НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ» Инженерно-экономический институт Кафедра безопасности и информационных технологий Направление подготовки бакалавриата 10.03.01 Информационная безопасность (номер и название) ДЕЛОВАЯ ИГРА по защите информации значимого объекта критической информационной инфраструктуры электроэнергетики Дисциплина: Безопасность критической информационной инфраструктуры объектов энергетики Тема: Этап 3. Техническое проектирование системы безопасности значимых объектов КИИ Студент ИЭэ-49-21 Райков Д.А. группа Научный руководитель подпись доцент должность Дата 27.04.2024 г. Москва 2024 г. 1 фамилия, и., о. Баронов О.Р. подпись фамилия, и., о. Оглавление 1. Базовый набор мер по обеспечению безопасности значимого объекта ..................... 3 2. Адаптация базового набора мер по обеспечению безопасности в отношении исследуемого объекта КИИ ................................................................................................ 8 3. Требования к обеспечению безопасности ЗОКИИ..................................................... 11 4. Разработка технического задания на создание системы безопасности ЗОКИИ ..... 13 4.1. Цель и задачи обеспечения безопасности значимого объекта или системы безопасности значимого объекта КИИ ............................................................................ 13 4.2. Категории значимости значимого объекта КИИ ........................................... 13 4.3. Перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект КИИ . ............................................................................................................................................ 14 4.4. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта ..................................................................................... 15 4.5. Стадии (этапы работ) создания системы безопасности значимого объекта . ............................................................................................................................................ 17 4.6. Требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации ............................................... 18 4.7. Требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре).............. 19 4.8. Требования к информационному взаимодействию значимого объекта с иными объектами КИИ, а также иными ИС, АСУ или ИТС ........................................ 20 5. Разработка технического проекта на создание системы безопасности ЗОКИИ ..... 22 5.1. Пояснительная записка к техническому проекту .......................................... 23 5.2. Схема структурного комплекса технических средств .................................. 31 5.3. Ведомость покупных изделий ......................................................................... 32 Приложение 1..................................................................................................................... 35 Приложение 2..................................................................................................................... 47 2 1. Базовый набор мер по обеспечению безопасности значимого объекта Для определения базового набора мер следует обратиться к приказу ФСТЭК №31, после чего необходимо определить класс защищенности, сопоставляя уровень значимости ОКИИ и класса, для этого необходимо использовать таблицу 1. Класс защищенности автоматизированной системы управления определяется в соответствии с приказом ФСТЭК России № 31 от 14.03.2014 г. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ). Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения модифицирование), ее целостности доступности (неправомерные (неправомерное уничтожение блокирование) или или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления. Уровень значимости информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности, доступности или конфиденциальности, в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления. Степень ущерба определяется заказчиком или оператором системы. Согласно п.2 Приложения № 1 к Приказу ФСТЭК России № 31 от 14.03.2014 г., уровень значимости для исследуемой АСУ ТП – низкий (УЗ 3), т.к. в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера и возможны иные незначительные негативные последствия в социальной и экономической областях деятельности. 