поймать" около десяти тысяч водителей, а ГИБДД разослала им штрафы. (https://www.pravda.ru/news/society/1331379-camera/)
Все признаки АСУ по критериям ФСТЭК в наличии.
По отнесению к АСУ "Автоматизированных систем контроля дорожного движения ", в состав которых входят эти комплексы , - вопросов нет. Как их не возникает при отнесении к ОКИИ - АСУ производственных линий (в состав входят станки ЧПУ), медицинских ИС/АСУ (в состав входят МРТ/КТ и прочие компьютеризированные приборы/изделия). Непонятно зачем распространять тип всей системы на составную часть, изготавливаемую и поставляемую как готовое конечное изделие? Эти изделия ничем не управляют вовне и выполняют свои функции АВТОМАТИЧЕСКИ, без участия человека в этих процессах.
Вопросы:
1. Относить ли автономный (отдельно работающий) комплекс, работающий в АВТОМАТИЧЕСКОМ режиме к АВТОМАТИЗИРОВАННОЙ систем управления (АСУ)?
2. Какие принципиальные отличия такого комплекса от любого другого компьютеризированного анализатора? медицинского например..
3. Какие принципиальные отличия такого комплекса от станка ЧПУ?
продолжение следует...
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий