обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технич. Доклад. обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технического оборудования объектов электроэнергетики

Название	обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технического оборудования объектов электроэнергетики
Анкор	обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технич
Дата	15.05.2023
Размер	56.57 Kb.
Формат файла
Имя файла	Доклад.docx
Тип	Доклад #1133519

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»

ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

Кафедра безопасности и информационных технологий
Направление подготовки бакалавриата

09.03.09 «Прикладная информатика»

ДОКЛАД

Тема: «обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технического оборудования объектов электроэнергетики»

Выполнил студент группы -

Проверил доцент, к.т.н., доцент Власкин Д. Н.

Оценка: ____________________ дата ________________

Оглавление

Введение 3

1.ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ ОСНОВНОГО ТЕХНОЛОГИЧЕСКОГО ОБОРУДОВАНИЯ ОБЪЕКТОВ ЭЛЕКТРОЭНЕРГЕТИКИ 4

2.ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ ПРИ ИХ СОЗДАНИИ И ПОСЛЕДУЮЩЕЙ ЭКСПЛУАТАЦИИ 10

3.МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ СРЕДЫ ФУНКЦИОНИРОВАНИЯ АППАРАТНОЙ ИНФРАСТРУКТУРЫ СУМИД И ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 13

3.1 Контроль физического доступа 13

3.2 Безопасная установка 13

3.3 Повышение осведомленности 13

3.4 Администрирование безопасности 13

Заключение 14

Список используемых источников 15

Введение

В сфере электроэнергетики в технологических процессах производства и передачи электроэнергии и тепла активно применяются автоматизированные системы управления технологическими процессами (далее – АСУТП). АСУТП могут интегрироваться с системами удаленного мониторинга и диагностики (далее – СУМиД) технического состояния основного оборудования объектов электроэнергетики, что требует принятия мер по обеспечению безопасности данных систем. Приказом устанавливаются организационные и функциональные требования к обеспечению информационной безопасности СУМиД, а именно безопасности ее программных компонентов, аппаратной инфраструктуры, встроенных средств защиты информации и обеспечению контроля безопасности. Также устанавливаются требования к обеспечению ИБ СУМиД на стадиях жизненного цикла и проведению аттестации.

Система удаленного мониторинга и диагностики (СУМиД) – это программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования объекта электроэнергетики, диагностирование и прогнозирование изменения технического состояния основного технологического оборудования на основе собранных данных, получаемых от систем сбора данных, установленных на технологическом оборудовании, и не влияющего на штатный режим оборудования/объекта.

Требования Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования" устанавливаются в отношении базовых функций СУМиД и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации СУМиД на территории Российской Федерации. Можно сделать вывод о том, что требования распространяются на Субъекты электроэнергетики, которые эксплуатируют на объектах электроэнергетики СУМиД. В силу того, что требования по информационной безопасности предъявляются к стадии создания СУМиД, закономерно, что Субъекты электроэнергетики, использующие СУМиД сторонней разработки, будут стараться возложить выполнение части требований Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015 на организации, осуществляющие разработку СУМиД.

Субъектами электроэнергетики являются лица, осуществляющие деятельность в сфере электроэнергетики, в том числе производство электрической, тепловой энергии и мощности, приобретение и продажу электрической энергии и мощности, энергоснабжение потребителей, оказание услуг по передаче электрической энергии, оперативно-диспетчерскому управлению в электроэнергетике, сбыт электрической энергии (мощности), организацию купли-продажи электрической энергии и мощности.

Объекты электроэнергетики – имущественные объекты, непосредственно используемые в процессе производства, передачи электрической энергии, оперативно-диспетчерского управления в электроэнергетике и сбыта электрической энергии, в том числе объекты электросетевого хозяйства. Под объектами в Приказе Министерства энергетики РФ от 6 ноября 2018 г. N 1015 имеются в виду те объекты, на площадках которых функционирует определенное основное технологическое оборудование, с установленными на этом оборудовании СУМиД, имеющими определенные базовые функции.

Основное технологическое оборудование – это оборудование, нарушение или прекращение функционирования которого приводит к потере управления объектом электроэнергетики, необратимому негативному изменению параметров его функционирования, или существенному снижению безопасности эксплуатации объекта электроэнергетики.

ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ ОСНОВНОГО ТЕХНОЛОГИЧЕСКОГО ОБОРУДОВАНИЯ ОБЪЕКТОВ ЭЛЕКТРОЭНЕРГЕТИКИ

1.1. Для выполнения организационных и функциональных требований к информационной безопасности субъект электроэнергетики при создании и последующей эксплуатации СУМиД должен руководствоваться основными функциями СУМиД, к которым относятся:

а) технологический мониторинг состояния основного технологического оборудования :

выявлением на ранних стадиях изменений технического состояния основного технологического оборудования;
оценкой остаточного ресурса элементов основного технологического оборудования;
прогнозированием вероятности наступления аварийных событий;
определением перечня технологических параметров, характеризующих отклонение показателей функционирования основного технологического оборудования от эталонных моделей;
сбором, передачей, хранением данных о состоянии основного технологического оборудования и формированием статистики на основании математических моделей с целью повышения надёжности его работы, выдачей рекомендаций по техническому обслуживанию и эксплуатации основного технологического оборудования;
предоставлением прогностических уведомлений о возможных неисправностях основного технологического оборудования и выдачей рекомендаций по их устранению;

б) удаленное управление основным технологическим оборудованием с возможностью удаленного воздействия на основное технологическое оборудование с целью изменения параметров его функционирования или его отключения, с использованием специального программного обеспечения и (или) модуля программного обеспечения СУМиД.

1.2. Субъект электроэнергетики должен соблюдать настоящие требования с учетом организационных и функциональных требований, направленных на блокирование (нейтрализацию) угроз безопасности информации, связанных с нарушением ее конфиденциальности, целостности и доступности.

1.3. Субъект электроэнергетики должен соблюдать организационные требования к обеспечению информационной безопасности СУМиД основного технологического оборудования с учетом организационных требований к компонентам программного обеспечения СУМиД, аппаратной инфраструктуры СУМиД, встроенных средств защиты информации, обеспечению контроля информационной безопасности СУМиД.

1.4. В целях выполнения организационных требований к обеспечению информационной безопасности СУМиД основного технологического оборудования субъект электроэнергетики должен использовать следующие компоненты программного и аппаратного обеспечения СУМиД:

аппаратное обеспечение верхнего, среднего и нижнего уровней;
программное обеспечение верхнего, среднего и нижнего уровней.

Для аппаратного обеспечения СУМиД верхнего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер обработки информации;
маршрутизатор;
межсетевой экран;
источники бесперебойного питания;
автоматизированные рабочие места персонала.

Для аппаратного обеспечения СУМиД среднего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер приложений;
сервер базы данных;
маршрутизатор;
межсетевой экран;
источник бесперебойного питания;
автоматизированные рабочие места персонала (в случае привлечения субъектом электроэнергетики организаций, предоставляющих услуги удаленного мониторинга и диагностики энергетического оборудования).

Для аппаратного обеспечения СУМиД нижнего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер приложений;
сервер базы данных;
маршрутизатор;
межсетевой экран;
источник бесперебойного питания;
автоматизированные рабочие места персонала.

Для программного обеспечения СУМиД по реализации функций сбора данных со среднего и нижнего уровней, формирования отчетов, формирования и актуализации математических моделей, расчета прогнозных состояний энергетического оборудования (программное обеспечение верхнего уровня СУМиД) субъект электроэнергетики должен использовать следующие компоненты:

программное обеспечение серверов хранения данных;
программное обеспечение центрального сервера хранения данных;
интерфейсы автоматизированных рабочих мест персонала;
программное обеспечение для формирования, поддержания в актуальном состоянии и уточнения математических моделей СУМиД;
программное обеспечение для моделирования процессов функционирования основного технологического оборудования, построения статистических моделей для нужд мониторинга, обнаружения и локализации отклонений, определения вероятных мест возникновения аварийных ситуаций;
программное обеспечение обработки архивных данных;
программное обеспечение для расширения функциональных возможностей (дополнительные экспертные модули);
программное обеспечение для синхронизации данных.