3 Согласно Приложению 1 к Приказу ФСТЭК России № 31 от 14.03.2014 г. Можно выделить следующую зависимость класса защищенности АСУ ТП от уровня значимости информации, представленную в Таблице 1. Таблица 1 Класс защищенности автоматизированной системы управления Уровень значимости (критичности информации УЗ 1 УЗ 2 УЗ 3 Класс защищенности автоматизированной системы управления К1 К2 К3 Выбранные и реализованные в автоматизированной системе управления в рамках ее системы защиты меры защиты информации, как минимум, должны обеспечивать: в АСУ 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом; в АСУ 2 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего; в АСУ 3 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом. Определим класс защищенности и уровень значимости для исследуемого ЗОКИИ – АСУ ТП системы РЗА центрального теплового пункта ПАО «Энергетик». Ввиду того, что уровень значимости информации для исследуемой системы установлен низкий (УЗ 3), то класс защищенности АСУ ТП – К3. В соответствии с 239 приказом ФСТЭК России, в котором определен состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости, мы можем рассмотреть меры обеспечения безопасности для АСУ ТП ЦТП, соответствующей 3 категории значимости. 4 Таблица 2 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости. Обозна -чение и номер меры ИАФ.0 ИАФ.1 ИАФ.2 ИАФ.3 ИАФ.4 ИАФ.5 ИАФ.7 УПД.0 УПД.1 УПД.2 УПД.4 УПД.5 УПД.6 УПД.10 УПД.11 УПД.13 УПД.14 ЗНИ.0 ЗНИ.1 ЗНИ.2 ЗНИ.5 ЗНИ.7 ЗНИ.8 АУД.0 АУД.1 АУД.2 АУД.3 АУД.4 АУД.6 Меры обеспечения безопасности значимого объекта Категория значимости 3 I. Идентификация и аутентификация (ИАФ) Регламентация правил и процедуридентификации и аутентификации Идентификация и аутентификация пользователей иинициируемых ими процессов Идентификация и аутентификация устройств Управление идентификаторами Управление средствами аутентификации Идентификация и аутентификация внешних пользователей Защита аутентификационной информации при передаче II. Управление доступом (УПД) Регламентация правил и процедур управления доступом Управление учетными записями пользователей Реализация модели управления доступом Разделение полномочий (ролей) пользователей Назначение минимально необходимых прав и привилегий Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему Блокирование сеанса доступа пользователя принеактивности Управление действиями пользователей до идентификации и аутентификации Реализация защищенного удаленного доступа Контроль доступа из внешних информационных(автоматизированных) систем IV. Защита машинных носителей информации (ЗНИ) Регламентация правил и процедур защиты машинных носителей информации Учет машинных носителей информации Управление физическим доступом к машинным носителяминформации Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации Контроль подключения съемных машинных носителейинформации Уничтожение (стирание) информации на машинныхносителях информации V. Аудит безопасности (АУД) Регламентация правил и процедур аудита безопасности Инвентаризация информационных ресурсов Анализ уязвимостей и их устранение Генерирование временных меток и (или) синхронизациясистемного времени Регистрация событий безопасности Защита информации о событиях безопасности 5 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + АУД.7 АУД.8 АУД.10 Мониторинг безопасности + Реагирование на сбои при регистрации событийбезопасности + Проведение внутренних аудитов + VI. Антивирусная защита (АВЗ) АВЗ.0 Регламентация правил и процедур антивирусной защиты + АВЗ.1 Реализация антивирусной защиты + АВЗ.2 Антивирусная защита электронной почты и иных сервисов + Обновление базы данных признаков вредоносных компьютерных АВЗ.4 + программ (вирусов) VIII. Обеспечение целостности (ОЦЛ) ОЦЛ.0 Регламентация правил и процедур обеспечения целостности + ОЦЛ.1 Контроль целостности программного обеспечения + IX. Обеспечение доступности (ОДТ) ОДТ.0 Регламентация правил и процедур обеспечения доступности + ОДТ.4 Резервное копирование информации + ОДТ.5 Обеспечение возможности восстановления информации + Обеспечение возможности восстановления программного обеспечения ОДТ.6 + при нештатных ситуациях ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи + X. Защита технических средств и систем (ЗТС) Регламентация правил и процедур защиты технических средств и ЗТС.0 + систем ЗТС.2 Организация контролируемой зоны + ЗТС.3 Управление физическим доступом + Размещение устройств вывода (отображения) информации, ЗТС.4 + исключающее ее несанкционированный просмотр ЗТС.5 Защита от внешних воздействий + XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) Регламентация правил и процедур защиты информационной ЗИС.0 + (автоматизированной) системы и ее компонентов Разделение функций по управлению (администрированию) ЗИС.1 + информационной (автоматизированной) системой с иными функциями ЗИС.2 Защита периметра информационной (автоматизированной)системы + Эшелонированная защита информационной(автоматизированной) ЗИС.3 + системы ЗИС.5 Организация демилитаризованной зоны + ЗИС.6 Управление сетевыми потоками + Сокрытие архитектуры и конфигурации информационной ЗИС.8 + (автоматизированной) системы ЗИС.19 Защита информации при ее передаче по каналам связи + ЗИС.20 Обеспечение доверенных канала, маршрута + Запрет несанкционированной удаленной активации периферийных ЗИС.21 + устройств