ru
ru en

Требования к базовым функциям СУМиД: обзор проекта приказа Минэнерго

Специально для ЦПС специалист по кибербезопасности Алексей Иванов (НПП «Экра») разбирает проект приказа Минэнерго России «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования».

Проект приказа Минэнерго является логическим продолжением кампании за кибербезопасность в одной из важнейших отраслей — энергетике. Требования устанавливают базовые (обязательные) функции обеспечения информационной безопасности, иными словами — необходимый минимум, который нужно реализовать при построении систем удаленного мониторинга и диагностики. Реализация функций предлагается не на всех объектах — определен соответствующий перечень: генерирующее оборудование (турбины, котлы) мощностью от 5 МВт и силовые трансформаторы напряжением 110 кВ и выше. В проекте предлагается реализовать мониторинг изменений в техническом состоянии оборудования, оценку остаточного ресурса, прогнозирование аварий, контроль состояния с выводом прогнозов о возможных неисправностях, включающий рекомендации по устранению возможных неисправностей, а также удаленное управление.

Приказ выделяет в системах удаленного мониторинга и диагностики (СУМиД) 3 уровня для программного обеспечения и 3 уровня для аппаратного. Очень своеобразно описано аппаратное обеспечение для каждого из уровней — практически идентичный набор из сервера приложений, сервера баз данных, маршрутизатора, межсетевого экрана, источника бесперебойного питания и АРМ. Непонятно, можно ли разместить сервера приложений и БД в кластере, можно ли их совместить в рамках одной аппаратной платформы и почему отдельными пунктами указаны маршрутизатор и межсетевой экран, когда этот функционал реализуется обычно в одном устройстве. Вместо требований к резервированию питания также указан ИБП, хотя иногда используются и другие схемы резервирования питания.

Следующая важная деталь — отдельное упоминание встроенных средств защиты информации в пункте 2.1 проекта приказа. Концепция построения систем защиты с использованием встроенных средств защиты компонентов систем, предложенная «Россетями» в распоряжении № 282р, похоже, будет поддержана Минэнерго в рамках отрасли.

Также в документе описаны требования доступа к программному обеспечению СУМиД, но по какой-то причине вместо традиционных процедур «идентификация и авторизация» упомянуты процедуры «идентификации и персонификации». В описании процедуры содержатся конкретные требования к паролям: не менее 10 символов, подтверждение пароля администратором системы (непонятно, как в Минэнерго представляют эту процедуру), еженедельное обновление паролей, использование цифр, букв обоих регистров и специальных символов в паролях. Для разграничения доступа к ПО предлагается 4 категории пользователей:

  • администраторы,
  • обслуживающий персонал и диспетчеры,
  • «пользователи» со временными учетными записями,
  • встроенные учетные записи, которые должны быть отключены.

Для программных средств обязательно наличие средств регистрации событий безопасности. К сожалению, ничего не сказано о передаче событий безопасности в системы для анализа, что является упущением.

Также предлагается формировать белые списки программного обеспечения и запретить использование ПО не из этих списков. Для обеспечения безопасности СУМиД обязательны сертифицированные средства защиты информации, но допускается использовать несертифицированные средства защиты, прошедшие оценку соответствия по процедуре, предусмотренной приказом ФСТЭК № 235.

Строгие требования предъявляются к встроенным средствам защиты:

  • обеспечение криптографической защиты (удаленное соединение должно обеспечиваться совместно со средствами криптографической защиты, в рамках открытых сессий обмена данными должны использоваться средства криптографической защиты, в случае с распределенной сетью хранения и получения данных должны использоваться средства криптографической защиты),
  • контроль сетевого взаимодействия (фактически, ПО должно выполнять функции межсетевого экрана),
  • установление доверенных соединений (программное обеспечение должно быть спроектировано и разработано таким образом, чтобы позволять установление доверенного соединения с информационными системами того же класса доверия, гарантируя при этом целостность, доступность и конфиденциальность передаваемых в рамках соединения данных, взаимную авторизацию и возможность обмена атрибутами безопасности).

Однако обязательность сертификации встроенных средств защиты информации не подразумевается, вместо этого субъект должен проверить соответствие встроенных средств защиты целям безопасности, подробно описанным в приложении. Помимо этого, на субъекта также возложены обязанности по «контролю документации и исходного состояния программного обеспечения», по проведению
«статистического анализа исходных текстов программ» (наверное, имеется ввиду «статический анализ» исходных кодов) и по ведению отчетности по указанным мероприятиям. Означает ли это создание повсеместно центров компетенции, аналогичных испытательным лабораториям, или эти обязанности будут перенесены на поставщиков — непонятно.

Криптография, естественно, должна быть отечественной: SSH с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10, TLS с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.1, а также IPSEC с IKE, позволяющим применять ГОСТ 28147 c 256-битным ключом и ГОСТ 34.1

Документ содержит и сведения о предполагаемых источниках угроз ИБ, среди которых упоминаются и зарубежные спецслужбы. Такая формулировка модели нарушителя означает, что нарушитель обладает практически неограниченными ресурсами и отражает политические реалии — противостояние России и Запада.

Беспрецедентные требования предъявляются к ПО, применяемому для осуществления функции удаленного управления основного технологического оборудования объектов электроэнергетики: оно должно быть сертифицировано по требованиям контроля отсутствия недекларированных возможностей первого уровня контроля! Это самые строгие требования на сегодняшний день, и предъявляться они будут не к средствам защиты, а к прикладному ПО. В реестре ФСТЭК, например, нет средств защиты, имеющих сертификат НДВ (1). Также подчеркивается, что помимо указанных требований, обязательным является выполнение требований приказа ФСТЭК № 235 и приказа ФСТЭК № 239.

В целом этот проект приказа намного строже требований распоряжения «Россетей» № 282р. Беспрецедентные требования к отсутствию недекларируемых возможностей, обязательное наличие криптографии и прочие моменты позволяют назвать эти требования, пожалуй, самыми строгими в энергетике на сегодняшний день. Остается надеяться, что к моменту принятия приказа появятся и продукты с криптографией по ГОСТ, и сертифицированное по НДВ (1) прикладное программное обеспечение.

teeeest

(close)