Журнал "Системы Безопасности" № 4‘2023

S E C U R I T Y A N D I T M A N A G E M E N T 21 l базовая модель в первую очередь примени- ма к объектам ЖКх и гражданской промыш- ленности и практически неприменима к ИСу ТСО, снабжающих промышленные пред- приятия; l базовая модель не содержит информации о вариантах нейтрализации рассматривае- мых угроз и в принципе не ориентирована на практические примеры; l базовая модель ориентирована на типовые проектные решения ИСу, в большей степени относящиеся к бытовому сектору; l базовая модель должна быть пересмотрена до 31.12.2023 г. Использование базовой модели в большин- стве случаев является неоправданным, поэто- му для собственников ИСу законом пред- усмотрена возможность создания частной модели угроз. Эта модель может, с одной сто- роны, более адекватно оценивать угрозы ком- пьютерных атак и компьютерных инцидентов, установленных Федеральным законом от 26.07.2017 г. № 187-Фз, с другой – ориенти- роваться на фактически реализованные и реа- лизуемые на практике мероприятия по обес- печению информационной безопасности ИСу. на следующем этапе собственник ИСу должен определить меры обеспечения безопасности на основе модели угроз и возможных послед- ствий компьютерных инцидентов. Состав необходимых мер для категорированных объ- ектов КИИ утвержден приказом ФСТЭК России от 25.12.2017 г. № 239, а для объектов КИИ без категории – локальными нормативными актами собственника. Информационная безопасность систем учета Приказом ФСТЭК предусмотрено несколько направлений обеспечения информационной безопасности. Однако на практике многие из них едва ли могут быть выполнены в неболь- ших ТСО, где до последнего момента про ФСТЭК и Федеральный закон от 26.07.2017 г. № 187-Фз даже не слышали. Поэтому в пер- вую очередь необходимо реализовать наибо- лее значимые мероприятия, непосредственно влияющие на безопасность не только ИСу, но и всей системы энергоснабжения: 1. установить контролируемые зоны. Как пра- вило, это требование уже выполнено для про- мышленных предприятий, а вот в бытовом секторе даже не продумано. 2. Обеспечить контроль физического доступа к объекту. аналогично предыдущему требова- нию, но требует практических действий, например установки банальной сигнализации открытия шкафа ИСу. 3. запланировать обеспечение непрерывности работы. до сих пор многие счетчики в систе- мах учета не имеют даже резервного питания, а в случае ИСу должна быть предусмотрена автономность сразу на нескольких уровнях. 4. Проводить процедуры идентификации и аутентификации пользователей. Такая воз- можность есть практически в любых про- граммных и многих аппаратных продуктах, и их ограниченное использование объ- ясняется банальной ленью эксплуатирующих служб. 5. установить средства антивирусной защиты. Как говорится, без комментариев. 6. Провести межсетевое экранирование и раз- деление сетей. Отделение корпоративной сети от технологической уже давно стало необхо- димостью, даже с точки зрения банального удобства эксплуатации. 7. Обеспечить средства резервного копирова- ния и резервирования. Такие средства, как правило, уже есть в системах учета электро- энергии. 8. Разграничить права доступа. возможность есть всегда, было бы желание. 9. Использовать сертифицированное ПО, обо- рудование, облачные сервисы. затраты на указанные мероприятия мини- мальны и вполне могут быть реализованы даже небольшими ТСО, особенно если учесть, что часть из них может попасть в инвестицион- ную программу на создание ИСу и, соответ- ственно, быть заложена в тариф. Вопросы установки средств криптографической защиты информации Среди прочих направлений наиболее жесто- кое и финансово затратное мероприятие по обеспечению информационной безопасности ИСу – установка средств криптографической защиты информации (СКзИ). Однако необхо- димость их установки в нормативных доку- ментах размыта. Согласно п. 39 постановле- ния Правительства РФ от 19.06.2020 г. № 890 необходимость шифрования (применения средств криптографической защиты) инфор- мации при ее