ЗИС.32 Защита беспроводных соединений + ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + ЗИС.35 Управление сетевыми соединениями + ЗИС.38 Защита информации при использовании мобильных устройств + Управление перемещением виртуальных машин(контейнеров) и ЗИС.39 + обрабатываемых на них данных XII. Реагирование на компьютерные инциденты (ИНЦ) 6 ИНЦ.0 ИНЦ.1 ИНЦ.2 ИНЦ.3 ИНЦ.4 ИНЦ.5 ИНЦ.6 УКФ.0 УКФ.2 УКФ.3 ОПО.0 ОПО.1 ОПО.2 ОПО.3 ОПО.4 ПЛН.0 ПЛН.1 ПЛН.2 ДНС.0 ДНС.1 ДНС.2 ДНС.5 ИПО.0 ИПО.1 ИПО.2 ИПО.4 Регламентация правил и процедур реагирования на компьютерные инциденты Выявление компьютерных инцидентов Информирование о компьютерных инцидентах Анализ компьютерных инцидентов Устранение последствий компьютерных инцидентов Принятие мер по предотвращению повторного возникновения компьютерных инцидентов Хранение и защита информации о компьютерных инцидентах XIII. Управление конфигурацией (УКФ) Регламентация правил и процедур управления конфигурацией информационной (автоматизированной)системы Управление изменениями Установка (инсталляция) только разрешенного к использованию программного обеспечения XIV. Управление обновлениями программного обеспечения (ОПО) Регламентация правил и процедур управления обновлениями программного обеспечения Поиск, получение обновлений программного обеспечения от доверенного источника Контроль целостности обновлений программного обеспечения Тестирование обновлений программного обеспечения Установка обновлений программного обеспечения XV. Планирование мероприятий по обеспечению безопасности (ПЛН) Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации Контроль выполнения мероприятий по обеспечению защиты информации XVI. Обеспечение действий в нештатных ситуациях (ДНС) Регламентация правил и процедур обеспечения действий в нештатных ситуациях Разработка плана действий в нештатных ситуациях Обучение и отработка действий персонала внештатных ситуациях Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций XVII. Информирование и обучение персонала (ИПО) Регламентация правил и процедур информирования и обучения персонала Информирование персонала об угрозах безопасности информации и о правилах безопасной работы Обучение персонала правилам безопасной работы Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы 7 + + + + + + + + + + + + + + + + + + + + + + + + + + 2. Адаптация базового набора мер по обеспечению безопасности в отношении исследуемого объекта КИИ При выборе базового набора мер защиты информации для автоматизированных систем управления технологическим процессом необходимо осуществлять их адаптацию в соответствии с особенностями функционирования системы, определять уровень угроз безопасности и при необходимости дополнять меры защиты в соответствии с нормативными документами. При адаптации мер защиты следует учитывать цели и задачи защиты информации, мероприятия по обеспечению безопасности в организации, а также технологии и структурные характеристики системы управления. Данный процесс обычно включает в себя исключение мер, несоответствующих используемым технологиям или особенностям системы. Важно, чтобы внедряемые меры безопасности не препятствовали нормальному функционированию автоматизированной системы управления технологическим процессом. Рассмотрим меры безопасности для объекта АСУ ТП ЦТП представленные в таблице 3. Данные меры для обеспечения безопасности ЗОКИИ адаптированы под конкретный объект критической информационной инфраструктуры, также учитывается категория значимости Таблица 3 Адаптированный набор мер по обеспечению безопасности для значимого объекта соответствующей категории значимости Обозна -чение и номер меры ИАФ.0 ИАФ.1 ИАФ.2 ИАФ.3 ИАФ.4 ИАФ.5 ИАФ.7 Меры обеспечения безопасности значимого объекта Категория значимости 3 I. Идентификация и аутентификация (ИАФ) Регламентация правил и процедуридентификации и аутентификации Идентификация и аутентификация пользователей иинициируемых ими процессов Идентификация и аутентификация устройств Управление идентификаторами Управление средствами аутентификации Идентификация и аутентификация внешних пользователей Защита аутентификационной информации при передаче II. Управление доступом (УПД) 8 + + + + + + + УПД.0 УПД.1 УПД.2 УПД.4 УПД.5 УПД.6 УПД.10 УПД.11 УПД.13 УПД.14 ЗНИ.0 ЗНИ.1 ЗНИ.2 ЗНИ.5 ЗНИ.7 ЗНИ.8 АУД.0 АУД.1 АУД.2 АУД.3 АУД.4 АУД.6 АУД.7 АУД.8 АУД.10 АВЗ.0 АВЗ.1 АВЗ.2 АВЗ.4 ОЦЛ.0 ОЦЛ.1 ОДТ.0 ОДТ.4 ОДТ.5 ОДТ.6 ОДТ.8 Регламентация правил и процедур управления доступом Управление учетными записями пользователей Реализация модели управления доступом Разделение полномочий (ролей) пользователей Назначение минимально необходимых прав и привилегий Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему Блокирование сеанса доступа пользователя принеактивности Управление действиями пользователей до идентификации и аутентификации Реализация