Дистанционное управление ключевыми элементами сетей электроэнергетики требует особо ответственного отношения со стороны ответственных субъектов, в связи с чем Министерство энергетики опубликовало ряд новых требований к обеспечению безопасности ЗО КИИ.
Но давайте разберем как регулируются в целом удаленное взаимодействие с ЗО КИИ в сфере электроэнергетики.
Что говорят законодатели об удаленном доступе и управлении
Удаленное взаимодействие можно разделить на три вида.
1. Удаленный мониторинг.
2. Удаленное управление.
3. Удаленный доступ.
В части удаленного мониторинга существуют требования к созданию и эксплуатации систем удаленного мониторинга и диагностики энергетического оборудования, утвержденные приказом Министерства энергетики Российской Федерации от 06.11.2018 № 1015. Приказ устанавливает значительное количество требований к системам удаленного мониторинга и диагностики, начиная с этапа создания. Однако в настоящей момент часть требований уже устарела.
В соответствии с п. 31 приказа ФСТЭК России от 25.12.2017 № 239 в части удаленного доступа установлено следующее:
1. В значимом объекте не допускается наличие удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ.
2. В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие:
-
- определение лиц и устройств, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, предоставление им минимальных полномочий при доступе к этим средствам;
- контроль доступа к программным и программно-аппаратным средствам значимого объекта;
- защиту информации и данных при их передаче по каналам связи при удаленном доступе к программным и программно-аппаратным средствам значимого объекта;мониторинг и регистрацию действий лиц, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий;
- обеспечение невозможности отказа лиц от выполненных действий при осуществлении удаленного доступа к программным и программно-аппаратным средствам значимого объекта.
3. В значимом объекте могут приниматься дополнительные организационные и технические меры по обеспечению безопасности удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопасности информации, приведенных в модели угроз безопасности.
В части удаленного управления каких-либо особых требований ранее установлено не было. Существуют лишь рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры. Согласно им рекомендуется принятие таких мер, как:
-
- Определение перечня средств вычислительной техники, которые будут предоставлены работникам для удаленной работы, и перечня информации и информационных ресурсов, к которым будет предоставляться удаленный доступ.
- Назначение минимально необходимых прав и привилегий пользователям при удаленной работе.
- Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом «белого списка».
- Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ.
- Организация защищенного доступа с удаленного СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN-клиент).
- Применение на удаленных СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путём их ежедневного обновления.
- Обеспечение мониторинга безопасности объектов критической информационной инфраструктуры, в том числе ведения журналов регистрации действий работников удаленных СВТ и их анализа.
Новый приказ Минэнерго
Какие ключевые нововведения вступили в силу 1 сентября 2024 года:
1. Запрет на доступ через Интернет к тем сегментам тех.сетей связи, которые задействованы в управлении элементами электроэнергетики через диспетчерские центры.
2. При организации взаимодействия диспетчерских сетей с внешними обязательно использование межсетевых экранов.
3. Использование СрЗИ, которые встроены в ПО или ПАК, теперь входит в перечень обязательных требований.
4. Процессы, которые направлены на исправление и поиск уязвимостей в ПО диспетчерских центров, должны бесперебойно функционировать.
5. Информация об уязвимостях, обновлениях, ограничениях должна доводиться до пользователей ПО диспетчерских центров. Порядок и периодичность информирования должны быть установлены локальными нормативными актами. При этом за полноту, достоверность и содержание информации отвечает разработчик программного обеспечения (или его производитель).
6. Согласно положениям Приказа, Министерство обязало субъекты организовать защиту трафика между центрами диспетчерского управления и центрами управления сетями (ЦУС) – для этого должны использоваться виртуальные локальные сети и инструменты криптографии.
7. Криптографические шифрование должно применяться для любых сегментов, ПАК или систем, используемых при организации диспетчерского управления. При этом следует обязательно предусмотреть:
-
- межсетевые экраны;
- защиту целостности трафика;
- наличие и функционирование актуального и эффективного антивирусного ПО.
8. Защищенное соединение должно быть обязательно организовано между такими элементами, как:
-
- устройства передачи и сервера обработки команд (либо средства телемеханики);
- локальными сетями и криптошлюзом диспетчерского центра.
Требования Приказа распространяются на все субъекты электроэнергетики, которые используют дистанционное управление режимами и эксплуатационным состоянием сетей и сетевого оборудования.
Документ вступил в силу 01.09.2024 г. и будет действовать вплоть до 01.09.2030 г.