Файл: обеспечение безопасности функционирования аппаратной инфраструктуры систем удалённого мониторинга и диагностики основного технического оборудования объектов электроэнергетики.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 03.12.2023

Просмотров: 93

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Для разработки модели угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

  • описание СУМиД, характеристики функций СУМиД, результаты процедуры сегментации;

  • описание источников угроз, типовых уязвимостей, объектов воздействия, деструктивных действий в отношении СУМиД;

  • модели нарушителя информационной безопасности СУМиД.

При описании источников угроз информационной безопасности СУМиД субъектом электроэнергетики должны использоваться следующие источники угроз информационной безопасности СУМиД:

  • конкуренты;

  • криминальные элементы (структуры);

  • недобросовестные партнеры;

  • работники (персонал) организации (субъекта электроэнергетики);

  • лица, осуществляющие создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;

  • разработчики и производители технических средств и программного обеспечения.

Для определения типовых угроз СУМиД субъектом электроэнергетики должен быть проведен анализ уязвимостей в отношении:

  • семейства протоколов, предоставляющих интерфейс для управления объектами автоматизации и технологическими процессами;

  • прикладного программного обеспечения, систем управления базами данных;

  • операционных систем.

Для проведения анализа уязвимостей необходимо использовать перечни:

  • базовых атак, необходимых при анализе уязвимостей и построении модели угроз СУМиД, приведенных в перечни базовых атак, необходимых при анализе уязвимостей и построении модели угроз СУМиД;

  • базовых уязвимостей СУМиД, необходимых для проведения анализа уязвимостей СУМиД и построения модели угроз СУМиД, приведенных в перечни базовых уязвимостей СУМиД, необходимых для проведения анализа уязвимостей СУМиД и построения модели угроз СУМиД.

Для описания основных объектов воздействия СУМиД необходимо применять следующий перечень объектов воздействия:

а) серверы автоматизированой системы управления и СУМиД среднего и нижнего уровней;

б) сетевой контур взаимодействия между:

  • сервером СУМиД нижнего уровня и автоматизированным рабочим местом персонала;

  • серверами СУМиД нижнего, среднего и верхнего уровней;

  • сервером СУМиД верхнего уровня и прикладным программным обеспечением (средства обработки данных и разработки математических моделей);

  • сервером СУМиД и автоматизированным рабочим местом персонала.


Субъект электроэнергетики вправе определять дополнительные объекты воздействия СУМиД.

Определение возможных деструктивных действий в отношении безопасности информации СУМиД для каждой из угроз информационной безопасности СУМиД должны осуществляться субъектом электроэнергетики в соответствии в требованиях в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования.

Для определения основных деструктивных действий в отношении информационной безопасности СУМиД субъект электроэнергетики должен использовать следующие деструктивные действия:

  • несанкционированное копирование информации;

  • уничтожение информации (носителя информации);

  • модифицирование информации (изменение исходной информации на ложную);

  • блокирование информации;

  • перехват информации при ее передаче по каналам связи;

  • разглашение информации персоналом;

  • хищение носителя информации;

  • нанесение ущерба здоровью персонала и окружающим людям;

  • нанесение ущерба окружающей среде;

  • физическое повреждение объекта защиты или его компонент;

  • блокирование контроля над объектом защиты.

Субъект электроэнергетики вправе определять дополнительные деструктивные действия в отношении СУМиД.

2.7. Для обеспечения контроля информационной безопасности компонент СУМиД, приведенных в пункте 1.4 настоящих требований, и персонала субъект электроэнергетики должен установить модель нарушителя информационной безопасности СУМиД.

Модели нарушителей информационной безопасности СУМиД должны быть утверждены субъектом электроэнергетики.

Виды нарушителей для определения модели нарушителей информационной безопасности СУМиД приведены в требованиях в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования.

2.8. Для достижения целей информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться функциональные требования к информационной безопасности СУМиД.

2.9. Для подтверждения соответствия СУМиД настоящим требованиям субъектом электроэнергетики должна проводиться оценка СУМиД и её подсистемы безопасности в форме аттестации СУМиД в

соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15.02.2017 N 27 (зарегистрирован Минюстом России 14.03.2017, регистрационный N 45933) (далее - Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах).

2.10. Информационная безопасность СУМиД, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, должна обеспечиваться субъектом электроэнергетики в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 N 239 (зарегистрирован Минюстом России 26.03.2018, регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 09.08.2018 N 138 (зарегистрирован Минюстом России 05.09.2018, регистрационный N 52071), а также требованиями к созданию систем безопасности с учетом пунктов 2.2-2.3 настоящих требований.

2.11. Для обеспечения системы информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться требования ко встроенным стредствам защиты.

