III. Требования к обеспечению информационной безопасности систем удаленного мониторинга и диагностики при их создании и последующей эксплуатации

III. Требования к обеспечению информационной безопасности

систем удаленного мониторинга и диагностики при их создании

и последующей эксплуатации

22. Меры по защите информации должны применяться на всех стадиях (этапах) создания СУМиД, определенных ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания", утвержденным и введенным в действие постановлением Госстандарта СССР от 29.12.1990 N 3469 (ИПК Издательство стандартов, 1997).

23. Для обеспечения информационной безопасности СУМиД при создании и последующей эксплуатации СУМиД функция технологического мониторинга состояния основного технологического оборудования в части сбора, хранения и передачи данных должна осуществляться посредством инфраструктуры сбора, хранения и передачи данных (центров обработки данных), расположенной на территории Российской Федерации.

Если при реализации функции технологического мониторинга состояния основного технологического оборудования при передаче данных эксплуатируются сети связи общего пользования, то при передаче данных должны использоваться средства защиты информации, прошедшие оценку соответствия в соответствии с требованиями Федерального закона N 184-ФЗ.

24. Если в СУМиД предусмотрена функция удаленного управления основным технологическим оборудованием с использованием специального программного обеспечения и/или модуля программного обеспечения СУМиД, то для такого программного обеспечения и/или модуля программного обеспечения СУМиД должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей.

25. Требования к обеспечению информационной безопасности СУМиД должны соблюдаться субъектом электроэнергетики вместе с требованиями к моделированию угроз и функциональными требованиями, предусмотренными пунктами 26 - 29 настоящих требований.

26. Для моделирования угроз информационной безопасности СУМиД субъекту электроэнергетики необходимо выполнить процедуру моделирования и описать базовую модель угроз информационной безопасности СУМиД.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен оценивать существующие уязвимости СУМиД и ее компонентов, вероятность угроз и их реализацию (использование), опасности рассматриваемой угрозы с точки зрения потенциальных последствий и деструктивных действий, выполняемых в результате реализации угроз.

Для моделирования угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2018, N 20, ст. 2818), а также иные доступные источники, содержащие сведения об уязвимостях и угрозах безопасности информации СУМиД;

результаты оценки вероятности реализации уязвимостей компонент СУМиД.

На основании входных данных для моделирования угроз информационной безопасности субъект электроэнергетики должен сформировать перечень актуальных угроз информационной безопасности СУМиД.

27. По результатам моделирования угроз информационной безопасности СУМиД субъектом электроэнергетики должна быть разработана модель угроз информационной безопасности СУМиД, на основании которой формируется политика информационной безопасности. Политика информационной безопасности СУМиД должна включать в себя функциональные требования к информационной безопасности СУМиД.

Для разработки модели угроз информационной безопасности СУМиД субъект электроэнергетики должен использовать:

описание СУМиД, характеристики функций СУМиД, результаты процедуры сегментации;

описание источников угроз, типовых уязвимостей, объектов воздействия, деструктивных действий в отношении СУМиД;

модели нарушителя информационной безопасности СУМиД.

При описании источников угроз информационной безопасности СУМиД субъектом электроэнергетики должны использоваться следующие источники угроз информационной безопасности СУМиД:

конкуренты;

криминальные элементы (структуры);

недобросовестные партнеры;

работники (персонал) организации (субъекта электроэнергетики);

лица, осуществляющие создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;

разработчики и производители технических средств и программного обеспечения.

Для определения типовых угроз СУМиД субъектом электроэнергетики должен быть проведен анализ уязвимостей в отношении:

семейства протоколов, предоставляющих интерфейс для управления объектами автоматизации и технологическими процессами;

прикладного программного обеспечения, систем управления базами данных;

операционных систем.

Для проведения анализа уязвимостей необходимо использовать перечни:

базовых атак, необходимых при анализе уязвимостей и построении модели угроз СУМиД, приведенных в таблице 1 приложения N 2 к настоящим требованиям;

базовых уязвимостей СУМиД, необходимых для проведения анализа уязвимостей СУМиД и построения модели угроз СУМиД, приведенных в таблице 2 приложения N 2 к настоящим требованиям.

