Файл: обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технического оборудования объектов электроэнергетики.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 03.12.2023

Просмотров: 90

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Заключение

Список используемых источников


При обеспечении доступа персонала к программному обеспечению СУМиД субъект электроэнергетики должен предусмотреть следующие минимальные требования:

  • создать учетные записи, соответствующие требованиям политики паролей, в целях использования программного обеспечения СУМиД для персонала;

  • утвердить настройки учетных записей персонала;

  • отключить встроенные учетные записи (неперсонифицированные учетные записи).

1.6 . Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен предусмотреть процедуры по поддержке организации основных функций СУМиД с учетом необходимости:

  • обеспечения поддержки технологических процессов конечным набором программного обеспечения, перечень которого утверждается субъектом электроэнергетики;

  • обеспечения организационных и технических мер регистрации событий безопасности для всего программного обеспечения, входящего в состав СУМиД;

  • определения и настройки параметров обновления (временной интервал) программного обеспечения для информационной безопасности.

1.7. Субъектом электроэнергетики должен быть создан архив проектной и эксплуатационной документации для СУМиД. Проектная и эксплуатационная документация должна актуализироваться субъектом электроэнергетики.

1.8. Состав оборудования аппаратного обеспечения СУМиД, а также программного обеспечения, используемого для аппаратной инфраструктуры, должен утверждаться субъектом электроэнергетики в форме перечня оборудования и программного обеспечения, разрешенного к использованию.

1.9. Субъект электроэнергетики для выполнения организационных требований к обеспечению информационной безопасности СУМиД основного технологического оборудования должен выполнять процедуру формирования набора сегментов аппаратной инфраструктуры СУМиД (далее - сегментация).

По результатам сегментации аппаратная инфраструктура СУМиД должна включать в себя минимальный набор сегментов, состоящий из:

  • сегмента сбора, хранения и передачи данных - программного и аппаратного обеспечения нижнего уровня;

  • сегмента эксплуатации - программного и аппаратного обеспечения среднего уровня;

  • сегмента обслуживания - программного и аппаратного обеспечения верхнего уровня;

  • системного программного обеспечения - программного обеспечения, которое обеспечивает управление аппаратными компонентами технических средств и функционирование программного обеспечения.

После выполнения процедуры сегментации субъект электроэнергетики должен определить процессы управления информационной безопасностью СУМиД:

  • информационно-телекоммуникационной инфраструктурой СУМиД;

  • комплексом технических средств защиты информации;

  • программным обеспечением и аппаратными средствами СУМиД.

1.10. Субъект электроэнергетики должен определить порядок физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД, который должен быть включен в правила определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения контроля за аппаратной инфраструктурой СУМиД.

В целях физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД необходимо предусмотреть требования по порядку физического доступа персонала в зависимости от функций управления:

  • информационно-телекоммуникационной инфраструктурой СУМиД;

  • комплексом технических средств защиты информации;

  • программным и аппаратным обеспечением СУМиД.

Список разрешенного к использованию программного обеспечения должен утверждаться субъектом электроэнергетики с учетом пунктов 1.4 и 1.5 настоящих требований. Использование программного обеспечения, не внесенного в списки разрешенного к использованию, не допускается.

Для серверного оборудования и автоматизированных рабочих мест персонала субъекта электроэнергетики, выполняющего функции управления комплексом технических средств защиты информации, информационно-телекоммуникационной инфраструктуры СУМиД, должны быть обеспечены следующие меры информационной безопасности СУМиД:

  • включены персональные межсетевые экраны, которые должны обеспечивать блокировку сетевого доступа, не предусмотренного функционированием СУМиД;

  • установлены пароли для доступа персонала к программному обеспечению и актуальные средства антивирусной защиты с обновлениями.

1.11. Для предотвращения угроз информационной безопасности СУМиД в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.

Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:

  • реализовать минимальный комплекс мероприятий для обеспечения безопасности среды функционирования аппаратной инфраструктуры СУМиД организационных требований к обеспечению информационной безопасности аппаратной инфраструктуры СУМиД в соответствии с таблицей мероприятия по обеспечению безопасности среды функционирования аппаратной инфраструктуры СУМиД и цели информационной безопасности ;

  • применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании".

1.12. Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен руководствоваться требовании пунктов 1.6-1.11 настоящих требований.

1.13. Для обеспечения информационной безопасности встроенных средств защиты информации в отношении СУМиД в качестве меры по обеспечению предотвращения угроз информационной безопасности СУМиД субъектом электроэнергетики должна проводиться проверка соответствия встроенных средств защиты информационной безопасности СУМиД следующим целям информационной безопасности СУМиД:

  • аудит событий информационной безопасности;

  • обеспечение криптографической защиты;

  • дискретный доступ пользователей системы;

  • контроль сетевого взаимодействия;

  • передача атрибутов безопасности;

  • идентификация и аутентификация;

  • конфигурация безопасности;

  • установление доверенных соединений;

  • доступность информации.

