На официальном интернет-портале правовой информации 18 февраля 2019 года был опубликован Приказ Министерства энергетики Российской Федерации от 06.11.2018 № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» (Зарегистрирован 15.02.2019 № 53815) (далее – Приказ Минэнерго). Приказ вступает в силу по истечении шести месяцев со дня его официального опубликования, т.е. с 19 августа 2019 года.
Системы удаленного мониторинга и диагностики (СУМиД) – это программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования объекта, диагностирование и прогнозирование изменения технического состояния основного технологического оборудования на основе собранных данных, получаемых от систем сбора данных, установленных на технологическом оборудовании, и не влияющего на штатный режим оборудования/объекта.
Требования Приказа Минэнерго устанавливаются в отношении базовых функций СУМиД и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации СУМиД на территории Российской Федерации. Можно сделать вывод, что требования, установленные для субъектов электроэнергетики, которые эксплуатируют на объектах электроэнергетики СУМиД, также касаются и компаний, создающих эти системы.
Из основных требований к обеспечению информационной безопасности СУМиД можно выделить следующие:
- субъект электроэнергетики должен проводить категорирование СУМиД;
- должны выполняться требования главы III, IV, V Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235);
- для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД должны применяться сертифицированные средства защиты информации (СрЗИ) и средства контроля эффективности защиты информации;
- если при реализации функции технологического мониторинга при передаче данных эксплуатируются сети общего пользования, то должны применяться СрЗИ, прошедшие оценку соответствия в соответствии с требованиями ФЗ №184;
- при создании и последующей эксплуатации СУМиД функция технологического мониторинга состояния основного технологического оборудования в части сбора, хранения и передачи данных, должна осуществляться посредством инфраструктуры сбора, хранения и передачи данных (центров обработки данных), расположенной на территории Российской Федерации;
- если в СУМиД предусмотрена функция удаленного управления, то для программного обеспечения, реализующего данную функцию, должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей;
- для подтверждения соответствия требованиям Приказа Минэнерго должна быть проведена аттестация СУМиД по 17 приказу ФСТЭК России;
- ввод в действие СУМиД и ее подсистемы безопасности должен осуществляться после получения аттестата соответствия СУМиД.
Реализация Федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика Российской Федерации»
Правительство Российской Федерации 13 февраля 2019 г. выпустило Постановление №136 «О Центре мониторинга и управления сетью связи общего пользования».
Целью создания Центра мониторинга и управления сетью связи общего пользования (далее – Центра мониторинга) озвучивается намерение обеспечения целостности, устойчивости функционирования и безопасности сети связи общего пользования. Центр мониторинга призван обрабатывать данные об общей работе сетей связи, а также об аварийных случаях.
Центр мониторинга – внутренняя структура Роскомнадзора, который отвечает за её создание и функционирование. Роскомнадзор должен создать Центр мониторинга до 1 июля 2019 г., а саму систему мониторинга и управления сетью связи ввести в эксплуатацию до 1 января 2020г. При этом Минкомсвязи до 1 мая 2019 г. должна разработать проект федерального закона, определяющего информацию, которая будет предоставляться в систему мониторинга и управления. А до 1 января 2020 г совместно с ФСБ России регламентировать взаимодействие системы с другими государственными информационными системами, в том числе с ГосСОПКА.
Проект изменений в форму сведений о результатах категорирования
28 февраля 2019 г. на официальном портале проектов нормативных правовых актов был опубликован Проект приказа ФСТЭК России «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236» (далее – Проект приказа).
Проект приказа предлагает изменения к форме сведений, направляемых во ФСТЭК России субъектом критической информационной инфраструктуры (КИИ) по результатам категорирования. Проект приказа четко оговаривает, что сведения должны быть предоставлены в бумажном виде с приложением электронной копией в формате .ods.
Краткая сводка основных предложений по изменению формы сведений о результатах категорирования:
- исключить из сведений об объекте КИИ информацию о критических процессах, заменив её на данные о типе объекта;
- дополнить сведения информацией об ИНН субъекта КИИ и КПП его обособленных подразделений;
- исключить из возможных последствий в случае возникновения компьютерных инцидентов информацию об ущербе;
- к информации о полученных значениям по показателям критериев значимости добавить обоснование этих полученных значений.