А также Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ ФСТЭК России. Показатель, расчет которого описан в Методике, характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации.
Дополнительные требования к значимым объектам КИИ в сфере энергетики
Министерство энергетики Российской Федерации (далее – РФ) опубликовало приказ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».
Требования распространяются на дистанционное управление:
‒ выключателями, разъединителями, заземляющими разъединителями, технологическим режимом работы электросетевого оборудования и устройствами релейной защиты и автоматики;
‒ активной и реактивной мощностью:
o генерирующего оборудования ветровых и солнечных электростанций;
o гидравлических электростанций установленной генерирующей мощностью менее 50 МВт;
‒ активной мощностью:
o гидравлических и гидроаккумулирующих электростанций;
o тепловых электростанций.
С учетом особенностей функционирования таких объектов устанавливаются следующие дополнительные требования:
‒ обеспечить защиту трафика команд дистанционного управления между диспетчерским центром и объектами электроэнергетики, а также между диспетчерским центром и центром управления сетями, посредством применения:
o виртуальных локальных сетей в локальной сети объекта электроэнергетики;
o криптографической защиты трафика команд дистанционного управления;
‒ установить защищенное соединение с использованием средств криптографической защиты информации между:
o устройствами телемеханики (или серверами обработки команд дистанционного управления) и устройствами передачи команд дистанционного управления диспетчерского центра;
o сетевым оборудованием локальной вычислительной сети объекта электроэнергетики и криптошлюзом диспетчерского центра;
‒ запретить доступ из сети «Интернет» в сегмент технологических сетей связи, используемых для осуществления дистанционного управления;
‒ организовать взаимодействие технологических сетей связи, используемых для осуществления дистанционного управления, с внешними выделенными сетями связи через межсетевой экран;
‒ обеспечить в используемых для реализации дистанционного управления программно-аппаратных комплексах, системах, а также в сегментах технологических сетей связи:
o целостность передаваемого трафика команд дистанционного управления;
o межсетевое экранирование;
o антивирусную защиту и регулярное обновление баз данных сигнатур;
‒ применять средства защиты информации (далее – СрЗИ), встроенные в программное обеспечение (далее – ПО) или программно-аппаратные средства (при наличии таких СрЗИ);
‒ в отношении ПО, используемого для реализации дистанционного управления из диспетчерских центров, должно быть реализовано:
o наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей ПО;
o определение способов и сроков доведения организациями - разработчиками или производителями ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, о способах получения пользователями ПО обновлений, проверки их целостности и подлинности.
Приказ вступает в силу 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.
Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ
2 мая 2024 года на сайте Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) был опубликован методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ» (далее – Методика).
Методика применяется для оценки текущего состояния защиты информации или обеспечения безопасности объектов КИИ, для разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) организации.
Основным критерием оценки является показатель, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации. Методика содержит нормированное значение показателя, порядок его расчета и оценки.
Оценка показателя защищенности включает:
‒ сбор и анализ исходных данных, необходимых для оценки показателя;
‒ оценку значений частных показателей безопасности;
‒ расчет значения показателя и его сравнение с нормированным значением.
В качестве исходных данных рассматриваются:
‒ акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации или внутреннего контроля уровня защищенности информации;
‒ внутренние организационно-распорядительные документы;
‒ эксплуатационная документация на СрЗИ, сведения об их настройках и конфигурации;
‒ результаты инвентаризации информационных систем (далее – ИС);
‒ результаты интервьюирования работников о выполнении ими задач с использованием ИС;
‒ результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств ИС;
‒ результаты работы инструментальных средств оценки защищенности ИС или мониторинга ИБ и иное.
Методика содержит таблицу, необходимую для определения значений частных показателей безопасности, а также формулу расчета показателя. Частные показатели безопасности сгруппированы следующим образом:
‒ организация и управление;
‒ защита пользователей;
‒ защита ИС;
‒ мониторинг ИБ и реагирование.
Итоговый результат оценки значения показателя представлен в таблице ниже:
Значение показателя Кзи | Состояние защиты информации |
Кзи = 1 | Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации |
0,75 < Кзи < 1 | Минимальный уровень защиты не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации |
Кзи ≤ 0.75 | Минимальный уровень защиты не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации |
При значении показателя меньше 1 необходимо разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Рекомендуется проводить оценку показателя не реже 1 раза в полгода в отношении всех систем, подлежащих защите. Внеочередная оценка показателя защищенности проводится в случаях:
‒ возникновения инцидента ИБ, повлекшего наступление негативных последствий;
‒ изменения архитектуры ИС;
‒ запроса руководителя организации о текущем значении показателя защищенности;
‒ запроса ФСТЭК России.