Подписка
МЕНЮ
Подписка

Ближайшие онлайн-мероприятия компании "Гротек"  30 мая. Защита периметра для объектов транспортной инфраструктуры 4 июня. HRTech: автоматизация рекрутинга, онбординга, оффбординга 6 июня. СКУД и видеоаналитика для автоматизации бизнес-процессов 7 июня. Защита верхней полусферы для крупных и распределенных объектов  Регистрируйтесь и участвуйте!

Информационная безопасность интеллектуальных систем учета электроэнергии. Регулирование и практика

Ярослав Мироненко, 25/05/23

Термин "интеллектуальные системы учета электрической энергии" (ИСУ) был фактически введен постановлением Правительства РФ от 19.06.2020 г. № 890, ознаменовав новую ступень развития систем учета электроэнергии в Российской Федерации.

ИСУ

В соответствии с программами и планами, озвученными Министерством энергетики РФ, Ассоциацией "НП Совет Рынка" и АО "АТС", в обозримом будущем ИСУ должны стать универсальным инструментом для учета количества электроэнергии, соответствующим требованиям регламентов оптового и розничного рынка, а также Федерального закона "Об обеспечении единства измерений" от 26.06.2008 г. № 102-ФЗ. На сегодняшний день ИСУ – это в первую очередь инструмент учетных операций на розничном рынке электроэнергии, ответственность за которые была окончательно закреплена не за потребителями, а за сетевыми и сбытовыми организациями.

Чуть раньше, чем ИСУ, появился термин "критическая информационная инфраструктура" (КИИ), установленный Федеральным законом от 26.07.2017 г. № 187-ФЗ. Закон поступательно объясняет значение термина КИИ, и если опустить эту многоступенчатую расшифровку, то КИИ считается информационной системой и (или) совокупностью систем, повреждение которых приведет к серьезным последствия для граждан и экономики страны. В частности, к субъектам КИИ относятся организации топливно-энергетического комплекса.

Обзор решений по безопасности и автоматизации для ЖКХ

Выбор системы учета в зависимости от категории объекта КИИ

Начиная с 2018 г. термины "информационная безопасность" и "КИИ" становятся неразрывно связанными. Так как информационные системы существенно различаются как по масштабу, так и по функциональному наполнению, постановлением Правительства РФ от 08.02.2018 г. № 127 введено понятие категории КИИ. В зависимости от категории, соответственно, определяются требования информационной безопасности для конкретной системы. Категория КИИ определяется в зависимости от показателей ущерба, который может быть причинен вследствие нарушения работы категорируемой информационной системы, – ущерба жизни и здоровью людей, нарушения функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, финансового ущерба для бюджета и т.д.

Ключевое отличие ИСУ от прочих систем учета розничного рынка электроэнергии заключается в детально прописанном функциональном наполнении, закрепленном постановлением Правительства РФ от 19.06.2020 г. № 890.

Список выполняемых ИСУ функций достаточно широкий и намного превосходит требования к другим системам учета, например АИИС КУЭ, использующимся для учетных операций на оптовом рынке электроэнергии и мощности.

С точки зрения информационной безопасности одна из функций ИСУ как раз существенно меняет подход к рассмотрению данных систем. Так, п. 9 ПП РФ № 890 установлена возможность полного и/или частичного ограничения режима потребления электрической энергии (приостановления или ограничения предоставления коммунальной услуги), а также возобновления подачи электрической энергии.

АИИС КУЭ хоть и является формально системой КИИ (информационной системой в топливно-энергетическом комплексе), но может не категорироваться, так как размер ущерба от нарушения ее функционирования для людей и бюджета ниже критериев, установленных ПП РФ от 08.02.2018 г. № 127. Действительно, последствия умышленного и неумышленного сбоя, прекратившего функционирование АИИС КУЭ, определяются только санкциями системы оптового рынка и не несут ущерба здоровью людей. В случае с ИСУ сбой может привести к прекращению электроснабжения абонента, например очистных сооружений или больницы. То есть нарушения в работе ИСУ попадают под критерии ПП РФ от 08.02.2018 г. № 127.