Для программного обеспечения по сбору данных телеметрии с нижнего уровня СУМиД, накопления и передачи данных на верхний уровень СУМиД, формирования запросов на верхний уровень, анализа технического состояния основного технологического оборудования, который не осуществляется на иных уровнях СУМиД, предварительной обработки предупредительных сообщений, формирования отчетов (программное обеспечение СУМиД среднего уровня) субъект электроэнергетики должен использовать следующие компоненты:

прикладное программное обеспечение сервера хранения данных;
системное программное обеспечение сервера хранения данных;
интерфейсы автоматизированных рабочих мест персонала (интерфейсы автоматизированных рабочих мест для разработки и поддержания в актуальном состояния математических моделей должны применяться для организаций, предоставляющих услугу удаленного мониторинга и диагностики основного технологического оборудования);
программное обеспечение для синхронизации данных между уровнями СУМиД.

Для программного обеспечения СУМиД для временного хранения информации, передачи данных на верхние уровни (программное обеспечение СУМиД нижнего уровня) субъект электроэнергетики должен использовать следующие компоненты:

прикладное программное обеспечение сервера оперативного хранения данных;
системное программное обеспечение сервера оперативного хранения данных.

Если субъектом электроэнергетики в целях выполнения организационных требований к СУМиД используются компоненты СУМиД, не указанные в настоящем пункте, субъект электроэнергетики должен использовать иные компоненты СУМиД.

Если субъектом электроэнергетики в целях выполнения организационных требований к СУМиД не используется полный перечень компонентов СУМиД, указанных в настоящем пункте, то субъект электроэнергетики должен применять используемые компоненты СУМиД с учетом архитектуры СУМиД.

1.5. Для обеспечения доступа персонала к программному обеспечению СУМиД субъект электроэнергетики должен предусмотреть процедуры идентификации и аутентификации. В процедурах идентификации и аутентификации субъектом электроэнергетики должна быть утверждена политика паролей, соответствующая следующим минимальным требованиям:

минимальная длина пароля должна быть не менее десяти символов, при формировании пароля должны использоваться числовые, буквенные (латиница и (или кириллица, прописные и (или) строчные) и специальные символы;
в целях единовременного входа при формировании временных паролей обновление не должно производиться;
в целях постоянного доступа при формировании пароля доступа обновление должно осуществляться не менее одного раза в квартал.

При обеспечении доступа персонала к программному обеспечению СУМиД субъект электроэнергетики должен предусмотреть следующие минимальные требования:

создать учетные записи, соответствующие требованиям политики паролей, в целях использования программного обеспечения СУМиД для персонала;
утвердить настройки учетных записей персонала;
отключить встроенные учетные записи (неперсонифицированные учетные записи).

1.6 . Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен предусмотреть процедуры по поддержке организации основных функций СУМиД с учетом необходимости:

обеспечения поддержки технологических процессов конечным набором программного обеспечения, перечень которого утверждается субъектом электроэнергетики;
обеспечения организационных и технических мер регистрации событий безопасности для всего программного обеспечения, входящего в состав СУМиД;
определения и настройки параметров обновления (временной интервал) программного обеспечения для информационной безопасности.

1.7. Субъектом электроэнергетики должен быть создан архив проектной и эксплуатационной документации для СУМиД. Проектная и эксплуатационная документация должна актуализироваться субъектом электроэнергетики.

1.8. Состав оборудования аппаратного обеспечения СУМиД, а также программного обеспечения, используемого для аппаратной инфраструктуры, должен утверждаться субъектом электроэнергетики в форме перечня оборудования и программного обеспечения, разрешенного к использованию.

1.9. Субъект электроэнергетики для выполнения организационных требований к обеспечению информационной безопасности СУМиД основного технологического оборудования должен выполнять процедуру формирования набора сегментов аппаратной инфраструктуры СУМиД (далее - сегментация).

По результатам сегментации аппаратная инфраструктура СУМиД должна включать в себя минимальный набор сегментов, состоящий из:

сегмента сбора, хранения и передачи данных - программного и аппаратного обеспечения нижнего уровня;
сегмента эксплуатации - программного и аппаратного обеспечения среднего уровня;
сегмента обслуживания - программного и аппаратного обеспечения верхнего уровня;
системного программного обеспечения - программного обеспечения, которое обеспечивает управление аппаратными компонентами технических средств и функционирование программного обеспечения.

