Что меняет Приказ Минэнерго № 1015 в работе энергокомпаний
Информационная безопасность Информационная безопасность

Какие компании должны выполнить требования приказа Минэнерго № 1015? Светлая и темная стороны приказа. Пункты 14, 24 и 30? Наш подход к реализации норм приказа

Главная>Информационная безопасность>Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях
Информационная безопасность Тема номера

Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях

Дата публикации:
28.09.2020
Посетителей:
568
Просмотров:
651
Время просмотра:
2.3

Авторы

Автор
Антон Елизаров Руководитель группы защиты АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет»
Автор
Виталий Сиянов В прошлом - руководитель направления защиты АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет»

Какие компании должны выполнить требования приказа Минэнерго № 1015?

 

Светлая и темная стороны приказа. Пункты 14, 24 и 30

 

Наш подход к реализации норм приказа

 

 

Более года назад Минэнерго России выпустило приказ № 10151Приказ Министерства энергетики РФ № 1015 от 06.11.2018. Вступил в силу 15.08.2019. (далее по тексту — «Приказ»), который был призван снизить риск воздействия на АСУ ТП через системы удаленного мониторинга и диагностики основного технологического оборудования (СУМиД). Этот документ стал очередным шагом в ужесточении нормативного регулирования защиты сначала критически важной, а затем и критической информационной инфраструктуры (КИИ) (Федеральный закон № 187-ФЗ). Приказ ведомства стал неожиданностью для большинства попавших под его действие вендоров. Начиная с середины 2019 г. к нам по очереди обращались зарубежные производители турбин с просьбой разъяснить, какие работы им нужно провести для выполнения новых требований. В это же время крупный энергетический холдинг закрыл доступ для вендора-партнера к системе мониторинга и пообещал восстановить его только после исполнения Приказа Министерства энергетики РФ. Сам по себе документ содержит вполне разумные положения, реализация которых действительно повысит безопасность электроэнергетики. Однако у многих энергохолдингов и вендоров АСУ ТП до сих пор нет целостного понимания того, как выполнить эти требования. В статье мы восполним существующие пробелы и поделимся собственным подходом к реализации норм документа.

Авторы

Суть новаций

 

До недавнего времени обеспечение защиты удаленного доступа к объектам КИИ производителями АСУ ТП в России никак не регламентировалось. Между тем множество зарубежных вендоров систем промышленной автоматизации осуществляют мониторинг отечественных объектов КИИ. Минэнерго своим Приказом обязало производителей обеспечивать безопасность при выполнении таких работ. Это означает, что теперь при подключении к СУМиД вендоры должны выполнять требования законодательства РФ в области защиты информации.

 

Нормативный документ касается объектов электроэнергетики, где создают или эксплуатируют удаленный мониторинг и диагностику оборудования. Компании нужно обеспокоиться, если ее объекты имеют следующие характеристики:

 

  1. В действующей СУМиД реализованы основные функции мониторинга и диагностики оборудования.
  2. Технологическое оборудование включает котлы (от 5 МВт), паровые (от 5 МВт), газовые (от 25 МВт) или гидротурбины (от 5 МВт) либо трансформаторы (от 110 кВ).

 

Таким образом, требования Приказа распространяются практически на все компании по производству или транспортировке электроэнергии. Оборудование из списка выше есть почти у всех предприятий, а критерии, указывающие на необходимость его защиты, достаточно низкие.

 

Задумка авторов документа вполне ясна: ограничить удаленный сервис зарубежных вендоров и локализовать его в России (об этом нам говорит пункт 23 Приказа). И это понятно, ведь доступ в технологическую сеть даже для мониторинга создает для предприятия дополнительные угрозы. Но не стоит забывать, что у любой медали есть две стороны. Мы рассмотрим их ниже.

Что за «зверь» такой СУМиД

 

СУМиД — программно-аппаратные комплексы, обеспечивающие процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования. В большинстве случаев структура СУМиД выглядит так (рис. 1):

 

  1. Внутренний сервер. Получает данные с OPC-сервера технологической сети, обрабатывает и передает их на внешний сервер.
  2. Внешний сервер. Выступает в роли шлюза для передачи данных центру диагностики.
  3. Центр диагностики. Обрабатывает полученные данные и выдает рекомендации владельцу объекта электроэнергетики.
Рисунок 1. Схема СУМиД

Любопытно, что в Приказе не уточняется, должны ли подобные системы обеспечивать и мониторинг, и управление или же достаточно одной из этих функций, чтобы объект электроэнергетики подпадал под требования документа. К примеру, система, выполняющая только мониторинг, может не являться полноценной СУМиД.

 

В Приказе достаточно жестко зафиксированы требования к аппаратной составляющей СУМиД. Однако с учетом современных решений вендоров этот набор выглядит устаревшим. В частности, в документе не прописаны возможности виртуализации и объединения серверов на одной платформе. Кроме того, по непонятной причине маршрутизатор и межсетевой экран разнесены на отдельные составляющие.

Светлая сторона Приказа

 

Один из ключевых положительных моментов Приказа — детальное описание мероприятий по обеспечению безопасности среды функционирования СУМиД и целей ИБ. Подробно о них можно узнать из приложений к Приказу, там же есть необходимая информация для проработки моделей угроз и модели нарушителя, а также технического задания. Все это позволяет в кратчайшие сроки сформулировать рамки защиты СУМиД и приступить к ее реализации.

