II. Организационные требования к обеспечению информационной безопасности систем удаленного мониторинга и диагностики основного технологического оборудования объектов электроэнергетики

6. Субъект электроэнергетики должен соблюдать организационные требования к обеспечению информационной безопасности СУМиД основного технологического оборудования с учетом организационных требований к компонентам программного обеспечения СУМиД, аппаратной инфраструктуры СУМиД, встроенных средств защиты информации, обеспечению контроля информационной безопасности СУМиД.

7. В целях выполнения организационных требований к обеспечению информационной безопасности СУМиД основного технологического оборудования субъект электроэнергетики должен использовать следующие компоненты программного и аппаратного обеспечения СУМиД:

аппаратное обеспечение верхнего, среднего и нижнего уровней;

программное обеспечение верхнего, среднего и нижнего уровней.

Для аппаратного обеспечения СУМиД верхнего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер обработки информации;

маршрутизатор;

межсетевой экран;

источники бесперебойного питания;

автоматизированные рабочие места персонала.

Для аппаратного обеспечения СУМиД среднего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер приложений;

сервер базы данных;

маршрутизатор;

межсетевой экран;

источник бесперебойного питания;

автоматизированные рабочие места персонала (в случае привлечения субъектом электроэнергетики организаций, предоставляющих услуги удаленного мониторинга и диагностики энергетического оборудования).

Для аппаратного обеспечения СУМиД нижнего уровня субъект электроэнергетики должен использовать следующие компоненты:

сервер приложений;

сервер базы данных;

маршрутизатор;

межсетевой экран;

источник бесперебойного питания;

автоматизированные рабочие места персонала.

Для программного обеспечения СУМиД по реализации функций сбора данных со среднего и нижнего уровней, формирования отчетов, формирования и актуализации математических моделей, расчета прогнозных состояний энергетического оборудования (программное обеспечение верхнего уровня СУМиД) субъект электроэнергетики должен использовать следующие компоненты:

программное обеспечение серверов хранения данных;

программное обеспечение центрального сервера хранения данных;

интерфейсы автоматизированных рабочих мест персонала;

программное обеспечение для формирования, поддержания в актуальном состоянии и уточнения математических моделей СУМиД;

программное обеспечение для моделирования процессов функционирования основного технологического оборудования, построения статистических моделей для нужд мониторинга, обнаружения и локализации отклонений, определения вероятных мест возникновения аварийных ситуаций;

программное обеспечение обработки архивных данных;

программное обеспечение для расширения функциональных возможностей (дополнительные экспертные модули);

программное обеспечение для синхронизации данных.

Для программного обеспечения по сбору данных телеметрии с нижнего уровня СУМиД, накопления и передачи данных на верхний уровень СУМиД, формирования запросов на верхний уровень, анализа технического состояния основного технологического оборудования, который не осуществляется на иных уровнях СУМиД, предварительной обработки предупредительных сообщений, формирования отчетов (программное обеспечение СУМиД среднего уровня) субъект электроэнергетики должен использовать следующие компоненты:

прикладное программное обеспечение сервера хранения данных;

системное программное обеспечение сервера хранения данных;

интерфейсы автоматизированных рабочих мест персонала (интерфейсы автоматизированных рабочих мест для разработки и поддержания в актуальном состояния математических моделей должны применяться для организаций, предоставляющих услугу удаленного мониторинга и диагностики основного технологического оборудования);

программное обеспечение для синхронизации данных между уровнями СУМиД.

Для программного обеспечения СУМиД для временного хранения информации, передачи данных на верхние уровни (программное обеспечение СУМиД нижнего уровня) субъект электроэнергетики должен использовать следующие компоненты:

прикладное программное обеспечение сервера оперативного хранения данных;

системное программное обеспечение сервера оперативного хранения данных.

Если субъектом электроэнергетики в целях выполнения организационных требований к СУМиД используются компоненты СУМиД, не указанные в настоящем пункте, субъект электроэнергетики должен использовать иные компоненты СУМиД.

Если субъектом электроэнергетики в целях выполнения организационных требований к СУМиД не используется полный перечень компонентов СУМиД, указанных в настоящем пункте, то субъект электроэнергетики должен применять используемые компоненты СУМиД с учетом архитектуры СУМиД.