После выполнения процедуры сегментации субъект электроэнергетики должен определить процессы управления информационной безопасностью СУМиД:

информационно-телекоммуникационной инфраструктурой СУМиД;
комплексом технических средств защиты информации;
программным обеспечением и аппаратными средствами СУМиД.

1.10. Субъект электроэнергетики должен определить порядок физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД, который должен быть включен в правила определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения контроля за аппаратной инфраструктурой СУМиД.

В целях физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД необходимо предусмотреть требования по порядку физического доступа персонала в зависимости от функций управления:

информационно-телекоммуникационной инфраструктурой СУМиД;
комплексом технических средств защиты информации;
программным и аппаратным обеспечением СУМиД.

Список разрешенного к использованию программного обеспечения должен утверждаться субъектом электроэнергетики с учетом пунктов 1.4 и 1.5 настоящих требований. Использование программного обеспечения, не внесенного в списки разрешенного к использованию, не допускается.

Для серверного оборудования и автоматизированных рабочих мест персонала субъекта электроэнергетики, выполняющего функции управления комплексом технических средств защиты информации, информационно-телекоммуникационной инфраструктуры СУМиД, должны быть обеспечены следующие меры информационной безопасности СУМиД:

включены персональные межсетевые экраны, которые должны обеспечивать блокировку сетевого доступа, не предусмотренного функционированием СУМиД;
установлены пароли для доступа персонала к программному обеспечению и актуальные средства антивирусной защиты с обновлениями.

1.11. Для предотвращения угроз информационной безопасности СУМиД в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.

Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:

реализовать минимальный комплекс мероприятий для обеспечения безопасности среды функционирования аппаратной инфраструктуры СУМиД организационных требований к обеспечению информационной безопасности аппаратной инфраструктуры СУМиД в соответствии с таблицей мероприятия по обеспечению безопасности среды функционирования аппаратной инфраструктуры СУМиД и цели информационной безопасности ;
применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании".

1.12. Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен руководствоваться требовании пунктов 1.6-1.11 настоящих требований.

1.13. Для обеспечения информационной безопасности встроенных средств защиты информации в отношении СУМиД в качестве меры по обеспечению предотвращения угроз информационной безопасности СУМиД субъектом электроэнергетики должна проводиться проверка соответствия встроенных средств защиты информационной безопасности СУМиД следующим целям информационной безопасности СУМиД:

аудит событий информационной безопасности;
обеспечение криптографической защиты;
дискретный доступ пользователей системы;
контроль сетевого взаимодействия;
передача атрибутов безопасности;
идентификация и аутентификация;
конфигурация безопасности;
установление доверенных соединений;
доступность информации.

1.14. Для обеспечения контроля информационной безопасности СУМиД субъектом электроэнергетики должен быть предусмотрен контроль соответствия и исполнения требований информационной безопасности СУМиД.

В целях обеспечения мер по предотвращению утечек информации, сбор, обработка и хранение которой осуществляется СУМиД, субъект электроэнергетики должен реализовываться комплекс мероприятий по:

контролю проектной документации и исходного состояния программного обеспечения;
защите от несанкционированного доступа к информации о технических и технологических параметрах основного технологического оборудования;
обеспечению формирования и хранения отчетности указанных мероприятий.

1.15. В качестве базового набора средств контроля информационной безопасности СУМиД субъект электроэнергетики должен:

утвердить политику информационной безопасности для СУМиД, сформированную в соответствии с требованиями к обеспечению информационной безопасности систем удаленного мониторинга и диагностики при их создании и последующей эксплуатаци;
распределить обязанности по обеспечению информационной безопасности СУМиД внутри организации;
проводить обучение и подготовку персонала по обеспечению информационной безопасности СУМиД;
проводить обучение и подготовку персонала по поддержанию режима информационной безопасности СУМиД;
организовать процессы уведомления о случаях нарушения защиты СУМиД;
применять для СУМиД средства защиты от исполняемых (компьютерных, программных) кодов или интерпретируемых наборов инструкций, обладающих свойством несанкционированного распространения и самовоспроизведения (вирусы);
обеспечивать защиту данных и проектной документации СУМиД;
осуществлять контроль соответствия СУМиД утвержденной политике информационной безопасности.