защищенного удаленного доступа Контроль доступа из внешних информационных(автоматизированных) систем IV. Защита машинных носителей информации (ЗНИ) Регламентация правил и процедур защиты машинных носителей информации Учет машинных носителей информации Управление физическим доступом к машинным носителяминформации Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации Контроль подключения съемных машинных носителейинформации Уничтожение (стирание) информации на машинныхносителях информации V. Аудит безопасности (АУД) Регламентация правил и процедур аудита безопасности Инвентаризация информационных ресурсов Анализ уязвимостей и их устранение Генерирование временных меток и (или) синхронизациясистемного времени Регистрация событий безопасности Защита информации о событиях безопасности Мониторинг безопасности Реагирование на сбои при регистрации событийбезопасности Проведение внутренних аудитов VI. Антивирусная защита (АВЗ) Регламентация правил и процедур антивирусной защиты Реализация антивирусной защиты Антивирусная защита электронной почты и иных сервисов Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов) VIII. Обеспечение целостности (ОЦЛ) Регламентация правил и процедур обеспеченияцелостности Контроль целостности программного обеспечения IX. Обеспечение доступности (ОДТ) Регламентация правил и процедур обеспечениядоступности Резервное копирование информации Обеспечение возможности восстановления информации Обеспечение возможности восстановления программногообеспечения при нештатных ситуациях Контроль предоставляемых вычислительныхресурсов и каналов связи 9 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + X. Защита технических средств и систем (ЗТС) Регламентация правил и процедур защиты технических средств и ЗТС.0 + систем ЗТС.2 Организация контролируемой зоны + ЗТС.3 Управление физическим доступом + Размещение устройств вывода (отображения) информации, ЗТС.4 + исключающее ее несанкционированный просмотр ЗТС.5 Защита от внешних воздействий + XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) Регламентация правил и процедур защиты информационной ЗИС.0 + (автоматизированной) системы и еекомпонентов Разделение функций по управлению (администрированию) ЗИС.1 + информационной (автоматизированной) системой с инымифункциями ЗИС.2 Защита периметра информационной (автоматизированной)системы + Эшелонированная защита информационной(автоматизированной) ЗИС.3 + системы ЗИС.5 Организация демилитаризованной зоны + ЗИС.6 Управление сетевыми потоками + Сокрытие архитектуры и конфигурации информационной ЗИС.8 + (автоматизированной) системы ЗИС.19 Защита информации при ее передаче по каналам связи + ЗИС.20 Обеспечение доверенных канала, маршрута + Запрет несанкционированной удаленной активациипериферийных ЗИС.21 + устройств ЗИС.32 Защита беспроводных соединений + ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + ЗИС.35 Управление сетевыми соединениями + ЗИС.38 Защита информации при использовании мобильныхустройств + Управление перемещением виртуальных машин(контейнеров) и ЗИС.39 + обрабатываемых на них данных XII. Реагирование на компьютерные инциденты (ИНЦ) Регламентация правил и процедур реагирования на компьютерные ИНЦ.0 + инциденты ИНЦ.1 Выявление компьютерных инцидентов + ИНЦ.2 Информирование о компьютерных инцидентах + ИНЦ.3 Анализ компьютерных инцидентов + ИНЦ.4 Устранение последствий компьютерных инцидентов + Принятие мер по предотвращению повторноговозникновения ИНЦ.5 + компьютерных инцидентов ИНЦ.6 Хранение и защита информации о компьютерныхинцидентах + XIII. Управление конфигурацией (УКФ) Регламентация правил и процедур управления конфигурацией УКФ.0 + информационной (автоматизированной)системы УКФ.2 Управление изменениями + Установка (инсталляция) только разрешенного киспользованию УКФ.3 + программного обеспечения XIV. Управление обновлениями программного обеспечения (ОПО) Регламентация правил и процедур управления обновлениями ОПО.0 + программного обеспечения ОПО.1 Поиск, получение обновлений программного обеспеченияот + 10 ОПО.2 ОПО.3 ОПО.4 ПЛН.0 ПЛН.1 ПЛН.2 ДНС.0 ДНС.1 ДНС.2 ДНС.5 ИПО.0 ИПО.1 ИПО.2 ИПО.4 доверенного источника Контроль целостности обновлений программногообеспечения Тестирование обновлений программного обеспечения Установка обновлений программного обеспечения XV. Планирование мероприятий по обеспечению безопасности (ПЛН) Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации Контроль выполнения мероприятий по обеспечениюзащиты информации XVI. Обеспечение действий в нештатных ситуациях (ДНС) Регламентация правил и процедур обеспечениядействий в нештатных ситуациях Разработка плана действий в нештатных ситуациях Обучение и отработка действий персонала в нештатныхситуациях Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций XVII. Информирование и обучение персонала (ИПО) Регламентация