03 августа 2017

Минэнерго разрабатавает правила информационной безопасности для энергообъектов России

Об этом сообщил замминистра энергетики Андрей Черезов в интервью «РИА Новости».

Проект нормативного правового акта «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории России систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем» был опубликован на соответствующем федеральном портале и, согласно сайту, сейчас находится на этапе размещения текста. В Минэнерго ЦПС сообщили, что о сроках принятия проекта говорить пока рано, поскольку он ещё не прошёл все стадии общественного обсуждения.

Андрей Черезов
Министерство энергетики РФ
В рамках этого акта мы также подготовили методические указания по определению модели угроз для практического применения владельцами компаний энергетики энергетического оборудования, которые позволяют своевременно определять и предотвращать существующие и возникающие угрозы информационной безопасности на объектах электроэнергетики. Если говорить о производителях энергетического оборудования, то им совместно с разработчиками программного обеспечения необходимо будет привести в соответствие с требованиями нормативного правового акта используемое программное обеспечение, а также связанные с его использованием основные требования. Например, как осуществляется процесс передачи информации — вот это они должны будут привести к тем требованиям, которые установлены. И в последующем пройти сертификацию во ФСТЭК — это самый важный момент. То есть после этой сертификации любая компания — иностранная или российская — будет допущена и сможет спокойно работать. Здесь ограничений по рынку не будет. Если ФСТЭК скажет, что все здесь чисто и хорошо, не вопрос, мы продолжим работать и дальше с этими компаниями. Если говорить техническим языком, мы должны четко понимать коды верхнего, нижнего и среднего уровней. И в рамках этой работы, если все коды открыты и мы понимаем, как это работает и на турбине, и на контроле, — вопросов нет. То есть если они пришли, сертифицировались, раскрыли коды управления, то к компаниям вопросов нет, она может работать, получать информацию. Эти же требования будут отнесены параллельно и к российским компаниям. Это затронет всех. То есть это не требование только к иностранному оборудованию, сертифицироваться должны будут все.

Помимо названных требований и методических указаний, проект также предполагает введение правил обязательной сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их базовым (обязательным) функциям и информационной безопасности.

Приведём некоторые выдержки из документа. Например, в методических указаниях по определению модели угроз безопасности в качестве рассматриваемых угроз называются:

  • Несанкционированное копирование информации.
  • Уничтожение информации (носителя информации).
  • Модификация информации (навязывание ложной информации).
  • Блокирование информации.
  • Перехват информации (при ее передаче по каналам связи).
  • Разглашение информации персоналом.
  • Хищение носителя информации.
  • Нанесение ущерба здоровью персонала и окружающим людям.
  • Нанесение ущерба окружающей среде.
  • Физическое повреждение объекта защиты.
  • Блокирование контроля над объектом защиты.

В документе также приведена таблица с актуальными угрозами безопасности информации.

Код

Угроза безопасности информации Итоговый уровень опасности угрозы

УФД6

Повреждение оборудования и/или линий связи

УФД7

Навязывание ложной информации на уровне конечного оборудования или линий связи
УФД8 Съем информации с конечного оборудования или линий связи 8
УФД10 Разрушение объекта защиты или нанесение объекту защиты, здоровью персонала и другим лицам повреждений путем взрыва (обстрела) 6
УФД11 Размещение и(или) совершение действий в целях размещения каким бы то ни было способов на объекте защиты взрывных устройств (взрывчатых веществ) 6
УНДАЗ Загрузка альтернативной ОС с нештатного носителя 20
УНДБ1 Подбор пароля доступа (администратора) в ОС компьютера с использованием заданных по умолчанию значений 10
УНДБ 1.2 Подбор пароля доступа (администратора) в ОС компьютера посредством перебора различных вариантов 10
УНДВ Подбор пароля доступа (администратора) в ОС компьютера посредством специализированное программного обеспечения 20
УНДГ2 Выявление пароля доступа других пользователей при загруженной ОС (декодирование, из оперативной памяти, копирование хранилищ) 15
УНДГЗ Создание новой учетной записи с расширенными привилегиями 20
УНДГ4 Уничтожение системного реестра 6
УНДГ5 Редактирование системного реестра с целью нарушения работоспособности операционной системы и/или прикладного ПО 15
УНДГ6 Использование стороннего программного обеспечения с целью несанкционированного воздействия на объект защиты 20
УНДГ6.4 Заражение вредоносным программным обеспечением 20
УНДГ7 Перезагрузка ОС с целью загрузки альтернативной ОС с нештатного носителя для расширения привилегий 15
УНДГ8 Копирование информации на нештатные носители информации 8
УНДГ9 Модификация информации 20
УНДГ10 Уничтожение (стирание) информации 20
УНДГ11 Уничтожения информации путем форматирования носителей информации 20
УУДА1 Сканирование сегмента сети с целью сбора информации 8
УУДБ1 Удаленный подбор пароля (администратора) путем ввода имени и пароля, заданных по умолчанию для используемой ОС 10
УУДБ1.2 Удаленный подбор имени и пароля (администратора) посредством перебора 10
УУДБ2 Удаленный подбор пароля (пользователя) 6
УУДБЗ Получение доступа к программам удаленного администрирования 20
УУДБ4 Внедрение ложного доверенного объекта 20
УУДБ5 Удаленный перехват внешнесегментного сетевого трафика 8
УУДБ5.3 Удаленный перехват аутентификационной информации, передаваемой в открытом виде 8
УУДВ2 Переполнение буфера с запуском исполняемого кода 10
УУДВ10 Перенаправление сетевого трафика 10
УУДГ Атака на пользователей Internet 10
УУДД Угроза отказа в обслуживании (DoS) 8
УУДЕ1 Обход межсетевого экрана посредством инкапсуляции данных в заголовки пакетов протокола обмена управляющими сообщениями 20
УО1 Ошибки при проектировании программных средств 20
УО2 Ошибки при проектировании технических средств 20
УОЗ Ошибки при изготовлении программных средств 20
УО4 Ошибки при изготовлении технических средств 20
УО5 Ошибки при эксплуатации технических средств 20
УО6 Ошибки при эксплуатации программных средств 20
УТХ1 Сбои, отказы технических средств 8
УТХ2 Сбои, отказы программных средств

Источник: Цифровая подстанция