Для обеспечения системы безопасности компонент СУМиД субъект электроэнергетики должен выполнять требования, установленные требованиями к созданию систем безопасности.

При организации работ по обеспечению безопасности СУМиД в рамках функционирования системы безопасности субъект электроэнергетики должен выполнять требования, установленные требованиями к созданию систем безопасности.

2.12 Ввод в действие СУМиД и ее подсистемы безопасности должен осуществляться после получения аттестата соответствия СУМиД.
  1. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ СРЕДЫ ФУНКЦИОНИРОВАНИЯ АППАРАТНОЙ ИНФРАСТРУКТУРЫ СУМИД И ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Минимальный комплекс мероприятий для обеспечения безопасности среды функционирования аппаратной инфраструктуры СУМиД организационных требований к обеспечению информационной безопасности аппаратной инфраструктуры СУМиД;

Мероприятие

Описание

3.1 Контроль физического доступа


В местах размещения аппаратной инфраструктуры СУМиД должен быть обеспечен контроль физического доступа.

3.2 Безопасная установка


Процесс установки, инсталляции и администрирования аппаратной инфраструктуры, программного обеспечения СУМиД должен соответствовать требованиям политики информационной безопасности, утвержденной собственником или иным законным владельцем объекта электроэнергетики. Контроль соответствия требований информационной безопасности осуществляется субъектом электроэнергетики.

3.3 Повышение осведомленности


Администраторы СУМиД должны пройти обучение способам администрирования программного обеспечения и получить сертификат об окончании обучения.

В составе программы обучения должны входить мероприятия по получению знаний и навыков реализации требований информационной безопасности, действующих в Российской Федерации.

3.4 Администрирование безопасности


В рамках организационной структуры подразделения, эксплуатирующего программное обеспечение, должна быть предусмотрена роль администратора информационной безопасности.

Роль администратора информационной безопасности должна быть регламентирована и утверждена субъектом электроэнергетики.

В качестве исполнителя роли администратора информационной безопасности может быть только сотрудник объекта в соответствии со штатным расписанием.


.

Заключение


Рассматриваемый Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 утверждает комплекс мер по обеспечению информационной безопасности СУМиД, которые влияют на функционирование основного технологического оборудования Субъектов электроэнергетики.

Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 относит СУМиД к объектам критической информационной инфраструктуры и предписывает проведение категорирования СУМиД согласно Постановлению Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации». Впоследствии Субъекты электроэнергетики должны реализовать требования, установленные приказом ФСТЭК России от 21.12.2017 № 235 и Приказом ФСТЭК России от 25.12.2017 № 239 для критически значимых объектов, которые хоть и имеют схожесть с требованиями Приказа, но не исключают обязанностей по их выполнению. Если в отношении СУМиД будет сделан вывод об отсутствии необходимости присвоения категории значимости, то обязательными к выполнению будут только требования Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015.

Выполнение требований Приказа Министерства энергетики РФ от 6 ноября 2018 г. N 1015 должно помочь в снижении рисков для критически важных объектов, которые связаны с СУМиД, в части минимизации угрозы удаленного управления объектами или нарушения целостности информации, на основе которой принимаются управленческие решения.

Используемые в СУМиД средства защиты информации должны пройти сертификацию в соответствии с ФЗ от 27.12.2002 № 184-ФЗ «О техническом регулировании». Относительно встроенных средств защиты информации Субъектом должна быть проведена проверка соответствия целям ИБ.

В Приказе Министерства энергетики РФ от 6 ноября 2018 г. N 1015 содержится описание модели угроз для СУМиД, адаптированной для сферы электроэнергетики. В качестве входных данных для моделирования угроз используется Банк данных угроз ФСТЭК России и результаты оценки вероятности реализации уязвимостей компонентов СУМиД. Также в Приказе Министерства энергетики РФ от 6 ноября 2018 г. N 1015 представлен перечень базовых атак на СУМиД, выполняемых при реализации угроз безопасности информации, который необходимо учитывать при анализе уязвимостей; перечень базовых уязвимостей, основные деструктивные действия и классификация для модели нарушителя.


В случае, если СУМиД обладает функционалом удаленного управления основным технологическим оборудованием, то для такого программного обеспечения и/или модуля программного обеспечения СУМиД должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей.

Защита персональных данных– это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Федеральный закон о персональных данных от 27.07.2006 № 152-ФЗ регулирует отношения, связанные с получением и обработкой пересданных, с целью защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Список используемых источников


  1. Приказ Министерства энергетики РФ от 6 ноября 2018 г. N 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования"

  2. Habr – база знаний для всех, кто создаёт IT-продукты

https://habr.com/ru/post/463649/

  1. Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ

  2. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ

  1. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ

  2. ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания"




Москва 2022 г.