Более того, так как собственники ИСУ – это территориальные сетевые организации (ТСО), имеющие распределенную сеть энергетических объектов, последствия нарушений могут распространяться за пределы одного региона, что автоматически присваивает данному объекту КИИ наивысшую первую категорию.

Например, вследствие программного сбоя может произойти ограничение электропотребления очистных сооружений на границе Москвы (города федерального значения), а последствия сбоя распространятся на соседний регион – Московскую область.

Базовая модель угроз

После определения категории объекта КИИ, в соответствии с требованиями законодательства необходимо оценить угрозы безопасности объекта. В отношении ИСУ Министерством энергетики совместно c Федеральной службой безопасности, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций была разработана базовая модель угроз (письмо от 29.06.2021 г. № НШ-7491/07). Даже поверхностный анализ данного документа позволяет сделать следующие выводы:

  • базовая модель в первую очередь применима к объектам ЖКХ и гражданской промышленности и практически неприменима к ИСУ ТСО, снабжающих промышленные предприятия;
  • базовая модель не содержит информации о вариантах нейтрализации рассматриваемых угроз и в принципе не ориентирована на практические примеры;
  • базовая модель ориентирована на типовые проектные решения ИСУ, в большей степени относящиеся к бытовому сектору;
  • базовая модель должна быть пересмотрена до 31.12.2023 г.

Использование базовой модели в большинстве случаев является неоправданным, поэтому для собственников ИСУ законом предусмотрена возможность создания частной модели угроз. Эта модель может, с одной стороны, более адекватно оценивать угрозы компьютерных атак и компьютерных инцидентов, установленных Федеральным законом от 26.07.2017 г. № 187-ФЗ, с другой – ориентироваться на фактически реализованные и реализуемые на практике мероприятия по обеспечению информационной безопасности ИСУ.

На следующем этапе собственник ИСУ должен определить меры обеспечения безопасности на основе модели угроз и возможных последствий компьютерных инцидентов. Состав необходимых мер для категорированных объектов КИИ утвержден приказом ФСТЭК России от 25.12.2017 г. № 239, а для объектов КИИ без категории – локальными нормативными актами собственника.

Информационная безопасность систем учета

Приказом ФСТЭК предусмотрено несколько направлений обеспечения информационной безопасности. Однако на практике многие из них едва ли могут быть выполнены в небольших ТСО, где до последнего момента про ФСТЭК и Федеральный закон от 26.07.2017 г. № 187-ФЗ даже не слышали. Поэтому в первую очередь необходимо реализовать наиболее значимые мероприятия, непосредственно влияющие на безопасность не только ИСУ, но и всей системы энергоснабжения:

  1. Установить контролируемые зоны. Как правило, это требование уже выполнено для промышленных предприятий, а вот в бытовом секторе даже не продумано.
  2. Обеспечить контроль физического доступа к объекту. Аналогично предыдущему требованию, но требует практических действий, например установки банальной сигнализации открытия шкафа ИСУ.
  3. Запланировать обеспечение непрерывности работы. До сих пор многие счетчики в системах учета не имеют даже резервного питания, а в случае ИСУ должна быть предусмотрена автономность сразу на нескольких уровнях.
  4. Проводить процедуры идентификации и аутентификации пользователей. Такая возможность есть практически в любых программных и многих аппаратных продуктах, и их ограниченное использование объясняется банальной ленью эксплуатирующих служб.
  5. Установить средства антивирусной защиты. Как говорится, без комментариев.
  6. Провести межсетевое экранирование и разделение сетей. Отделение корпоративной сети от технологической уже давно стало необходимостью, даже с точки зрения банального удобства эксплуатации.
  7. Обеспечить средства резервного копирования и резервирования. Такие средства, как правило, уже есть в системах учета электроэнергии.
  8. Разграничить права доступа. Возможность есть всегда, было бы желание.
  9. Использовать сертифицированное ПО, оборудование, облачные сервисы.

