В декабрьском обзоре изменений Законодательства рассмотрим Приказы Минцифры России для значимых объектов критической информационной инфраструктуры; вспомним требования по защите информации, размещаемой в интеллектуальной системе учета.
Значимые объекты КИИ
28 декабря Минцифра России опубликовало Приказ № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сети связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры» и Приказ № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».
Данные приказы имеют ограничительную пометку «Для служебного пользования», поэтому возможности ознакомиться с их содержанием нет.
Требования по защите информации, размещаемой в интеллектуальной системе учета
Вспомним Постановление Правительства Российской Федерации от 19.06.2020 №890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)» (далее – Приказ №890), которое содержит в себе требования по защите информации, размещенной в интеллектуальной системе учета:
- принять организационные и технические меры, предусмотренные Федеральным законом от 27.07.2006 №149 «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152 «О персональных данных» и Федеральным законом от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
- на основании модели угроз безопасности информации определить потребность в применении средств криптографической защиты;
- обеспечить идентификацию и аутентификации по логину и паролю в каждом из компонентов и элементов интеллектуальной системы учета;
- принять меры по предотвращению неправомерного доступа к информации, её уничтожения, модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий;
- не допустить воздействия на технические и программные средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование интеллектуальной системы учета;
- обеспечить резервирование информации и (или) технических средств обработки информации, каналов связи;
- обеспечить контроль доступа пользователей к данным и операциям;
- обеспечить своевременное обнаружение фактов несанкционированного доступа;
- применяемые средства защиты должны обеспечивать совместимость компонентов интеллектуальной системы учета, а также совместимость с интеллектуальными системами учета пользователей интеллектуальной системы учета при передаче информации;
- используемые программные, программно-технические средства, применяемые для защиты компонентов интеллектуальной системы учета, должны пройти оценку соответствия требованиям по безопасности информации в соответствии с законодательством Российской Федерации.
- протоколы обмена информацией в рамках функционирования интеллектуальной системы учета должны обеспечивать выполнение требований по защите информации, предусмотренных Приказом №890.
На основании определений терминов из Федерального закона от 27.12.2018 №522 и Постановления Правительства Российской Федерации от 04.05.2012 №442 можно сделать вывод, что интеллектуальная система учета электроэнергии – это комплекс, состоящий из приборов учета, устройств удаленной передачи данных с таких приборов учета и устройств сбора таких данных (сервер или компьютер). Иными словами – это автоматизированная система коммерческого учета электроэнергии (АСКУЭ) / автоматизированная информационно-измерительная система коммерческого учета электроэнергии (АИИСКУЭ). Следовательно, описанные выше требования должны быть реализованы на АСКУЭ/АИИСКУЭ.