Какие компании должны выполнить требования приказа Минэнерго № 1015?
Светлая и темная стороны приказа. Пункты 14, 24 и 30
Наш подход к реализации норм приказа
Более года назад Минэнерго России выпустило приказ № 10151Приказ Министерства энергетики РФ № 1015 от 06.11.2018. Вступил в силу 15.08.2019. (далее по тексту — «Приказ»), который был призван снизить риск воздействия на АСУ ТП через системы удаленного мониторинга и диагностики основного технологического оборудования (СУМиД). Этот документ стал очередным шагом в ужесточении нормативного регулирования защиты сначала критически важной, а затем и критической информационной инфраструктуры (КИИ) (Федеральный закон № 187-ФЗ). Приказ ведомства стал неожиданностью для большинства попавших под его действие вендоров. Начиная с середины 2019 г. к нам по очереди обращались зарубежные производители турбин с просьбой разъяснить, какие работы им нужно провести для выполнения новых требований. В это же время крупный энергетический холдинг закрыл доступ для вендора-партнера к системе мониторинга и пообещал восстановить его только после исполнения Приказа Министерства энергетики РФ. Сам по себе документ содержит вполне разумные положения, реализация которых действительно повысит безопасность электроэнергетики. Однако у многих энергохолдингов и вендоров АСУ ТП до сих пор нет целостного понимания того, как выполнить эти требования. В статье мы восполним существующие пробелы и поделимся собственным подходом к реализации норм документа.
Суть новаций
До недавнего времени обеспечение защиты удаленного доступа к объектам КИИ производителями АСУ ТП в России никак не регламентировалось. Между тем множество зарубежных вендоров систем промышленной автоматизации осуществляют мониторинг отечественных объектов КИИ. Минэнерго своим Приказом обязало производителей обеспечивать безопасность при выполнении таких работ. Это означает, что теперь при подключении к СУМиД вендоры должны выполнять требования законодательства РФ в области защиты информации.
Нормативный документ касается объектов электроэнергетики, где создают или эксплуатируют удаленный мониторинг и диагностику оборудования. Компании нужно обеспокоиться, если ее объекты имеют следующие характеристики:
- В действующей СУМиД реализованы основные функции мониторинга и диагностики оборудования.
- Технологическое оборудование включает котлы (от 5 МВт), паровые (от 5 МВт), газовые (от 25 МВт) или гидротурбины (от 5 МВт) либо трансформаторы (от 110 кВ).
Таким образом, требования Приказа распространяются практически на все компании по производству или транспортировке электроэнергии. Оборудование из списка выше есть почти у всех предприятий, а критерии, указывающие на необходимость его защиты, достаточно низкие.
Задумка авторов документа вполне ясна: ограничить удаленный сервис зарубежных вендоров и локализовать его в России (об этом нам говорит пункт 23 Приказа). И это понятно, ведь доступ в технологическую сеть даже для мониторинга создает для предприятия дополнительные угрозы. Но не стоит забывать, что у любой медали есть две стороны. Мы рассмотрим их ниже.
Что за «зверь» такой СУМиД
СУМиД — программно-аппаратные комплексы, обеспечивающие процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования. В большинстве случаев структура СУМиД выглядит так (рис. 1):
- Внутренний сервер. Получает данные с OPC-сервера технологической сети, обрабатывает и передает их на внешний сервер.
- Внешний сервер. Выступает в роли шлюза для передачи данных центру диагностики.
- Центр диагностики. Обрабатывает полученные данные и выдает рекомендации владельцу объекта электроэнергетики.
Любопытно, что в Приказе не уточняется, должны ли подобные системы обеспечивать и мониторинг, и управление или же достаточно одной из этих функций, чтобы объект электроэнергетики подпадал под требования документа. К примеру, система, выполняющая только мониторинг, может не являться полноценной СУМиД.
В Приказе достаточно жестко зафиксированы требования к аппаратной составляющей СУМиД. Однако с учетом современных решений вендоров этот набор выглядит устаревшим. В частности, в документе не прописаны возможности виртуализации и объединения серверов на одной платформе. Кроме того, по непонятной причине маршрутизатор и межсетевой экран разнесены на отдельные составляющие.
Светлая сторона Приказа
Один из ключевых положительных моментов Приказа — детальное описание мероприятий по обеспечению безопасности среды функционирования СУМиД и целей ИБ. Подробно о них можно узнать из приложений к Приказу, там же есть необходимая информация для проработки моделей угроз и модели нарушителя, а также технического задания. Все это позволяет в кратчайшие сроки сформулировать рамки защиты СУМиД и приступить к ее реализации.
