V. Требования по защите информации, размещаемой в интеллектуальной системе учета, от несанкционированного доступа к ней при ее сборе, передаче и хранении

38. Защита интеллектуальной системы учета и содержащейся в ней информации должна обеспечиваться в соответствии с федеральными законами "О персональных данных", "О безопасности критической информационной инфраструктуры Российской Федерации", "Об информации, информационных технологиях и о защите информации" и актами Федеральной службы безопасности Российской Федерации, разработанными в соответствии с подпунктом "ш" статьи 13 Федерального закона "О федеральной службе безопасности", путем принятия организационных и технических мер, а также в соответствии с настоящими Правилами.

39. Необходимость шифрования (применение средств криптографической защиты) информации при ее передаче по каналам связи интеллектуальной системы учета определяется субъектами электроэнергетики, являющимися владельцами интеллектуальных систем учета, самостоятельно.

При определении субъектами электроэнергетики, являющимися владельцами интеллектуальных систем учета, необходимости шифрования (применения средств криптографической защиты) информации при ее передаче по каналам связи интеллектуальной системы учета рекомендуется руководствоваться базовой моделью нарушителя (моделью угроз безопасности информации), размещенной на официальном сайте Министерства энергетики Российской Федерации в информационно-телекоммуникационной сети "Интернет".

40. В целях определения актуальных угроз безопасности информации, обрабатываемой в интеллектуальных системах учета, субъектами электроэнергетики, являющимися владельцами интеллектуальных систем учета, могут быть разработаны частные модели нарушителя (модели угроз безопасности информации).

При разработке частных моделей нарушителя (моделей угроз безопасности информации) рекомендуется использовать базовую модель нарушителя (модель угроз безопасности информации) в интеллектуальных системах учета, размещаемую на официальном сайте Министерства энергетики Российской Федерации в информационно-телекоммуникационной сети "Интернет".

41. В случае когда субъектом электроэнергетики, являющимся владельцем интеллектуальной системы учета, определена потребность в криптографической защите информации, обрабатываемой в такой системе, рекомендуется применять средства криптографической защиты информации, прошедшие процедуру оценки соответствия требованиям, предъявляемым федеральным органом исполнительной власти в области обеспечения безопасности.

Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации о техническом регулировании.

42. Принимаемые меры по защите интеллектуальной системы учета и содержащейся в ней информации должны в том числе обеспечивать:

а) механизмы идентификации и аутентификации по логину и паролю в каждом из компонентов и элементов интеллектуальной системы учета с обязательной фиксацией в интеллектуальной системе учета информации о неверном вводе пароля;

б) предотвращение неправомерного доступа к информации, обрабатываемой и хранимой в интеллектуальной системе учета и приборах учета электрической энергии, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

в) недопущение воздействия на технические и программные средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование интеллектуальной системы учета;

г) восстановление функционирования интеллектуальной системы учета в том числе за счет резервирования информации и (или) технических средств обработки информации, каналов связи;

д) контроль доступа пользователей к данным и операциям в интеллектуальной системе учета;

е) своевременное обнаружение фактов несанкционированного доступа к интеллектуальной системе учета и содержащейся в ней информации.

43. Прибор учета электрической энергии не должен иметь возможность управления ограничением нагрузки другими элементами интеллектуальной системы учета и другими приборами учета электрической энергии (не должен инициировать управляющие сигналы и воздействия).

44. Допускается ретрансляция одним прибором учета электрической энергии сигналов управления, полученных им с промежуточного элемента интеллектуальной системы учета и адресованных другим приборам учета электрической энергии, в случае его функционирования в режиме ретрансляции.

45. Применяемые средства защиты должны обеспечивать совместимость компонентов интеллектуальной системы учета, а также совместимость с интеллектуальными системами учета пользователей интеллектуальной системы учета при передаче информации в соответствии с настоящими Правилами.

46. Используемые программные, программно-технические средства, применяемые для защиты компонентов интеллектуальной системы учета, которые предоставляют минимальный набор функций пользователям интеллектуальной системы учета с помощью соответствующих интерфейсов взаимодействия в соответствии с разделом II настоящих Правил, и содержащейся в них информации, должны пройти оценку соответствия требованиям по безопасности информации в соответствии с законодательством Российской Федерации.

47. Протоколы обмена информацией в рамках функционирования интеллектуальной системы учета, предусмотренные разделом VI настоящих Правил, должны обеспечивать выполнение требований настоящего раздела.