Geekly articles weekly

Analytischer Hinweis. Überprüfung der Anordnung des Energieministeriums der Russischen Föderation vom 6. November 2018 N 1015

Die Autoren

K.E. Polezhaev, Analyst
A.A. Zavedenskaya, Assistant Analyst

Liste der verwendeten Abkürzungen

AWP - Workstation
ASUTP - Automatisiertes Prozessleitsystem
BDU - Gefahrendatenbank
IB - Informationssicherheit
ME - Firewall
NDV - Undokumentierte (nicht deklarierte) Opportunities
Software - Software
SRZI - Tools für Informationssicherheit
SUMiD - System zur Fernüberwachung und -diagnose der wichtigsten technologischen Geräte
FSB von Russland - Föderaler Sicherheitsdienst der Russischen Föderation
FSTEC von Russland - Föderaler Dienst für technische und Exportkontrolle der Russischen Föderation

Einführung

Dieser analytische Vermerk enthält einen Überblick über die Verordnung des Energieministeriums der Russischen Föderation vom 06.11.2018 Nr. 1015, die am 18. Februar 2019 im offiziellen Internetportal für rechtliche Informationen veröffentlicht wurde das Gebiet der Russischen Föderation von Systemen zur Fernüberwachung und -diagnose von Stromversorgungsanlagen “(eingetragen am 15. Februar 2019 Nr. 53815) (im Folgenden als Verordnung des Energieministeriums bezeichnet). Die Bestellung wird sechs Monate nach dem Datum ihrer offiziellen Veröffentlichung wirksam, d. H. seit dem 18. August 2019.

In der Elektrizitätsindustrie werden in technologischen Prozessen der Erzeugung und Übertragung von Elektrizität und Wärme automatisierte Prozesssteuerungssysteme (im Folgenden als Prozesssteuerungssysteme bezeichnet) aktiv eingesetzt. Automatisierte Prozessleitsysteme können in Fernüberwachungs- und Diagnosesysteme (im Folgenden als SUMiD bezeichnet) den technischen Zustand der Hauptausrüstung von Elektrizitätswerken integrieren, was Maßnahmen zur Gewährleistung der Sicherheit dieser Systeme erfordert. Der Auftrag legt organisatorische und funktionale Anforderungen zur Gewährleistung der Informationssicherheit des SUMiD fest, nämlich die Sicherheit seiner Softwarekomponenten, der Hardware-Infrastruktur, der integrierten Informationsschutz-Tools und der Gewährleistung der Sicherheitskontrolle. Außerdem werden die Anforderungen für die Sicherstellung von IS SUMiD in den Phasen des Lebenszyklus und der Zertifizierung festgelegt.

1. Allgemeines

Das Fernüberwachungs- und Diagnosesystem (SUMiD) ist ein Hardware-Software-Komplex, der die Fernüberwachung und -steuerung des Zustands der technologischen Hauptausrüstung eines Elektrizitätswerks ermöglicht und Änderungen des technischen Zustands der technologischen Hauptausrüstung auf der Grundlage der von installierten Datenerfassungssystemen gesammelten Daten diagnostiziert und vorhersagt auf technologische Ausrüstung und ohne Auswirkungen auf den normalen Modus der Ausrüstung / Einrichtung. Der angegebene Systemtyp kann beispielsweise Folgendes umfassen: ein Überwachungs- und Diagnosesystem „Überwachungs- und Steuerungssystem für Transformatorausrüstung“ der Firma ZAO Inter, Software von General Electric „On-Site Monitor“ (OSM).

Die Anforderungen des Ordens des Energieministeriums werden in Bezug auf die Grundfunktionen des SUMiD und die Informationssicherheit von Elektrizitätswerken während der Schaffung und des anschließenden Betriebs des SUMiD in der Russischen Föderation festgelegt. Wir können daraus schließen, dass die Anforderungen für die Elektrizitätsgegenstände gelten, die in den Stromversorgungsanlagen SUMiD betrieben werden. Aufgrund der Tatsache, dass bei der Erstellung eines SUMiD Anforderungen an die Informationssicherheit gestellt werden, ist es selbstverständlich, dass Stromversorger, die ein SUMiD eines Drittanbieters verwenden, versuchen, Organisationen, die das SUMiD implementieren, die Erfüllung eines Teils der Anforderungen des Ordens des Energieministeriums zuzuweisen.

Die Themen der Elektrizitätswirtschaft sind Personen, die in der Elektrizitätswirtschaft tätig sind, einschließlich der Erzeugung von Elektrizität, Wärmeenergie und Energie, des Kaufs und Verkaufs von Elektrizität und Energie, der Energieversorgung der Verbraucher, der Bereitstellung von Stromübertragungsdiensten, der betrieblichen Versandkontrolle in der Elektrizitätsindustrie und des Verkaufs von Elektrizität (Kapazität), die Organisation des Verkaufs von elektrischer Energie und Strom.

Objekte der Elektrizitätswirtschaft - Immobilienobjekte, die direkt für den Produktionsprozess, die Übertragung elektrischer Energie, die betriebliche Versandkontrolle in der Elektrizitätsindustrie und die Vermarktung elektrischer Energie einschließlich Stromnetzanlagen verwendet werden. Die Objekte in der Verordnung des Energieministeriums beziehen sich auf Objekte, an deren Standorten bestimmte technologische Grundausrüstungen funktionieren, wobei SUMiD auf diesen Geräten installiert ist und bestimmte Grundfunktionen hat.
Die technologische Hauptausrüstung sind Geräte, deren Verletzung oder Beendigung zum Verlust der Kontrolle über das Elektrizitätswerk, zu einer irreversiblen negativen Änderung der Funktionsparameter oder zu einer erheblichen Verringerung der Betriebssicherheit des Elektrizitätswerks führt.

Gemäß der Anordnung des Energieministeriums umfasst die wichtigste technologische Ausrüstung:

  • Dampfturbinen mit einer installierten Leistung von 5 MW oder mehr und zugehörige Hilfseinrichtungen, die am technologischen Hauptprozess beteiligt sind, jedoch keine elektrische Energie erzeugen oder umwandeln), um die Funktionsfähigkeit der technologischen Hauptausrüstung (im Folgenden: Hilfsausrüstung) sicherzustellen;
  • Dampfkessel (Energiekessel), die Dampfturbinen mit einer installierten Leistung von 5 MW oder mehr mit Dampf versorgen, und zugehörige Hilfseinrichtungen;
  • Hydraulikturbinen mit einer installierten Leistung von 5 MW oder mehr und zugehörige Zusatzausrüstung;
  • Gasturbinen mit einer Leistung von mehr als 25 MW und zugehörige Hilfseinrichtungen;
  • Leistungstransformatoren mit einer Spannung von 110 kV und höher mit einer Leistung von mehr als 63 MVA und zugehörigen Zusatzgeräten.

2. Grundfunktionen und Hauptkomponenten des SUMiD

Der Orden des Energieministeriums bestimmte die grundlegenden (Grund-) Funktionen des SUMiD:

  • technologische Überwachung des Zustands der wichtigsten technologischen Ausrüstung;
  • Fernsteuerung der technologischen Hauptausrüstung mit der Möglichkeit einer Fernsteuerung der technologischen Hauptausrüstung, um die Parameter ihrer Funktionsweise oder ihres Herunterfahrens unter Verwendung einer speziellen Software und (oder) des Softwaremoduls SUMiD zu ändern.

Auf der Grundlage des Wortlauts des Ordens bleibt dem Energieministerium unklar, ob das System, das die wichtigsten technologischen Geräte nicht fernsteuert, als SUMiD eingestuft werden sollte. Spezialisten von UTSB LLC haben eine Anfrage an das russische Energieministerium gesendet, um die Frage der Grundfunktionen des SUMiD zu klären. Auf eine Anfrage hin stellt das russische Energieministerium klar, dass die Anforderungen der Verordnung des Energieministeriums sowohl für Systeme gelten, die nur technologische Überwachung durchführen, als auch für Systeme, die die wichtigsten technologischen Geräte überwachen und fernsteuern.
Tabelle 1 zeigt die Software- und Hardwarekomponenten, die gemäß der Verordnung des Energieministeriums Teil des SUMiD sein können.

Tabelle 1. Software- und Hardwarekomponenten des SUMiD
Bild

Gemäß der Verordnung des Energieministeriums kann das Elektrizitätssubjekt in SUMiD einen unvollständigen Satz von Software- und Hardwarekomponenten aus der obigen Liste verwenden. Das Thema elektrische Energie kann auch andere Software- und Hardwarekomponenten verwenden. Die Software und Hardware des SUMiD muss jedoch vom Elektrizitätssubjekt in Form einer Liste der zur Verwendung zugelassenen Geräte und Software genehmigt werden.

3. Organisatorische Anforderungen zur Sicherstellung von IS SUMiD

Im Rahmen der organisatorischen Anforderungen werden Maßnahmen festgelegt, um die Bereitstellung von Informationssicherheit durch das Elektrizitätssubjekt zu organisieren, sowie primäre Maßnahmen, die für eine solche Organisation erforderlich sind. Das russische Energieministerium stellt klar, dass der Elektrizitätsgegenstand die Anforderungen der Verordnung des Energieministeriums an Organisationen senden kann, die an der Umsetzung der Lebenszyklusphasen des SUMiD beteiligt sind, indem er Maßnahmen und Maßnahmen zur Gewährleistung der Informationssicherheit in die Leistungsbeschreibung einführt.

Der Zugriff des Personals auf die SUMiD-Software sollte durch Identifizierungs- und Authentifizierungsverfahren implementiert werden. Um ein Benutzerkonto einzugeben, muss eine Kennwortrichtlinie genehmigt und konfiguriert werden, die die in Tabelle 2 aufgeführten Mindestanforderungen erfüllt.

Tabelle 2. Anforderungen an die Kennwortrichtlinie
Bild

Für den Zugriff des Personals auf die SUMiD-Software muss das Elektrizitätsunternehmen Zugangskontrollregeln bereitstellen, die die folgenden Mindestanforderungen erfüllen:

  • Für das Personal des Systems muss ein Kontopersonal in Bezug auf das QMS & A erstellt werden.
  • Einstellungen von Personalkonten in Bezug auf SUMiD sollten vom Elektrizitätsfach genehmigt werden.
  • Integrierte Konten (nicht personalisierte Konten) müssen deaktiviert sein.

Um die Zusammensetzung der Hardwarekonfiguration des SUMiD beizubehalten, muss das Elektrizitätsunternehmen die folgenden Verfahren ausführen:

  • Unterstützung technologischer Prozesse mit einem endlichen Satz von Software, deren Liste genehmigt werden muss;
  • Bereitstellung organisatorischer und technischer Maßnahmen zur Aufzeichnung von Sicherheitsereignissen für alle im SUMiD enthaltenen Software;
  • Definition und Anpassung von Aktualisierungsparametern (Zeitintervall) von Software, die Informationssicherheit bietet;
  • Organisation und Aktualisierung des Archivs der Entwurfs- und Betriebsdokumentation SUMiD;
  • Genehmigung der Zusammensetzung der SUMiD-Hardwareausrüstung sowie der für die Hardwareinfrastruktur verwendeten Software in Form einer Liste der zur Verwendung zugelassenen Geräte und Software.

In der Anordnung des russischen Energieministeriums wurde nicht vorgeschrieben, dass die Funktionsfähigkeit von Softwareupdates, die die Informationssicherheit gewährleisten, obligatorisch geprüft werden muss. Die Sicherheitsanfälligkeit „Fehlende Tests oder vereinfachte Softwaretests“ ist jedoch Teil der Liste der grundlegenden Sicherheitsanfälligkeiten, die zur Analyse von Sicherheitsanfälligkeiten und zur Erstellung eines Bedrohungsmodells für Sicherheitsanfälligkeiten erforderlich sind (Anhang 2 der Verordnung des Energieministeriums).

Das Thema der Elektrizitätswirtschaft sollte eine Reihe folgender Tätigkeiten ausüben:

  • Die Segmentierung der Hardware-Infrastruktur von SUMiD erfolgte mit der obligatorischen Zuweisung eines Mindestsatzes von Segmenten (Segment der Erfassung, Speicherung und Übertragung von Daten; Segment des Betriebs; Segment des Dienstes; Systemsoftware);
  • Es wurden Regeln zur Bestimmung und Genehmigung der Zusammensetzung der SUMiD-Hardwareinfrastruktur und zur Kontrolle der SUMiD-Hardwareinfrastruktur entwickelt.
  • An Orten, an denen sich die SUMiD-Hardware-Infrastruktur befindet, wird die physische Zugriffskontrolle bereitgestellt und reguliert.

Nach Abschluss des Segmentierungsvorgangs muss das Elektrizitätsunternehmen die Informationssicherheits-Managementprozesse des SUMiD festlegen.

Persönliche Server-Firewalls (im Folgenden als ME bezeichnet) sollten für Serverausrüstung und Arbeitsstationen für Personal des Elektrizitätssubjekts aktiviert werden, das die Funktionen zur Verwaltung einer Reihe technischer Mittel zum Schutz von Informationen, zur Informations- und Telekommunikationsinfrastruktur des SUMiD ausführt. Persönliche MEs sollten eine Blockierung des Netzwerkzugriffs vorsehen, die nicht durch die Funktionsweise des SUMiD vorgesehen ist. Passwörter für den Zugriff auf die Software und relevante Antiviren-Schutz-Tools mit Updates müssen ebenfalls festgelegt werden.

Das Thema der Elektrizitätswirtschaft sollte die Konformität der eingebauten Mittel zum Schutz der Informationssicherheit mit den Zielen der Informationssicherheit überprüfen, darunter:

  • Prüfung von Informationssicherheitsereignissen;
  • Bereitstellung eines kryptografischen Schutzes;
  • diskreter Zugriff für Systembenutzer;
  • Kontrolle der Netzwerkinteraktion;
  • Übergeben von Sicherheitsattributen;
  • Identifizierung und Authentifizierung;
  • Sicherheitskonfiguration
  • Vertrauenswürdige Verbindungen herstellen
  • Verfügbarkeit von Informationen.

Das Thema Elektrizitätswirtschaft muss folgende Maßnahmen ergreifen:

  • Kontrolle der Konstruktionsdokumentation und des Anfangszustands der Software;
  • Schutz vor unbefugtem Zugriff auf Informationen über technische und technologische Parameter der wichtigsten technologischen Ausrüstung;
  • Erstellung und Speicherung von Berichten über diese Aktivitäten.
  • Als grundlegende Gruppe von Informationssicherheitskontrollen für das SUMiD muss das Elektrizitätssubjekt die folgenden Maßnahmen durchführen:
  • Genehmigung der Informationssicherheitsrichtlinie;
  • Verteilung der Verantwortlichkeiten innerhalb der Organisation zur Gewährleistung der Informationssicherheit;
  • Bereitstellung von Schulungen und Schulungen für Informationssicherheitspersonal;
  • Ausbildung und Schulung des Personals zur Aufrechterhaltung der Informationssicherheit;
  • Organisation von Prozessen zur Meldung von Fällen von Schutzverletzungen;
  • Virenschutz anwenden;
  • Daten und Konstruktionsdokumentation schützen;
  • Überwachung der Einhaltung einer genehmigten Informationssicherheitsrichtlinie.

Das Unternehmen der Energiewirtschaft sollte die SUMiD gemäß dem Bundesgesetz vom 26. Juli 2017 Nr. 187- „Über die Sicherheit kritischer Informationsinfrastrukturen der Russischen Föderation“ gemäß dem Dekret der Regierung der Russischen Föderation vom 08.02.2018 Nr. 127 „Über die Genehmigung der Regeln zur Kategorisierung von Objekten kritischer Informationsinfrastrukturen der Russischen Föderation“ kategorisieren sowie eine Liste von Indikatoren mit Kriterien für die Bedeutung der kritischen Informationsinfrastruktur der Russischen Föderation “und stellte die Einhaltung sicher normative Rechtsakte auf der Grundlage der Ergebnisse der Kategorisierung.

Die Kategorisierung von SUMiD durch das Elektrizitätssubjekt kann in Fällen, in denen das SUMiD nicht Eigentum des Elektrizitätssubjekts ist, zu Schwierigkeiten führen. In den meisten Fällen wird dem Elektrizitätsgegenstand eine Überwachung und Diagnose des Zustands der technologischen Ausrüstung als Dienstleistung angeboten, und die SUMiD wird von der Organisation - dem SUMiD-Entwickler - unterstützt.

Informationsschutzmaßnahmen sollten in allen Phasen (Phasen) der Erstellung der SUMiD angewendet werden, die in GOST 34.601-90 „Informationstechnologie. Eine Reihe von Standards für automatisierte Systeme. Automatisierte Systeme sind in Vorbereitung. “ Da die Verordnung des Energieministeriums keine Verantwortung für die Gewährleistung der Informationssicherheit vorsieht, halten es die Experten von UTSSB LLC für möglich, die Organisationsteilnehmer jeder Stufe als für die Gewährleistung der Informationssicherheit in allen Phasen (Phasen) der Erstellung einer SUMiD verantwortlich anzugeben.

4. Anforderungen zur Sicherstellung von IS SUMiD in den Phasen des Lebenszyklus

Während der Erstellung und des anschließenden Betriebs von SUMiD sollte die Funktion der technologischen Überwachung des Zustands der wichtigsten technologischen Ausrüstung von Elektrizitätswerken in Bezug auf Datenerfassung, -speicherung und -übertragung (Datenverarbeitungszentren) über die Datenerfassungs-, Speicherungs- und Übertragungsinfrastruktur in der Russischen Föderation ausgeführt werden. Bei der Datenübertragung über ein öffentliches Kommunikationsnetz müssen Informationsschutzmittel (im Folgenden als SRZI bezeichnet) angewendet werden, die die Konformitätsbewertung auf der Grundlage der Anforderungen des Bundesgesetzes vom 27. Dezember 2002 Nr. 184- "Über technische Vorschriften" bestanden haben. Die Konformitätsbewertung von Informationsschutzmitteln auf der Grundlage der Anforderungen des Bundesgesetzes vom 27. Dezember 2002 Nr. 184- „Über technische Vorschriften“ wird in Form einer Zertifizierung von Informationsschutzmitteln durchgeführt.

Es ist zu beachten, dass diese Anforderung nicht für die Datenverarbeitungsinfrastruktur gilt. Daher kann die Funktion der technologischen Überwachung des Zustands der wichtigsten technologischen Ausrüstung im Hinblick auf die Verarbeitung technologischer Daten außerhalb der Russischen Föderation wahrgenommen werden.

Bei Verwendung einer speziellen Software und / oder eines Softwaremoduls mit einer Fernbedienungsfunktion in der SUMiD sollte eine Überprüfung durchgeführt werden, die nicht niedriger als auf Stufe 4 des Fehlens einer NDV-Steuerung ist.

Das Thema der Elektrizitätswirtschaft sollte ein Bedrohungsmodell und einen Eindringling für die SUMiD entwickeln und genehmigen. Zur Modellierung von IS-Bedrohungen sollten die russische Bedrohungsdatenbank FSTEC sowie andere verfügbare Quellen und die Ergebnisse der Bewertung der Wahrscheinlichkeit von Schwachstellen der SUMiD-Komponenten verwendet werden. Bei der Modellierung von Bedrohungen sind die Bedrohungsquellen, typischen Schwachstellen, Einflussobjekte und destruktiven Aktionen in Bezug auf die Objekte des QMS zu beschreiben.

Basierend auf dem generierten Modell von Informationssicherheitsbedrohungen entwickelt das SUMiD eine Informationssicherheitsrichtlinie, die die funktionalen Anforderungen für die Informationssicherheit des SUMiD enthält.

In der Verordnung des Energieministeriums ist das Konzept der „funktionalen Anforderungen“ nicht definiert, und die grundlegenden funktionalen Anforderungen für die Informationssicherheit des SUMiD sind nicht angegeben, auf deren Grundlage das Elektrizitätssubjekt seine eigenen funktionalen Anforderungen bilden könnte.Nach Angaben der Spezialisten von UTSB LLC sowie auf der Grundlage des Verordnungsentwurfs des Energieministeriums Nr. 1015 werden die funktionalen Anforderungen auf der Grundlage des Dokuments „GOST R ISO / IEC 15408-2-2013. Informationstechnologie (IT). Sicherheitsmethoden und -werkzeuge. Kriterien zur Bewertung der Sicherheit der Informationstechnologie. Teil 2. Funktionale Sicherheitskomponenten “(im Folgenden: GOST R ISO / IEC 15408-2-2013). Funktionale Anforderungen werden an den Bewertungsgegenstand gestellt und umfassen Funktionsklassen, die aus Funktionsfamilien und Komponenten bestehen. Gegenstand der Bewertung im Rahmen der Verordnung des Energieministeriums wird die SUMiD sein.

Funktionsklassen umfassen:

  • Sicherheitsaudit;
  • Kommunikation;
  • kryptografische Unterstützung;
  • Benutzerdatenschutz;
  • Identifizierung und Authentifizierung;
  • Sicherheitsmanagement;
  • Privatsphäre
  • Schutz der Sicherheitsfunktionen des Bewertungsgegenstandes;
  • Nutzung von Ressourcen;
  • Zugang zum Bewertungsgegenstand;
  • vertrauenswürdige Route / Kanal.

Eine detaillierte Beschreibung der Funktionsklassen ihrer Familien und Komponenten findet sich in GOST R ISO / IEC 15408-2-2013.

Um zu bestätigen, dass das SUMiD und sein Sicherheitssubsystem den Anforderungen des Energieministeriums entsprechen, müssen das SUMiD und seine Sicherheitssubsysteme gemäß den "Anforderungen zum Schutz von Informationen, die keine Staatsgeheimnisse in staatlichen Informationssystemen sind", die im Auftrag des FSTEC von Russland vom 11.02. Genehmigt wurden, zertifiziert werden. 2013 Nr. 17. Die Einführung des SUMiD und seines Sicherheitssubsystems sollte erst nach Erhalt der Konformitätsbescheinigung des SUMiD erfolgen. Das russische Energieministerium bestätigt, dass die Zertifizierung sowohl dem Datenerfassungsserver unterliegt, der in den Produktionsanlagen der Elektrizitätssubjekte installiert ist, als auch dem Datenverarbeitungsserver der SUMiD der Serviceorganisationen.

Auf dieser Grundlage sollte der Schluss gezogen werden, dass das in der SUMiD enthaltene SRHI gemäß dem Bundesgesetz vom 27. Dezember 2002 Nr. 184- „Über technische Vorschriften“ (Artikel 11 der Anforderung zum Schutz von Informationen, die kein Staatsgeheimnis darstellen) zertifiziert sein muss staatliche Informationssysteme, eingerichtet durch den Beschluss des FSTEC von Russland vom 02.11.2013 Nr. 17).

Es ist zu beachten, dass es bei der Platzierung eines Segments, das technologische Informationen verarbeitet, außerhalb der Russischen Föderation unmöglich ist, ein Segment für die Verarbeitung technologischer Informationen zu zertifizieren, um die Anforderungen für den Schutz von Informationen zu erfüllen, die keine Staatsgeheimnisse darstellen, die in staatlichen Informationssystemen enthalten sind, die durch die Anordnung des FSTEC von Russland vom 11.02 genehmigt wurden. 2013 Nr. 17.

Es behindert auch die Verwendung von kryptografischen Informationsschutzmitteln, die gemäß dem Bundesgesetz vom 27. Dezember 2002 Nr. 184- über technische Vorschriften im Segment der Informationsverarbeitung außerhalb der Russischen Föderation aufgrund der Vorschriften des Lizenzierungs-, Zertifizierungs- und staatlichen Geheimschutzzentrums des Bundessicherheitsdienstes zertifiziert wurden Russland importiert in das Zollgebiet der Eurasischen Wirtschaftsunion und in das Gebiet der Russischen Föderation und exportiert Verschlüsselung (kryptografisch) außerhalb ihrer Grenzen.

Um das Sicherheitssystem des SUMiD zu gewährleisten, muss das Elektrizitätsunternehmen die Anforderungen erfüllen, die in den Kapiteln III, IV und V der FSTEC-Verordnung von Russland vom 21. Dezember 2017 Nr. 235 festgelegt sind.

, , , 25.12.2017 № 239 , 21.12.2017 №235.

Wenn daher aufgrund der Ergebnisse der Kategorisierung der Schluss gezogen wurde, dass es nicht erforderlich ist, der SUMiD eine Signifikanzkategorie zuzuweisen, bleiben die Anforderungen an Software und Hardware, die zur Gewährleistung der Sicherheit wesentlicher Objekte kritischer Informationsinfrastrukturen verwendet werden, weiterhin verbindlich, nämlich die Anforderungen für die Verwendung von SRSI zertifiziert. Ebenso mit den Anforderungen an das Funktionieren des Sicherheitssystems in Bezug auf die Organisation der Arbeit, um die Sicherheit bedeutender kritischer Informationsinfrastruktureinrichtungen zu gewährleisten. Gemäß diesen Anforderungen für die Objekte der kritischen Informationsinfrastruktur, Planung und Entwicklung von Maßnahmen zur Gewährleistung der Sicherheit, Umsetzung (Umsetzung) dieser Maßnahmen,Die Überwachung des Sicherheitsstatus wurde sichergestellt und Sicherheitsverbesserungen wurden durchgeführt.



  1. , . 15 2019 .
  2. 08.02.2018 № 127 « , ». , 21.12.2017 № 235 25.12.2017 № 239 , , . , .
  3. , , , .
  4. 27.12.2002 № 184- « ». .
  5. , . . , , ; , .
  6. , , / , 4 .
  7. :

  • , 11.02.2013 № 17;
  • , 27.12.2002 № 184- « ».

Source: https://habr.com/ru/post/de463649/

More articles:


All Articles