8. Для обеспечения доступа персонала к программному обеспечению СУМиД субъект электроэнергетики должен предусмотреть процедуры идентификации и аутентификации. В процедурах идентификации и аутентификации субъектом электроэнергетики должна быть утверждена политика паролей, соответствующая следующим минимальным требованиям:

минимальная длина пароля должна быть не менее десяти символов, при формировании пароля должны использоваться числовые, буквенные (латиница и (или кириллица, прописные и (или) строчные) и специальные символы;

в целях единовременного входа при формировании временных паролей обновление не должно производиться;

в целях постоянного доступа при формировании пароля доступа обновление должно осуществляться не менее одного раза в квартал.

При обеспечении доступа персонала к программному обеспечению СУМиД субъект электроэнергетики должен предусмотреть следующие минимальные требования:

создать учетные записи, соответствующие требованиям политики паролей, в целях использования программного обеспечения СУМиД для персонала;

утвердить настройки учетных записей персонала;

отключить встроенные учетные записи (неперсонифицированные учетные записи).

9. Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен предусмотреть процедуры по поддержке организации основных функций СУМиД с учетом необходимости:

обеспечения поддержки технологических процессов конечным набором программного обеспечения, перечень которого утверждается субъектом электроэнергетики;

обеспечения организационных и технических мер регистрации событий безопасности для всего программного обеспечения, входящего в состав СУМиД;

определения и настройки параметров обновления (временной интервал) программного обеспечения для информационной безопасности.

10. Субъектом электроэнергетики должен быть создан архив проектной и эксплуатационной документации для СУМиД. Проектная и эксплуатационная документация должна актуализироваться субъектом электроэнергетики.

11. Состав оборудования аппаратного обеспечения СУМиД, а также программного обеспечения, используемого для аппаратной инфраструктуры, должен утверждаться субъектом электроэнергетики в форме перечня оборудования и программного обеспечения, разрешенного к использованию.

12. Субъект электроэнергетики для выполнения организационных требований к обеспечению информационной безопасности СУМиД основного технологического оборудования должен выполнять процедуру формирования набора сегментов аппаратной инфраструктуры СУМиД (далее - сегментация).

По результатам сегментации аппаратная инфраструктура СУМиД должна включать в себя минимальный набор сегментов, состоящий из:

сегмента сбора, хранения и передачи данных - программного и аппаратного обеспечения нижнего уровня;

сегмента эксплуатации - программного и аппаратного обеспечения среднего уровня;

сегмента обслуживания - программного и аппаратного обеспечения верхнего уровня;

системного программного обеспечения - программного обеспечения, которое обеспечивает управление аппаратными компонентами технических средств и функционирование программного обеспечения.

После выполнения процедуры сегментации субъект электроэнергетики должен определить процессы управления информационной безопасностью СУМиД:

информационно-телекоммуникационной инфраструктурой СУМиД;

комплексом технических средств защиты информации;

программным обеспечением и аппаратными средствами СУМиД.

13. Субъект электроэнергетики должен определить порядок физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД, который должен быть включен в правила определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения контроля за аппаратной инфраструктурой СУМиД.

В целях физического доступа персонала объекта электроэнергетики к сегментам аппаратной инфраструктуры СУМиД необходимо предусмотреть требования по порядку физического доступа персонала в зависимости от функций управления:

информационно-телекоммуникационной инфраструктурой СУМиД;

комплексом технических средств защиты информации;

программным и аппаратным обеспечением СУМиД.

Список разрешенного к использованию программного обеспечения должен утверждаться субъектом электроэнергетики с учетом пунктов 7 и 8 настоящих требований. Использование программного обеспечения, не внесенного в списки разрешенного к использованию, не допускается.

Для серверного оборудования и автоматизированных рабочих мест персонала субъекта электроэнергетики, выполняющего функции управления комплексом технических средств защиты информации, информационно-телекоммуникационной инфраструктуры СУМиД, должны быть обеспечены следующие меры информационной безопасности СУМиД:

включены персональные межсетевые экраны, которые должны обеспечивать блокировку сетевого доступа, не предусмотренного функционированием СУМиД;

установлены пароли для доступа персонала к программному обеспечению и актуальные средства антивирусной защиты с обновлениями.

