Temat: Audyt systemów SCADA
Arkadiusz K.:
Czy ktoś ma doświadczenie w przygotowaniu oraz prowadzeniu audytów systemów SCADA?
Gratuluję tematu. W zależności od zakresu taki audyt to może być niezłe wyzwanie i raczej nie dla audytora wewnętrznego ale dla specjalistów IT i to z różnych dziedzin ;-)
Co do mnie, to najpierw odpowiedział bym sobie samemu co jest przedmiotem audytu: urządzenia, kanały komunikacji, oprogramowanie, dane, procesy? Drugie pytanie to pytanie o cel, powód. Trzecie pytanie to pytanie o branżę i wymagania klienta. Wszak zakłady chemiczne, kopalnie, huty, zakłady włókiennicze, produkcja przemysłowa czy choćby żywności, .., wojsko, .. to różne bajki, a to nie zostało dookreślone. Odpowiedzi pozwolą podzielić zadanie na mniejsze podzadania, które będzie można podzielić pomiędzy zespół i/lub podzielić na etapy także dla samego siebie. Jeden audyt ale pomijając micro rozwiązania to niebanalnych zadań i to bardzo różnych, bardzo wiele.
Najłatwiej sprawdzić urządzenia (DCS, RTU, PLC, PAC, czujniki, ..) a niezbędną wiedzę dostarczy ich dokumentacja, więc nie ma co się tutaj rozwodzić. Ciekawiej natomiast się robi z kodowanym zdalnym dostępem poprzez prywatne /publiczne kanały komunikacji. Cóż, sieć kanalizacyjna wypełniona cieczami, rury wypełnione gazami, kable energetyczne, skrętki, światłowody, fale radiowe, .. to różne media i różne techniki pomiarowe. Wypada jeszcze nie zapomnieć o bezpieczeństwie, a to odrębny niemały pakiet zagadnień. W szczególności jeżeli sieć rozproszona, różne protokoły, wiele lokalizacji czy duże odległości.
Co do oprogramowania to wydaje się, że napisanie dedykowanych testów, które pozwolą osiągnąć cel audytu jest rozsądną propozycją. Podobnie jak z audytem danych, których ocena jakości dodatkowo wymaga posiadania zdefiniowanych odrębnych kryteriów uwzględniających chociażby zakłócenia czy rozproszoną strukturę bazy. Pytanie o metody zbierania i obróbki także zasadne, bo przecież filtrowanie górnoprzepustowe jest innym niż dolnoprzepustowe, a filtry, dzisiaj zazwyczaj cyfrowe, mogą być bardzo wyrafinowane. Okno Gaussa, Z-transformata Fouriera zapewne sprawdza się w wielu przypadkach. ale przecież Hamming, Hann, Bartlett, Blackman, Kaiser, Nuttall, .. też w jakimś celu wymyślali swoje wzory, a rozkład normalny nie jest reprezentatywny dla wszystkich przypadków.
Audytowanie procesów wymaga oprócz sprawdzania hardware & software, metodologii, uwzględnienia jeszcze człowieka. Słowem jest co robić i wydaje się, że przeproszenie się z ITIL czy ISO 20000 może tylko pomóc. W niektórych zagadnieniach pomocna może być analiza statystyczna co oczywiste ale w innych analiza sygnatur, rejestry liniowe CRC, a jeszcze w innych analiza widmowa. Nie ma co zgadywać co więcej i najlepiej chyba skoncentrować się na teorii informacji, automatyce, telemetrii i inżynierii systemów sieciowych. Pracuje Pan w bardzo dobrej firmie więc w dostępnych materiałach firmowych powinno być "co-nie-co", np: w "HP Journal".
Nie mam pojęcia czy pomogłem, ale to tak z punktu widzenia kogoś, kto "dotknął" niektórych zagadnień. Powodzenia. ;-)
пропозиції роботи