1.14. Для обеспечения контроля информационной безопасности СУМиД субъектом электроэнергетики должен быть предусмотрен контроль соответствия и исполнения требований информационной безопасности СУМиД.

В целях обеспечения мер по предотвращению утечек информации, сбор, обработка и хранение которой осуществляется СУМиД, субъект электроэнергетики должен реализовываться комплекс мероприятий по:

  • контролю проектной документации и исходного состояния программного обеспечения;

  • защите от несанкционированного доступа к информации о технических и технологических параметрах основного технологического оборудования;

  • обеспечению формирования и хранения отчетности указанных мероприятий.

1.15. В качестве базового набора средств контроля информационной безопасности СУМиД субъект электроэнергетики должен:

  • утвердить политику информационной безопасности для СУМиД, сформированную в соответствии с требованиями к обеспечению информационной безопасности систем удаленного мониторинга и диагностики при их создании и последующей эксплуатаци;

  • распределить обязанности по обеспечению информационной безопасности СУМиД внутри организации;

  • проводить обучение и подготовку персонала по обеспечению информационной безопасности СУМиД;

  • проводить обучение и подготовку персонала по поддержанию режима информационной безопасности СУМиД;

  • организовать процессы уведомления о случаях нарушения защиты СУМиД;

  • применять для СУМиД средства защиты от исполняемых (компьютерных, программных) кодов или интерпретируемых наборов инструкций, обладающих свойством несанкционированного распространения и самовоспроизведения (вирусы);

  • обеспечивать защиту данных и проектной документации СУМиД;

  • осуществлять контроль соответствия СУМиД утвержденной политике информационной безопасности.

1.16. Для обеспечения контроля информационной безопасности СУМиД субъект электроэнергетики должен руководствоваться требованиями пунктов 1.14 и 1.15 настоящих требований.

1.17. Субъектом электроэнергетики должно проводиться категорирование СУМиД в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) и постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).

1.18. Субъектом электроэнергетики в отношении СУМиД должны выполняться требования к организационно-распорядительным документам по безопасности значимых объектов критической информационной инфраструктуры Российской Федерации в соответствии с требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 N 235 (зарегистрирован Минюстом России 22.02.2018, регистрационный N 50118) (далее - Требования к созданию систем безопасности).

  1. ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО МОНИТОРИНГА И ДИАГНОСТИКИ ПРИ ИХ СОЗДАНИИ И ПОСЛЕДУЮЩЕЙ ЭКСПЛУАТАЦИИ


2.1. Меры по защите информации должны применяться на всех стадиях (этапах) создания СУМиД, определенных ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания", утвержденным и введенным в действие постановлением Госстандарта СССР от 29.12.1990 N 3469 (ИПК Издательство стандартов, 1997).

2.2. Для обеспечения информационной безопасности СУМиД при создании и последующей эксплуатации СУМиД функция технологического мониторинга состояния основного технологического оборудования в части сбора, хранения и передачи данных должна осуществляться посредством инфраструктуры сбора, хранения и передачи данных (центров обработки данных), расположенной на территории Российской Федерации.

Если при реализации функции технологического мониторинга состояния основного технологического оборудования при передаче данных эксплуатируются сети связи общего пользования, то при передаче данных должны использоваться средства защиты информации, прошедшие оценку соответствия в соответствии с требованиями Федерального закона N 184-ФЗ.


2.3. Если в СУМиД предусмотрена функция удаленного управления основным технологическим оборудованием с использованием специального программного обеспечения и/или модуля программного обеспечения СУМиД, то для такого программного обеспечения и/или модуля программного обеспечения СУМиД должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей.

2.4. Требования к обеспечению информационной безопасности СУМиД должны соблюдаться субъектом электроэнергетики вместе с требованиями к моделированию угроз и функциональными требованиями, предусмотренными пунктами 2.4 – 2.7 настоящих требований.

2.5. Для моделирования угроз информационной безопасности СУМиД субъекту электроэнергетики необходимо выполнить процедуру моделирования и описать базовую модель угроз информационной безопасности СУМиД.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен оценивать существующие уязвимости СУМиД и её компонентов, вероятность угроз и их реализацию (использование), опасности рассматриваемой угрозы с точки зрения потенциальных последствий и деструктивных действий, выполняемых в результате реализации угроз.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

  • банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с п.21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2018, N 20, ст. 2818), а также иные доступные источники, содержащие сведения об уязвимостях и угрозах безопасности информации СУМиД;

  • результаты оценки вероятности реализации уязвимостей компонент СУМиД.

На основании входных данных для моделирования угроз информационной безопасности субъект электроэнергетики должен сформировать перечень актуальных угроз информационной безопасности СУМиД.

2.6. По результатам моделирования угроз информационной безопасности СУМиД субъектом электроэнергетики должна быть разработана модель угроз информационной безопасности СУМиД, на основании которой формируется политика информационной безопасности. Политика информационной безопасности СУМиД должна включать в себя функциональные требования к информационной безопасности СУМиД.

Смотрите также файлы