1.16. Для обеспечения контроля информационной безопасности СУМиД субъект электроэнергетики должен руководствоваться требованиями пунктов 1.14 и 1.15 настоящих требований.

1.17. Субъектом электроэнергетики должно проводиться категорирование СУМиД в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) и постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).

1.18. Субъектом электроэнергетики в отношении СУМиД должны выполняться требования к организационно-распорядительным документам по безопасности значимых объектов критической информационной инфраструктуры Российской Федерации в соответствии с требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 N 235 (зарегистрирован Минюстом России 22.02.2018, регистрационный N 50118) (далее - Требования к созданию систем безопасности).

ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ ПРИ ИХ СОЗДАНИИ И ПОСЛЕДУЮЩЕЙ ЭКСПЛУАТАЦИИ

2.1. Меры по защите информации должны применяться на всех стадиях (этапах) создания СУМиД, определенных ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания", утвержденным и введенным в действие постановлением Госстандарта СССР от 29.12.1990 N 3469 (ИПК Издательство стандартов, 1997).

2.2. Для обеспечения информационной безопасности СУМиД при создании и последующей эксплуатации СУМиД функция технологического мониторинга состояния основного технологического оборудования в части сбора, хранения и передачи данных должна осуществляться посредством инфраструктуры сбора, хранения и передачи данных (центров обработки данных), расположенной на территории Российской Федерации.

Если при реализации функции технологического мониторинга состояния основного технологического оборудования при передаче данных эксплуатируются сети связи общего пользования, то при передаче данных должны использоваться средства защиты информации, прошедшие оценку соответствия в соответствии с требованиями Федерального закона N 184-ФЗ.

2.3. Если в СУМиД предусмотрена функция удаленного управления основным технологическим оборудованием с использованием специального программного обеспечения и/или модуля программного обеспечения СУМиД, то для такого программного обеспечения и/или модуля программного обеспечения СУМиД должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей.

2.4. Требования к обеспечению информационной безопасности СУМиД должны соблюдаться субъектом электроэнергетики вместе с требованиями к моделированию угроз и функциональными требованиями, предусмотренными пунктами 2.4 – 2.7 настоящих требований.

2.5. Для моделирования угроз информационной безопасности СУМиД субъекту электроэнергетики необходимо выполнить процедуру моделирования и описать базовую модель угроз информационной безопасности СУМиД.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен оценивать существующие уязвимости СУМиД и её компонентов, вероятность угроз и их реализацию (использование), опасности рассматриваемой угрозы с точки зрения потенциальных последствий и деструктивных действий, выполняемых в результате реализации угроз.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с п.21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2018, N 20, ст. 2818), а также иные доступные источники, содержащие сведения об уязвимостях и угрозах безопасности информации СУМиД;
результаты оценки вероятности реализации уязвимостей компонент СУМиД.

На основании входных данных для моделирования угроз информационной безопасности субъект электроэнергетики должен сформировать перечень актуальных угроз информационной безопасности СУМиД.

2.6. По результатам моделирования угроз информационной безопасности СУМиД субъектом электроэнергетики должна быть разработана модель угроз информационной безопасности СУМиД, на основании которой формируется политика информационной безопасности. Политика информационной безопасности СУМиД должна включать в себя функциональные требования к информационной безопасности СУМиД.

Для разработки модели угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

описание СУМиД, характеристики функций СУМиД, результаты процедуры сегментации;
описание источников угроз, типовых уязвимостей, объектов воздействия, деструктивных действий в отношении СУМиД;
модели нарушителя информационной безопасности СУМиД.

При описании источников угроз информационной безопасности СУМиД субъектом электроэнергетики должны использоваться следующие источники угроз информационной безопасности СУМиД:

конкуренты;
криминальные элементы (структуры);
недобросовестные партнеры;
работники (персонал) организации (субъекта электроэнергетики);
лица, осуществляющие создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
разработчики и производители технических средств и программного обеспечения.

Для определения типовых угроз СУМиД субъектом электроэнергетики должен быть проведен анализ уязвимостей в отношении:

семейства протоколов, предоставляющих интерфейс для управления объектами автоматизации и технологическими процессами;
прикладного программного обеспечения, систем управления базами данных;
операционных систем.

Для проведения анализа уязвимостей необходимо использовать перечни:

базовых атак, необходимых при анализе уязвимостей и построении модели угроз СУМиД, приведенных в перечни базовых атак, необходимых при анализе уязвимостей и построении модели угроз СУМиД;
базовых уязвимостей СУМиД, необходимых для проведения анализа уязвимостей СУМиД и построения модели угроз СУМиД, приведенных в перечни базовых уязвимостей СУМиД, необходимых для проведения анализа уязвимостей СУМиД и построения модели угроз СУМиД.

Для описания основных объектов воздействия СУМиД необходимо применять следующий перечень объектов воздействия:

а) серверы автоматизированой системы управления и СУМиД среднего и нижнего уровней;

б) сетевой контур взаимодействия между:

сервером СУМиД нижнего уровня и автоматизированным рабочим местом персонала;
серверами СУМиД нижнего, среднего и верхнего уровней;
сервером СУМиД верхнего уровня и прикладным программным обеспечением (средства обработки данных и разработки математических моделей);
сервером СУМиД и автоматизированным рабочим местом персонала.

Субъект электроэнергетики вправе определять дополнительные объекты воздействия СУМиД.

Определение возможных деструктивных действий в отношении безопасности информации СУМиД для каждой из угроз информационной безопасности СУМиД должны осуществляться субъектом электроэнергетики в соответствии в требованиях в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования.

Для определения основных деструктивных действий в отношении информационной безопасности СУМиД субъект электроэнергетики должен использовать следующие деструктивные действия:

несанкционированное копирование информации;
уничтожение информации (носителя информации);
модифицирование информации (изменение исходной информации на ложную);
блокирование информации;
перехват информации при ее передаче по каналам связи;
разглашение информации персоналом;
хищение носителя информации;
нанесение ущерба здоровью персонала и окружающим людям;
нанесение ущерба окружающей среде;
физическое повреждение объекта защиты или его компонент;
блокирование контроля над объектом защиты.

Субъект электроэнергетики вправе определять дополнительные деструктивные действия в отношении СУМиД.

2.7. Для обеспечения контроля информационной безопасности компонент СУМиД, приведенных в пункте 1.4 настоящих требований, и персонала субъект электроэнергетики должен установить модель нарушителя информационной безопасности СУМиД.

Модели нарушителей информационной безопасности СУМиД должны быть утверждены субъектом электроэнергетики.

Виды нарушителей для определения модели нарушителей информационной безопасности СУМиД приведены в требованиях в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования.

2.8. Для достижения целей информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться функциональные требования к информационной безопасности СУМиД.

2.9. Для подтверждения соответствия СУМиД настоящим требованиям субъектом электроэнергетики должна проводиться оценка СУМиД и её подсистемы безопасности в форме аттестации СУМиД в соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15.02.2017 N 27 (зарегистрирован Минюстом России 14.03.2017, регистрационный N 45933) (далее - Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах).

2.10. Информационная безопасность СУМиД, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, должна обеспечиваться субъектом электроэнергетики в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 N 239 (зарегистрирован Минюстом России 26.03.2018, регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 09.08.2018 N 138 (зарегистрирован Минюстом России 05.09.2018, регистрационный N 52071), а также требованиями к созданию систем безопасности с учетом пунктов 2.2-2.3 настоящих требований.

2.11. Для обеспечения системы информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться требования ко встроенным стредствам защиты.

Для обеспечения системы безопасности компонент СУМиД субъект электроэнергетики должен выполнять требования, установленные требованиями к созданию систем безопасности.

При организации работ по обеспечению безопасности СУМиД в рамках функционирования системы безопасности субъект электроэнергетики должен выполнять требования, установленные требованиями к созданию систем безопасности.