14. Для предотвращения угроз информационной безопасности СУМиД в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.

Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:

реализовать минимальный комплекс мероприятий для обеспечения безопасности среды функционирования аппаратной инфраструктуры СУМиД организационных требований к обеспечению информационной безопасности аппаратной инфраструктуры СУМиД в соответствии с таблицей 1 приложения N 1 к настоящим требованиям;

применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2005, N 19, ст. 1752; 2007, N 19, ст. 2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N 1, ст. 5, 6; N 40, ст. 4969; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012, N 31, ст. 4322; N 50, ст. 6959; 2013, N 27, ст. 3477; N 30, ст. 4071; N 52, ст. 6961; 2014, N 26, ст. 3366; 2015, N 17, ст. 2477; N 27, ст. 3951; N 29, ст. 4342; N 48, ст. 6724; 2016, N 15, ст. 2066, 2017, N 27, ст. 3938, N 31, ст. 4765) (далее - Федеральный закон N 184-ФЗ).

15. Для определения и утверждения состава аппаратной инфраструктуры СУМиД и обеспечения процессов контроля за аппаратной инфраструктурой СУМиД субъект электроэнергетики должен руководствоваться требовании пунктов 9 - 14 настоящих требований.

16. Для обеспечения информационной безопасности встроенных средств защиты информации в отношении СУМиД в качестве меры по обеспечению предотвращения угроз информационной безопасности СУМиД субъектом электроэнергетики должна проводиться проверка соответствия встроенных средств защиты информационной безопасности СУМиД следующим целям информационной безопасности СУМиД:

аудит событий информационной безопасности;

обеспечение криптографической защиты;

дискретный доступ пользователей системы;

контроль сетевого взаимодействия;

передача атрибутов безопасности;

идентификация и аутентификация;

конфигурация безопасности;

установление доверенных соединений;

доступность информации.

Описание целей информационной безопасности СУМиД организационных требований к обеспечению контроля информационной безопасности СУМиД приведено в таблице 2 приложения N 1 к настоящим требованиям.

17. Для обеспечения контроля информационной безопасности СУМиД субъектом электроэнергетики должен быть предусмотрен контроль соответствия и исполнения требований информационной безопасности СУМиД.

В целях обеспечения мер по предотвращению утечек информации, сбор, обработка и хранение которой осуществляется СУМиД, субъект электроэнергетики должен реализовываться комплекс мероприятий по:

контролю проектной документации и исходного состояния программного обеспечения;

защите от несанкционированного доступа к информации о технических и технологических параметрах основного технологического оборудования;

обеспечению формирования и хранения отчетности указанных мероприятий.

18. В качестве базового набора средств контроля информационной безопасности СУМиД субъект электроэнергетики должен:

утвердить политику информационной безопасности для СУМиД, сформированную в соответствии с главой III настоящих требований;

распределить обязанности по обеспечению информационной безопасности СУМиД внутри организации;

проводить обучение и подготовку персонала по обеспечению информационной безопасности СУМиД;

проводить обучение и подготовку персонала по поддержанию режима информационной безопасности СУМиД;

организовать процессы уведомления о случаях нарушения защиты СУМиД;

применять для СУМиД средства защиты от исполняемых (компьютерных, программных) кодов или интерпретируемых наборов инструкций, обладающих свойством несанкционированного распространения и самовоспроизведения (вирусы);

обеспечивать защиту данных и проектной документации СУМиД;

осуществлять контроль соответствия СУМиД утвержденной политике информационной безопасности.

19. Для обеспечения контроля информационной безопасности СУМиД субъект электроэнергетики должен руководствоваться требованиями пунктов 17 и 18 настоящих требований.

20. Субъектом электроэнергетики должно проводиться категорирование СУМиД в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) и постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204).

21. Субъектом электроэнергетики в отношении СУМиД должны выполняться требования к организационно-распорядительным документам по безопасности значимых объектов критической информационной инфраструктуры Российской Федерации в соответствии с главой IV Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 N 235 (зарегистрирован Минюстом России 22.02.2018, регистрационный N 50118) (далее - Требования к созданию систем безопасности).