Затраты на указанные мероприятия минимальны и вполне могут быть реализованы даже небольшими ТСО, особенно если учесть, что часть из них может попасть в инвестиционную программу на создание ИСУ и, соответственно, быть заложена в тариф.

Вопросы установки средств криптографической защиты информации

Среди прочих направлений наиболее жестокое и финансово затратное мероприятие по обеспечению информационной безопасности ИСУ – установка средств криптографической защиты информации (СКЗИ). Однако необходимость их установки в нормативных документах размыта. Согласно п. 39 постановления Правительства РФ от 19.06.2020 г. № 890 необходимость шифрования (применения средств криптографической защиты) информации при ее передаче по каналам связи интеллектуальной системы учета определяется субъектами электроэнергетики, являющимися владельцами интеллектуальных систем учета, самостоятельно. При определении необходимости шифрования рекомендуется руководствоваться базовой моделью нарушителя (моделью угроз безопасности информации).

Согласно базовой модели, угрозы, которые могут быть нейтрализованы только c помощью средств криптографической защиты информации, сертифицированной ФСБ России, определяются для каждого конкретного информационно-вычислительного комплекса в зависимости от наличия объектов КИИ, a также от необходимости обработки информации, подлежащей защите в соответствии c законодательством Российской Федерации.

Наконец, согласно методическим рекомендациям по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности, использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях: если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации и если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

К таким случаям, например, относится передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой информации, или от несанкционированных воздействий на эту информацию при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования.

Таким образом, теоретически собственник ИСУ в частной модели угроз может обосновать отказ от установки СКЗИ. Практически же это может быть сделано только при условии, что энергетические объекты, на которых установлено оборудование КИИ, находятся внутри контролируемой зоны и в качестве каналов связи не используются информационно-телекоммуникационные сети общего пользования. Во всех прочих случаях ФСТЭК будет требовать установки СКЗИ.

Ситуация осложняется тем, что действующие на сегодняшний день нормы подразумевают установку СКЗИ только на верхнем и среднем уровнях ИСУ, а ФСБ уже анонсировала необходимость установки СКЗИ в том числе на нижний измерительный уровень. На сегодняшний день нет ни технического решения для данного требования (в существующих приборах учета нет криптозащиты, сертифицированной ФСБ, как нет и возможности установки отдельной платы), так и организационного (кто будет выполнять данные работы в отношении миллионов приборов учета по всей стране). А при условии, что бюджет по установке СКЗИ на верхних уровнях ИСУ даже для сравнительно небольших ТСО существенно больше бюджета на замену всего парка счетчиков электроэнергии, выполнение требований ФСТЭК в этой части становится маловероятным для большинства собственников ИСУ.

Начало проверок по обеспечению функционала и ИБ в ИСУ запланировано на 2024 г., поэтому через некоторое время можно будет ожидать либо изменения нормативной базы, либо появления новых, сравнительно более дешевых технических решений.

Обеспечение защиты персональных данных

При рассмотрении вопроса информационной безопасности в ИСУ также необходимо оценить мероприятия по защите персональных данных, установленные Федеральным законом от 27.07.2006 г. № 152, требования постановления Правительства РФ от 01.11.2012 г. № 1119 и приказа ФСТЭК от 18.02.2013 г. № 21. В теории такая система уже должна быть у каждого юридического лица как минимум в отношении своих работников, но на практике эти требования часто не выполняются. В случае ИСУ их функционал должен предусматривать хранение таких данных, как адрес энергопринимающего устройства, номер договора энергоснабжения (лицевого счета физического лица) и идентификатор абонента (ФИО). Указанные персональные данные, к счастью, проходят по типу общедоступных, требования к их защите минимальны, но тем не менее они должны быть выполнены, в том числе на уровне эксплуатации ИСУ.

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

SS_Security and Safety

Фото: energy-polis.ru

Темы:Информационная безопасностьЦифровое ЖКХУмный домАвтоматизация зданийЖурнал "Системы безопасности" №4/2023
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...