2.12 Ввод в действие СУМиД и ее подсистемы безопасности должен осуществляться после получения аттестата соответствия СУМиД.

МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ СРЕДЫ ФУНКЦИОНИРОВАНИЯ АППАРАТНОЙ ИНФРАСТРУКТУРЫ СУМИД И ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Минимальный комплекс мероприятий для обеспечения безопасности среды функционирования аппаратной инфраструктуры СУМиД организационных требований к обеспечению информационной безопасности аппаратной инфраструктуры СУМиД;

Мероприятие	Описание
3.1 Контроль физического доступа	В местах размещения аппаратной инфраструктуры СУМиД должен быть обеспечен контроль физического доступа.
3.2 Безопасная установка	Процесс установки, инсталляции и администрирования аппаратной инфраструктуры, программного обеспечения СУМиД должен соответствовать требованиям политики информационной безопасности, утвержденной собственником или иным законным владельцем объекта электроэнергетики. Контроль соответствия требований информационной безопасности осуществляется субъектом электроэнергетики.
3.3 Повышение осведомленности	Администраторы СУМиД должны пройти обучение способам администрирования программного обеспечения и получить сертификат об окончании обучения. В составе программы обучения должны входить мероприятия по получению знаний и навыков реализации требований информационной безопасности, действующих в Российской Федерации.
3.4 Администрирование безопасности	В рамках организационной структуры подразделения, эксплуатирующего программное обеспечение, должна быть предусмотрена роль администратора информационной безопасности. Роль администратора информационной безопасности должна быть регламентирована и утверждена субъектом электроэнергетики. В качестве исполнителя роли администратора информационной безопасности может быть только сотрудник объекта в соответствии со штатным расписанием.

Заключение

Рассматриваемый Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 утверждает комплекс мер по обеспечению информационной безопасности СУМиД, которые влияют на функционирование основного технологического оборудования Субъектов электроэнергетики.

Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 относит СУМиД к объектам критической информационной инфраструктуры и предписывает проведение категорирования СУМиД согласно Постановлению Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации». Впоследствии Субъекты электроэнергетики должны реализовать требования, установленные приказом ФСТЭК России от 21.12.2017 № 235 и Приказом ФСТЭК России от 25.12.2017 № 239 для критически значимых объектов, которые хоть и имеют схожесть с требованиями Приказа, но не исключают обязанностей по их выполнению. Если в отношении СУМиД будет сделан вывод об отсутствии необходимости присвоения категории значимости, то обязательными к выполнению будут только требования Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015.

Выполнение требований Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015 должно помочь в снижении рисков для критически важных объектов, которые связаны с СУМиД, в части минимизации угрозы удаленного управления объектами или нарушения целостности информации, на основе которой принимаются управленческие решения.

Используемые в СУМиД средства защиты информации должны пройти сертификацию в соответствии с ФЗ от 27.12.2002 № 184-ФЗ «О техническом регулировании». Относительно встроенных средств защиты информации Субъектом должна быть проведена проверка соответствия целям ИБ.

В Приказе Министерства энергетики РФ от 6 ноября 2018 г. N 1015 содержится описание модели угроз для СУМиД, адаптированной для сферы электроэнергетики. В качестве входных данных для моделирования угроз используется Банк данных угроз ФСТЭК России и результаты оценки вероятности реализации уязвимостей компонентов СУМиД. Также в Приказе Министерства энергетики РФ от 6 ноября 2018 г. N 1015 представлен перечень базовых атак на СУМиД, выполняемых при реализации угроз безопасности информации, который необходимо учитывать при анализе уязвимостей; перечень базовых уязвимостей, основные деструктивные действия и классификация для модели нарушителя.

В случае, если СУМиД обладает функционалом удаленного управления основным технологическим оборудованием, то для такого программного обеспечения и/или модуля программного обеспечения СУМиД должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей.

Защита персональных данных– это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Федеральный закон о персональных данных от 27.07.2006 № 152-ФЗ регулирует отношения, связанные с получением и обработкой пересданных, с целью защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Список используемых источников

Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования"
Habr – база знаний для всех, кто создаёт IT-продукты

https://habr.com/ru/post/463649/

Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ
ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания"

Москва 2022 г.