передаче по каналам связи интеллектуальной системы учета определяется субъектами электроэнергетики, являющимися владельцами интеллектуальных систем учета, самостоятельно. При определении необходи- мости шифрования рекомендуется руковод- ствоваться базовой моделью нарушителя (моделью угроз безопасности информации). Согласно базовой модели, угрозы, которые могут быть нейтрализованы только c помощью средств криптографической защиты информа- ции, сертифицированной ФСБ России, опре- деляются для каждого конкретного информа- ционно-вычислительного комплекса в зависи- мости от наличия объектов КИИ, a также от необходимости обработки информации, под- лежащей защите в соответствии c законода- тельством Российской Федерации. наконец, согласно методическим рекоменда- циям по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности, исполь- зование СКзИ для обеспечения безопасности персональных данных необходимо в следую- щих случаях: если персональные данные под- лежат криптографической защите в соответ- ствии с законодательством Российской Феде- рации и если в информационной системе существуют угрозы, которые могут быть ней- трализованы только с помощью СКзИ. К таким случаям, например, относится пере- дача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой информации, или от несанк- ционированных воздействий на эту информа- цию при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования. Таким образом, теоретически собственник ИСу в частной модели угроз может обосновать отказ от установки СКзИ. Практически же это может быть сделано только при условии, что энергетические объекты, на которых установ- лено оборудование КИИ, находятся внутри контролируемой зоны и в качестве каналов связи не используются информационно-теле- коммуникационные сети общего пользования. во всех прочих случаях ФСТЭК будет требо- вать установки СКзИ. Ситуация осложняется тем, что действующие на сегодняшний день нормы подразумевают установку СКзИ только на верхнем и среднем уровнях ИСу, а ФСБ уже анонсировала необходимость установки СКзИ в том числе на нижний измерительный уровень. на сего- дняшний день нет ни технического решения для данного требования (в существующих приборах учета нет криптозащиты, сертифи- цированной ФСБ, как нет и возможности уста- новки отдельной платы), так и организацион- ного (кто будет выполнять данные работы в отношении миллионов приборов учета по всей стране). а при условии, что бюджет по установке СКзИ на верхних уровнях ИСу даже для сравнительно небольших ТСО существен- но больше бюджета на замену всего парка счетчиков электроэнергии, выполнение требо- ваний ФСТЭК в этой части становится малове- роятным для большинства собственников ИСу. начало проверок по обеспечению функциона- ла и ИБ в ИСу запланировано на 2024 г., поэтому через некоторое время можно будет ожидать либо изменения нормативной базы, либо появления новых, сравнительно более дешевых технических решений. Обеспечение защиты персональных данных При рассмотрении вопроса информационной безопасности в ИСу также необходимо оце- нить мероприятия по защите персональных данных, установленные Федеральным зако- ном от 27.07.2006 г. № 152, требования постановления Правительства РФ от 01.11.2012 г. № 1119 и приказа ФСТЭК от 18.02.2013 г. № 21. в теории такая система уже должна быть у каждого юридического лица как минимум в отношении своих работ- ников, но на практике эти требования часто не выполняются. в случае ИСу их функционал должен предусматривать хранение таких дан- ных, как адрес энергопринимающего устрой- ства, номер договора энергоснабжения (лице- вого счета физического лица) и идентифика- тор абонента (ФИО). указанные персональные данные, к счастью, проходят по типу общедо- ступных, требования к их защите минималь- ны, но тем не менее они должны быть выпол- нены, в том числе на уровне эксплуатации ИСу. n www.secuteck.ru август – сентябрь 2023 СПЕЦПРОЕКТ ИнТЕллЕКТуальныЕ ТЕхнОлОгИИ в ЖКх. авТОмаТИзаЦИя зданИй Ваше мнение и вопросы по статье направляйте на ss @groteck.ru