Для описания основных объектов воздействия СУМиД необходимо применять следующий перечень объектов воздействия:

а) серверы автоматизированной системы управления и СУМиД среднего и нижнего уровней;

б) сетевой контур взаимодействия между:

сервером СУМиД нижнего уровня и автоматизированным рабочим местом персонала;

серверами СУМиД нижнего, среднего и верхнего уровней;

сервером СУМиД верхнего уровня и прикладным программным обеспечением (средства обработки данных и разработки математических моделей);

сервером СУМиД и автоматизированным рабочим местом персонала.

Субъект электроэнергетики вправе определять дополнительные объекты воздействия СУМиД.

Определение возможных деструктивных действий в отношении безопасности информации СУМиД для каждой из угроз информационной безопасности СУМиД должны осуществляться субъектом электроэнергетики в соответствии с приложением N 3 к настоящим требованиям.

Для определения основных деструктивных действий в отношении информационной безопасности СУМиД субъект электроэнергетики должен использовать следующие деструктивные действия:

несанкционированное копирование информации (деструктивное действие 1 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

уничтожение информации (носителя информации) (деструктивное действие 2 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

модифицирование информации (изменение исходной информации на ложную) (деструктивное действие 3 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

блокирование информации (деструктивное действие 4 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

перехват информации при ее передаче по каналам связи (деструктивное действие 5 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

разглашение информации персоналом (деструктивное действие 6 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

хищение носителя информации (деструктивное действие 7 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

нанесение ущерба здоровью персонала и окружающим людям (деструктивное действие 8 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

нанесение ущерба окружающей среде (деструктивное действие 9 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

физическое повреждение объекта защиты или его компонент (деструктивное действие 10 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям);

блокирование контроля над объектом защиты (деструктивное действие 11 в соответствии с нумерацией, приведенной в приложении N 3 к настоящим требованиям).

Субъект электроэнергетики вправе определять дополнительные деструктивные действия в отношении СУМиД.

28. Для обеспечения контроля информационной безопасности компонент СУМиД, приведенных в пункте 7 настоящих требований, и персонала субъект электроэнергетики должен установить модель нарушителя информационной безопасности СУМиД.

Модели нарушителей информационной безопасности СУМиД должны быть утверждены субъектом электроэнергетики.

Виды нарушителей для определения модели нарушителей информационной безопасности СУМиД приведены в приложении N 4 к настоящим требованиям.

29. Для достижения целей информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться функциональные требования к информационной безопасности СУМиД.

30. Для подтверждения соответствия СУМиД настоящим требованиям субъектом электроэнергетики должна проводиться оценка СУМиД и ее подсистемы безопасности в форме аттестации СУМиД в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), с изменениями, внесенными приказом ФСТЭК России от 15.02.2017 N 27 (зарегистрирован Минюстом России 14.03.2017, регистрационный N 45933) (далее - Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах).

31. Информационная безопасность СУМиД, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, должна обеспечиваться субъектом электроэнергетики в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 N 239 (зарегистрирован Минюстом России 26.03.2018, регистрационный N 50524), с изменениями, внесенными приказом ФСТЭК России от 09.08.2018 N 138 (зарегистрирован Минюстом России 05.09.2018, регистрационный N 52071), а также Требованиями к созданию систем безопасности с учетом пунктов 23 - 24 настоящих требований.

32. Для обеспечения системы информационной безопасности СУМиД субъектом электроэнергетики должны устанавливаться требования ко встроенным средствам защиты.

Для обеспечения системы безопасности компонент СУМиД субъект электроэнергетики должен выполнять требования, установленные главой III Требований к созданию систем безопасности.

При организации работ по обеспечению безопасности СУМиД в рамках функционирования системы безопасности субъект электроэнергетики должен выполнять требования, установленные главой V Требований к созданию систем безопасности.

33. Ввод в действие СУМиД и ее подсистемы безопасности должен осуществляться после получения аттестата соответствия СУМиД. <*>

--------------------------------

<*> Пункт 17.5. Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.