Положения документа в основном пересекаются с требованиями приказов ФСТЭК: прослеживается именно комплексный подход к построению ИБ СУМиД. Об этом свидетельствует необходимость разработки политики безопасности, организационно-распорядительной документации, моделирования угроз и собственно запуска проекта по информационной безопасности СУМиД. Помимо этого, важно отметить требования в части контроля ИБ СУМиД: распределение обязанностей, обучение и подготовка персонала, уведомления в случае нарушения защиты.
Темная сторона Приказа
Среди приятных моментов есть и ложка дегтя, а именно пункты 14, 24 и 30 Приказа. Пункт 14 указывает на необходимость применения в СУМиД только сертифицированных средств защиты информации. В реалиях государственных корпораций это вполне оправданно, но для коммерческих организаций требование выглядит несколько жестким. Ведь при добавлении средства защиты в технологическую систему может потребоваться его тестирование на совместимость с компонентами СУМиД. Процесс согласования таких тестирований у зарубежных вендоров, как правило, небыстрый и может занимать несколько месяцев.
В пункте 24 Приказ выдвигает требования к программному модулю удаленного управления технологическим оборудованием. Для него необходимо провести проверку не ниже, чем по 4-му уровню контроля отсутствия недекларированных возможностей. Это требует предоставления исходных текстов программ, входящих в состав ПО. Очень маловероятно, что зарубежный вендор захочет предоставлять все необходимые данные для проверки.
Наконец, вишенкой на торте можно назвать требование пункта 30, а именно необходимость проводить аттестацию СУМиД в соответствии с требованиями приказа ФСТЭК России № 17. Напомним, что эту процедуру можно реализовать только при условии применения в системе сертифицированных средств защиты. Невыполнение требования влечет за собой невозможность ввода в действие как самой СУМиД, так и ее подсистемы безопасности (согласно пункту 33 Приказа).
Помимо требований в части средств защиты, в документе отражен внушительный перечень рекомендаций в отношении самой СУМиД (функции, уровни, аппаратные составляющие, компоненты ПО). Все это еще больше запутывает владельца объекта электроэнергетики: что же понимать под аббревиатурой СУМиД?
К тому же в Приказе осталось много недосказанного. Например, документ устанавливает требования, но при этом не уточняет сроки для приведения существующих систем в соответствие с ними. Приказ не регламентирует ни сроки проведения проверок, ни круг ответственных за них лиц. Нет информации и о последствиях невыполнения его положений, что может ошибочно трактоваться как отсутствие наказания.
Что и как делать?
Если вы провели категорирование объекта КИИ, включающего СУМиД, выполняете требования Федерального закона № 187-ФЗ и уже внедряете средства защиты информации, упомянутые в приказе ФСТЭК России № 239, скорее всего, дополнительно вам ничего делать не придется. Принимаемых мер защиты должно хватить, чтобы перекрыть требования Минэнерго. Необходимо пройтись по Приказу как по чек-листу и проверить, все ли пункты выполнены, а угрозы и нарушители учтены. В части организационно-распорядительных документов надо учесть, что Приказ Минэнерго требует наличия политики информационной безопасности, в то время как приказ ФСТЭК России № 239 обязывает всего лишь регламентировать процедуры. В остальном подход к защите СУМиД будет очень схож с защитой значимого объекта КИИ.
Если же вы только планируете категорирование и поняли, что у вас есть СУМиД, вот несколько советов по построению ее защиты:
- Необходимо произвести сегментирование СУМиД, чтобы убрать возможность прямого влияния на технологическую сеть.
- Стоит обратить внимание на встроенные механизмы безопасности системы: у некоторых производителей они позволяют контролировать целостность информации, обеспечивать ее доступность и возможность восстановления в случае искажения или утраты.
- Нельзя забывать о том, что СУМиД по сути дублирует информацию о состоянии оборудования и лишь помогает прогнозировать выход из строя тех или иных компонентов системы. Поэтому при защите этого компонента стоит опираться на то, что он является вспомогательным и не создает критичной нагрузки на целостность и доступность всей АСУ ТП.
Приказ Минэнерго вполне реализуем, за исключением пары моментов. В качестве основной проблемы мы видим несколько труднореализуемых требований и неясную ситуацию со сроками исполнения. Аналогичная ситуация имеет место с приказом ФСТЭК № 312 Приказ ФСТЭК от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».. Он призывал компании реализовать защиту критических объектов, но не был обязательным к исполнению (в отличие от Федерального закона № 187-ФЗ). Так что рассматриваемый нами документ является расширенной рекомендацией по защите СУМиД в дополнение к приказам ФСТЭК № 31 и 239.