 

Положения документа в основном пересекаются с требованиями приказов ФСТЭК: прослеживается именно комплексный подход к построению ИБ СУМиД. Об этом свидетельствует необходимость разработки политики безопасности, организационно-распорядительной документации, моделирования угроз и собственно запуска проекта по информационной безопасности СУМиД. Помимо этого, важно отметить требования в части контроля ИБ СУМиД: распределение обязанностей, обучение и подготовка персонала, уведомления в случае нарушения защиты.

Темная сторона Приказа

 

Среди приятных моментов есть и ложка дегтя, а именно пункты 14, 24 и 30 Приказа. Пункт 14 указывает на необходимость применения в СУМиД только сертифицированных средств защиты информации. В реалиях государственных корпораций это вполне оправданно, но для коммерческих организаций требование выглядит несколько жестким. Ведь при добавлении средства защиты в технологическую систему может потребоваться его тестирование на совместимость с компонентами СУМиД. Процесс согласования таких тестирований у зарубежных вендоров, как правило, небыстрый и может занимать несколько месяцев.

 

В пункте 24 Приказ выдвигает требования к программному модулю удаленного управления технологическим оборудованием. Для него необходимо провести проверку не ниже, чем по 4-му уровню контроля отсутствия недекларированных возможностей. Это требует предоставления исходных текстов программ, входящих в состав ПО. Очень маловероятно, что зарубежный вендор захочет предоставлять все необходимые данные для проверки.

 

Наконец, вишенкой на торте можно назвать требование пункта 30, а именно необходимость проводить аттестацию СУМиД в соответствии с требованиями приказа ФСТЭК России № 17. Напомним, что эту процедуру можно реализовать только при условии применения в системе сертифицированных средств защиты. Невыполнение требования влечет за собой невозможность ввода в действие как самой СУМиД, так и ее подсистемы безопасности (согласно пункту 33 Приказа).

 

Помимо требований в части средств защиты, в документе отражен внушительный перечень рекомендаций в отношении самой СУМиД (функции, уровни, аппаратные составляющие, компоненты ПО). Все это еще больше запутывает владельца объекта электроэнергетики: что же понимать под аббревиатурой СУМиД?

 

К тому же в Приказе осталось много недосказанного. Например, документ устанавливает требования, но при этом не уточняет сроки для приведения существующих систем в соответствие с ними. Приказ не регламентирует ни сроки проведения проверок, ни круг ответственных за них лиц. Нет информации и о последствиях невыполнения его положений, что может ошибочно трактоваться как отсутствие наказания.

Что и как делать?

 

Если вы провели категорирование объекта КИИ, включающего СУМиД, выполняете требования Федерального закона № 187-ФЗ и уже внедряете средства защиты информации, упомянутые в приказе ФСТЭК России № 239, скорее всего, дополнительно вам ничего делать не придется. Принимаемых мер защиты должно хватить, чтобы перекрыть требования Минэнерго. Необходимо пройтись по Приказу как по чек-листу и проверить, все ли пункты выполнены, а угрозы и нарушители учтены. В части организационно-распорядительных документов надо учесть, что Приказ Минэнерго требует наличия политики информационной безопасности, в то время как приказ ФСТЭК России № 239 обязывает всего лишь регламентировать процедуры. В остальном подход к защите СУМиД будет очень схож с защитой значимого объекта КИИ.

 

Если же вы только планируете категорирование и поняли, что у вас есть СУМиД, вот несколько советов по построению ее защиты:

 

  • Необходимо произвести сегментирование СУМиД, чтобы убрать возможность прямого влияния на технологическую сеть.
  • Стоит обратить внимание на встроенные механизмы безопасности системы: у некоторых производителей они позволяют контролировать целостность информации, обеспечивать ее доступность и возможность восстановления в случае искажения или утраты.
  • Нельзя забывать о том, что СУМиД по сути дублирует информацию о состоянии оборудования и лишь помогает прогнозировать выход из строя тех или иных компонентов системы. Поэтому при защите этого компонента стоит опираться на то, что он является вспомогательным и не создает критичной нагрузки на целостность и доступность всей АСУ ТП.
Рисунок 2. Базовая защита СУМиД

Приказ Минэнерго вполне реализуем, за исключением пары моментов. В качестве основной проблемы мы видим несколько труднореализуемых требований и неясную ситуацию со сроками исполнения. Аналогичная ситуация имеет место с приказом ФСТЭК № 312 Приказ ФСТЭК от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».. Он призывал компании реализовать защиту критических объектов, но не был обязательным к исполнению (в отличие от Федерального закона № 187-ФЗ). Так что рассматриваемый нами документ является расширенной рекомендацией по защите СУМиД в дополнение к приказам ФСТЭК № 31 и 239.

Уведомления об обновлении тем – в вашей почте

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

1500 спартанцев: развитие русскоязычного сообщества специалистов по кибербезопасности АСУ ТП

Один из создателей сообщества «Кибербезопасность в АСУ ТП» рассказал о том, как оно формировалось и развивалось

Не наКЛИКать бы беды, или Немного о защите АСУ ТП

Впоследнем фильме Бондианы главный злодей – это не просто преступник, минирующий мосты, взрывающий космические корабли лазером и мечтающий ограбить Всемирный банк

ИБ АСУ ТП: Перейдем на ты

Что такое безопасность автоматизированных системах управления технологическими процессами, мы попытались разобраться

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня