Geekly articles weekly

Catatan analitik. Ulasan urutan Kementerian Energi Federasi Rusia 6 November 2018 N 1015

Penulis

K.E. Polezhaev, Analis
A.A. Zavedenskaya, Asisten Analis

Daftar singkatan yang digunakan

AWP - Workstation
ASUTP - Sistem kontrol proses otomatis
BDU - Bank Data Bahaya
IB - Keamanan Informasi
ME - Firewall
NDV - Peluang Tidak Terdokumentasi (Tidak Dideklarasikan)
Perangkat Lunak - Perangkat Lunak
SRZI - Alat Keamanan Informasi
SUMiD - Sistem untuk pemantauan jarak jauh dan diagnostik peralatan teknologi utama
FSB Rusia - Layanan Keamanan Federal Federasi Rusia
FSTEC Rusia - Layanan Federal untuk Kontrol Teknis dan Ekspor Federasi Rusia

Pendahuluan

Catatan Analitik ini berisi tinjauan umum atas Pesanan No. 1015 dari Kementerian Energi Federasi Rusia tanggal 6 November 2019 yang diterbitkan di portal Internet resmi informasi hukum pada 18 Februari 2019 “Tentang persetujuan persyaratan untuk fungsi dasar (wajib) dan keamanan informasi fasilitas tenaga listrik selama pembuatan dan operasi selanjutnya dari wilayah Federasi Rusia sistem untuk pemantauan jarak jauh dan diagnostik peralatan listrik ”(Terdaftar pada 15 Februari 2019 No. 53815) (selanjutnya disebut sebagai Urutan Kementerian Energi). Perintah mulai berlaku setelah enam bulan sejak tanggal publikasi resminya, yaitu sejak 18 Agustus 2019.

Dalam industri tenaga listrik, dalam proses teknologi produksi dan transmisi listrik dan panas, sistem kontrol proses otomatis (selanjutnya disebut sebagai sistem kontrol proses) secara aktif digunakan. Sistem kontrol proses otomatis dapat diintegrasikan dengan pemantauan jarak jauh dan sistem diagnostik (selanjutnya disebut SUMiD) dari kondisi teknis dari peralatan utama fasilitas tenaga listrik, yang membutuhkan langkah-langkah untuk memastikan keamanan sistem ini. Perintah ini menetapkan persyaratan organisasi dan fungsional untuk memastikan keamanan informasi SUMiD, yaitu keamanan komponen perangkat lunaknya, infrastruktur perangkat keras, alat perlindungan informasi bawaan, dan memastikan kontrol keamanan. Ini juga menetapkan persyaratan untuk memastikan IS SUMiD pada tahap siklus hidup dan sertifikasi.

1. Umum

Remote Monitoring and Diagnostics System (SUMiD) adalah kompleks perangkat keras-perangkat lunak yang menyediakan proses pemantauan jarak jauh dan kontrol keadaan peralatan teknologi utama dari fasilitas tenaga listrik, mendiagnosis dan memprediksi perubahan dalam kondisi teknis peralatan teknologi utama berdasarkan data yang dikumpulkan yang diterima dari sistem pengumpulan data yang dipasang pada peralatan teknologi, dan tidak mempengaruhi mode normal peralatan / fasilitas. Misalnya, jenis sistem yang diindikasikan dapat meliputi: sistem pemantauan dan diagnostik "Sistem pemantauan dan kontrol untuk peralatan transformator" perusahaan ZAO Inter, perangkat lunak dari General Electric "On-Site Monitor" (OSM).

Persyaratan Orde Kementerian Energi ditetapkan sehubungan dengan fungsi dasar SUMiD dan keamanan informasi fasilitas tenaga listrik selama pembuatan dan operasi SUMiD selanjutnya di Federasi Rusia. Kita dapat menyimpulkan bahwa persyaratan berlaku untuk Subjek Listrik yang beroperasi di fasilitas tenaga listrik SUMiD. Karena kenyataan bahwa persyaratan keamanan informasi diberlakukan pada tahap pembuatan SUMiD, adalah logis bahwa entitas tenaga listrik yang menggunakan SUMiD pihak ketiga akan mencoba untuk menetapkan pemenuhan sebagian persyaratan Orde Kementerian Energi kepada organisasi yang menerapkan SUMiD.

Subjek dari industri tenaga listrik adalah orang yang beroperasi di industri tenaga listrik, termasuk produksi listrik, energi dan tenaga panas, pembelian dan penjualan energi dan tenaga listrik, pasokan energi kepada konsumen, penyediaan layanan transmisi tenaga listrik, kontrol pengiriman operasional dalam industri tenaga listrik, dan penjualan tenaga listrik (kapasitas), organisasi penjualan energi dan tenaga listrik.

Objek industri tenaga listrik - objek properti yang secara langsung digunakan dalam proses produksi, transmisi energi listrik, kontrol pengiriman operasional di industri tenaga listrik, dan pemasaran energi listrik, termasuk fasilitas jaringan listrik. Objek-objek dalam Ordo Kementerian Energi mengacu pada objek-objek di situs-situs di mana fungsi-fungsi peralatan teknologi dasar tertentu, dengan SUMiD dipasang pada peralatan ini dan memiliki fungsi-fungsi dasar tertentu.
Peralatan teknologi utama adalah peralatan, pelanggaran atau pemutusan yang mengarah pada hilangnya kontrol fasilitas tenaga listrik, perubahan negatif yang tidak dapat diubah dalam parameter fungsinya, atau penurunan signifikan dalam keselamatan pengoperasian fasilitas tenaga listrik.

Menurut perintah Kementerian Energi, peralatan teknologi utama meliputi:

  • turbin uap dengan kapasitas terpasang 5 MW atau lebih dan peralatan tambahan terkait yang terlibat dalam proses teknologi utama, tetapi tidak memproduksi atau mengubah energi listrik), yang dirancang untuk memastikan pengoperasian peralatan teknologi utama (selanjutnya - peralatan tambahan);
  • ketel uap (energi) yang menyediakan uap ke turbin uap dengan kapasitas terpasang 5 MW atau lebih, dan peralatan bantu terkait;
  • turbin hidrolik dengan kapasitas terpasang 5 MW atau lebih dan peralatan bantu terkait;
  • turbin gas dengan kapasitas unit lebih dari 25 MW dan peralatan tambahan terkait;
  • transformator daya dengan tegangan 110 kV dan lebih tinggi, dengan kapasitas lebih dari 63 MVA dan peralatan bantu terkait.

2. Fungsi dasar dan komponen utama SUMiD

Urutan Kementerian Energi menentukan fungsi dasar (dasar) SUMiD:

  • pemantauan teknologi dari keadaan peralatan teknologi utama;
  • remote control peralatan teknologi utama dengan kemungkinan pengaruh jarak jauh pada peralatan teknologi utama untuk mengubah parameter fungsi atau pemadamannya, menggunakan perangkat lunak khusus dan (atau) modul perangkat lunak SUMiD.

Berdasarkan kata-kata dari Ordo, Kementerian Energi tetap tidak jelas apakah sistem yang tidak mengontrol peralatan teknologi utama dari jarak jauh harus diklasifikasikan sebagai SUMiD. Spesialis dari UTSB LLC mengirim permintaan ke Kementerian Energi Rusia untuk mengklarifikasi masalah fungsi dasar SUMiD. Menanggapi permintaan, Kementerian Energi Rusia mengklarifikasi bahwa persyaratan Orde Kementerian Energi berlaku baik untuk sistem yang hanya melakukan pemantauan teknologi, dan untuk sistem yang memantau dan mengontrol jarak jauh peralatan teknologi utama.
Tabel 1 menunjukkan komponen perangkat lunak dan perangkat keras yang mungkin menjadi bagian dari SUMiD, menurut Ordo Kementerian Energi.

Tabel 1. Komponen perangkat lunak dan perangkat keras SUMiD
gambar

Menurut Pesanan Kementerian Energi, Subjek Listrik dapat menggunakan dalam SUMiD komponen perangkat lunak dan perangkat keras yang tidak lengkap dari daftar di atas. Subjek daya listrik juga dapat menggunakan komponen perangkat lunak dan perangkat keras lainnya. Namun, perangkat lunak dan perangkat keras SUMiD harus disetujui oleh Subjek Listrik dalam bentuk daftar peralatan dan perangkat lunak yang disetujui untuk digunakan.

3. Persyaratan organisasi untuk memastikan SUMiD IS

Dalam kerangka persyaratan organisasi, langkah-langkah ditetapkan untuk mengatur penyediaan keamanan informasi oleh Subjek Listrik, serta langkah-langkah utama yang diperlukan untuk organisasi semacam itu. Kementerian Energi Rusia mengklarifikasi bahwa Subjek Listrik dapat menyiarkan persyaratan Orde Kementerian Energi kepada organisasi yang berpartisipasi dalam implementasi tahapan siklus hidup SUMiD dengan memperkenalkan langkah-langkah dan langkah-langkah untuk memastikan keamanan informasi dalam Kerangka Acuan.

Akses personel ke perangkat lunak SUMiD harus dilaksanakan melalui prosedur identifikasi dan otentikasi. Untuk memasukkan akun pengguna, kebijakan kata sandi harus disetujui dan dikonfigurasi yang memenuhi persyaratan minimum yang tercantum dalam tabel 2.

Tabel 2. Persyaratan Kebijakan Sandi
gambar

Untuk akses personel ke perangkat lunak SUMiD, Entitas Listrik harus memberikan aturan kontrol akses yang memenuhi persyaratan minimum berikut:

  • Personel akun harus dibuat untuk personel sistem sehubungan dengan QMS & A, sesuai dengan persyaratan kebijakan kata sandi;
  • pengaturan akun personel sehubungan dengan SUMiD harus disetujui oleh Subjek Listrik;
  • akun bawaan (akun non-personal) harus dinonaktifkan.

Untuk mempertahankan komposisi konfigurasi perangkat keras SUMiD, Entitas Listrik harus melakukan prosedur berikut:

  • memberikan dukungan untuk proses teknologi dengan seperangkat perangkat lunak yang terbatas, daftar yang harus disetujui;
  • menyediakan langkah-langkah organisasi dan teknis untuk merekam acara keamanan untuk semua perangkat lunak yang termasuk dalam SUMiD;
  • definisi dan penyesuaian parameter pembaruan (interval waktu) perangkat lunak yang menyediakan keamanan informasi;
  • pengorganisasian dan pemutakhiran arsip desain dan dokumentasi operasional SUMiD;
  • persetujuan komposisi peralatan perangkat keras SUMiD, serta perangkat lunak yang digunakan untuk infrastruktur perangkat keras dalam bentuk daftar peralatan dan perangkat lunak yang disetujui untuk digunakan.

Urutan Kementerian Energi Rusia tidak menetapkan persyaratan untuk pengujian wajib operabilitas pembaruan perangkat lunak yang menjamin keamanan informasi. Namun demikian, kerentanan "kurangnya pengujian atau pengujian perangkat lunak yang disederhanakan" adalah bagian dari Daftar kerentanan Kerentanan dasar yang diperlukan untuk menganalisis Kerentanan dan untuk membuat model ancaman untuk Kerentanan (Lampiran 2 pada Urutan Kementerian Energi).

Subjek industri tenaga listrik harus melakukan sejumlah kegiatan berikut:

  • Segmentasi infrastruktur perangkat keras SUMiD dilakukan dengan alokasi wajib dari sekumpulan minimum segmen (segmen pengumpulan, penyimpanan dan transmisi data; segmen operasi; segmen layanan; perangkat lunak sistem);
  • Aturan untuk menentukan dan menyetujui komposisi infrastruktur perangkat keras SUMiD dan memberikan kontrol atas infrastruktur perangkat keras SUMiD telah dikembangkan;
  • di tempat-tempat di mana infrastruktur perangkat keras SUMiD berada, kontrol akses fisik disediakan dan diatur.

Setelah prosedur segmentasi selesai, Entitas Listrik harus menentukan proses manajemen keamanan informasi SUMiD.

Firewall server pribadi (selanjutnya disebut ME) harus diaktifkan untuk peralatan server dan stasiun kerja untuk personel Subjek Listrik yang melakukan fungsi mengelola serangkaian sarana teknis perlindungan informasi, informasi, dan infrastruktur telekomunikasi SUMiD. UM pribadi harus menyediakan pemblokiran akses jaringan, tidak disediakan oleh berfungsinya SUMiD. Kata sandi untuk mengakses perangkat lunak dan alat perlindungan anti-virus yang relevan dengan pembaruan juga harus ditetapkan.

Subjek industri tenaga listrik harus memeriksa kesesuaian sarana perlindungan keamanan informasi yang tertanam dengan tujuan keamanan informasi, yang meliputi:

  • audit peristiwa keamanan informasi;
  • memberikan perlindungan kriptografi;
  • akses diskrit untuk pengguna sistem;
  • kontrol interaksi jaringan;
  • melewati atribut keamanan;
  • identifikasi dan otentikasi;
  • konfigurasi keamanan
  • Membangun koneksi tepercaya
  • ketersediaan informasi.

Subjek industri tenaga listrik harus melakukan serangkaian tindakan berikut:

  • kontrol dokumentasi desain dan keadaan awal perangkat lunak;
  • perlindungan terhadap akses tidak sah ke informasi tentang parameter teknis dan teknologi dari peralatan teknologi utama;
  • pembentukan dan penyimpanan laporan kegiatan ini.
  • Sebagai satu set dasar kontrol keamanan informasi untuk SUMiD, Subjek Listrik harus melakukan langkah-langkah berikut:
  • menyetujui kebijakan keamanan informasi;
  • mendistribusikan tanggung jawab dalam organisasi untuk memastikan keamanan informasi;
  • menyediakan pendidikan dan pelatihan untuk personel keamanan informasi;
  • memberikan pendidikan dan pelatihan bagi personel dalam mempertahankan rezim keamanan informasi;
  • mengatur proses untuk melaporkan kasus-kasus pelanggaran perlindungan;
  • menerapkan perlindungan antivirus;
  • melindungi data dan dokumentasi desain;
  • memantau kepatuhan dengan kebijakan keamanan informasi yang disetujui.

Entitas industri tenaga listrik harus mengkategorikan SUMiD sesuai dengan Undang-Undang Federal 26 Juli 2017 No. 187-On “Tentang Keamanan Infrastruktur Informasi Kritis Federasi Rusia” sesuai dengan Keputusan Pemerintah Federasi Rusia 08.02.2018 No. 127 “Tentang Menyetujui Aturan untuk Mengkategorikan Objek Infrastruktur Informasi Kritis Federasi Rusia , serta daftar indikator kriteria untuk pentingnya infrastruktur informasi kritis dari Federasi Rusia ”dan memastikan kepatuhan tindakan hukum normatif berdasarkan hasil kategorisasi.

Kategorisasi SUMiD oleh Subjek Listrik dapat menyebabkan kesulitan dalam kasus di mana SUMiD bukan milik Subjek Listrik. Dalam kebanyakan kasus, pemantauan dan diagnostik keadaan peralatan teknologi disediakan untuk Subjek Listrik sebagai layanan, dan SUMiD didukung oleh organisasi - pengembang SUMiD.

Langkah-langkah perlindungan informasi harus diterapkan pada semua tahap (tahapan) untuk menciptakan SUMiD yang didefinisikan oleh GOST 34.601-90 “Teknologi informasi. Seperangkat standar untuk sistem otomatis. Sistem otomatis sedang dibuat. " Karena Ordo Kementerian Energi tidak memaksakan tanggung jawab untuk memastikan keamanan informasi, para ahli UTSSB LLC menganggapnya mungkin untuk menunjukkan peserta organisasi dari setiap tahap sebagai yang bertanggung jawab untuk memastikan keamanan informasi di semua tahap (tahap) menciptakan SUMiD.

4. Persyaratan untuk memastikan IS SUMiD pada tahap siklus hidup

Selama pembuatan dan operasi SUMiD selanjutnya, fungsi pemantauan teknologi dari keadaan peralatan teknologi utama fasilitas tenaga listrik, dalam hal pengumpulan data, penyimpanan dan transmisi (pusat pemrosesan data), harus dilakukan melalui pengumpulan data, penyimpanan, dan infrastruktur transmisi yang berlokasi di Federasi Rusia. Saat mentransmisikan data melalui jaringan komunikasi publik, sarana perlindungan informasi (selanjutnya disebut SRZI) harus diterapkan yang telah lulus penilaian kesesuaian berdasarkan persyaratan Undang-Undang Federal 27 Desember 2002 No. 184- "Tentang Peraturan Teknis". Penilaian kesesuaian sarana perlindungan informasi berdasarkan persyaratan Undang-Undang Federal 27 Desember 2002 No. 184- “Mengenai Peraturan Teknis” dilakukan dalam bentuk sertifikasi sarana perlindungan informasi.

Perlu dicatat bahwa persyaratan ini tidak berlaku untuk infrastruktur pemrosesan data. Oleh karena itu, fungsi pemantauan teknologi keadaan peralatan teknologi utama dalam hal memproses data teknologi dapat dilakukan di luar Federasi Rusia.

Dalam hal menggunakan perangkat lunak khusus dan / atau modul perangkat lunak dengan fungsi kendali jarak jauh di SUMiD, pemeriksaan harus dilakukan untuk mereka tidak lebih rendah dari pada level 4 dari tidak adanya kontrol NDV.

Subjek industri tenaga listrik harus mengembangkan dan menyetujui model ancaman dan pengganggu untuk SUMiD. Untuk memodelkan ancaman IS, Bank Data Ancaman Rusia FSTEC harus digunakan, serta sumber-sumber lain yang tersedia dan hasil penilaian probabilitas kerentanan komponen SUMiD. Ketika memodelkan ancaman, sumber ancaman, kerentanan tipikal, objek pengaruh, tindakan destruktif dalam kaitannya dengan objek SMM harus dijelaskan.

Berdasarkan model ancaman keamanan informasi yang dihasilkan, SUMiD sedang mengembangkan kebijakan keamanan informasi yang mencakup persyaratan fungsional untuk keamanan informasi SUMiD.

« », , . «», № 1015, « / 15408-2-2013. (). . . 2. » ( – / 15408-2-2013). , . .

Kelas fungsional meliputi:

  • audit keamanan;
  • komunikasi;
  • dukungan kriptografi;
  • perlindungan data pengguna;
  • identifikasi dan otentikasi;
  • manajemen keamanan;
  • privasi
  • perlindungan fungsi keselamatan dari subjek penilaian
  • penggunaan sumber daya;
  • akses ke subjek penilaian;
  • rute / saluran tepercaya.

Penjelasan rinci tentang kelas fungsional keluarga dan komponennya diberikan dalam GOST R ISO / IEC 15408-2-2013.

, , « , , », 11.02.2013 № 17. . , , , .

, , , 27.12.2002 № 184- « » ( 11 , , , 11.02.2013 № 17).

, , , , , , 11.02.2013 № 17.

27.12.2002 № 184- « » , , , () .

, , III, IV V 21.12.2017 № 235.

, , , 25.12.2017 № 239 , 21.12.2017 №235.

, , - , , , . . , () , .

Kesimpulan

  1. , . 15 2019 .
  2. 08.02.2018 № 127 « , ». , 21.12.2017 № 235 25.12.2017 № 239 , , . , .
  3. , , , .
  4. 27.12.2002 № 184- « ». .
  5. , . . , , ; , .
  6. , , / , 4 .
  7. :

  • , 11.02.2013 № 17;
  • , 27.12.2002 № 184- « ».

Source: https://habr.com/ru/post/id463649/

More articles:


All Articles