правил и процедур информирования и обучения персонала Информирование персонала об угрозах безопасностиинформации и о правилах безопасной работы Обучение персонала правилам безопасной работы Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы + + + + + + + + + + + + + + 3. Требования к обеспечению безопасности ЗОКИИ Требования к обеспечению безопасности ЗОКИИ определены приказом ФСТЭК России № 239 от 25.12.2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» и должны содержать: а) цель и задачи обеспечения безопасности значимого объекта КИИ; б) категорию значимости значимого объекта; в) перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект; г) перечень типов объектов защиты значимого объекта; д) требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта; е) стадии (этапы работ) создания системы безопасности значимого объекта; 11 ж) требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации; з) требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре); и) требования к информационному взаимодействию значимого объекта с иными объектами критической информационной инфраструктуры, а также иными информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями; к) требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта. Согласно статье 13 приказа ФСТЭК от 14.03.2014 г. № 31, формирование требований к защите информации в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и стандартов организации, и включает: • принятие решения о необходимости защиты информации в управления по автоматизированной системе управления; • классификацию автоматизированной системы требованиям защиты информации; • определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; • определение требований к системе защиты автоматизированной системы управления. 12 4. Разработка технического задания на создание системы безопасности ЗОКИИ 4.1. Цель и задачи обеспечения безопасности значимого объекта или системы безопасности значимого объекта КИИ В 187 ФЗ «О безопасности критической информационной инфраструктуры РФ» определены цели и задачи, которые способствуют обеспечению безопасности ЗОКИИ. Для этого, субъект КИИ создает и поддерживает систему безопасности в соответствии с требованиями федерального органа по обеспечению безопасности критической информационной инфраструктуры России. Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются: 1) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации; 2) недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта критической информационной инфраструктуры; 3) восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации; 4) непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. 4.2. Категории значимости значимого объекта КИИ В соответствии с моделью угроз безопасности, которая была составлена на прошлом этапе деловой игры, мы можем сделать вывод о том, что АСУ ТП ЦТП ПАО «Энергетик» соответствует 3 категории значимости. 13 4.3. Перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект КИИ В процессе функционирования АСУ ТП отопления и горячего водоснабжения ЦТП должна соответствовать следующим нормативным документам: Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ; Приказ ФСТЭК РФ «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» от 21.12.2017 № 235; Приказ ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25.12.2017 № 239; Федеральный закон «О промышленной безопасности опасных производственных объектов» от 21.07.1997 №116-ФЗ; Приказ ФСТЭК РФ «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14.03.2014 № 31; Требования по безопасности информации. Утверждены приказом ФСТЭК России от 02.06.2020 г. № 76; Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»; 14 ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»; иные локальные нормативные акты, разработанные субъектом КИИ. 4.4. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта Организационными мерами, которые применяются для обеспечения безопасности ЗОКИИ являются: o Антивирусная защита; o Идентификацию и аутентификация; o Управление доступом; o Обеспечение целостности; o Обеспечение доступности. Антивирусная защита является важной организационной мерой для обеспечения безопасности значимого объекта, так как помогает предотвратить атаки вредоносных программ и защитить информацию от утечек и повреждений. Установка антивирусного программного обеспечения на компьютеры и серверы организации позволяет обнаруживать и блокировать вредоносные программы, предотвращая их негативное воздействие на систему. Идентификация и аутентификация - это ключевые организационные меры для обеспечения безопасности значимого объекта. Идентификация позволяет установить личность пользователя или устройства, определяя его уникальные характеристики, такие как логин, адрес электронной почты, номер учетной записи и так далее. Аутентификация, в свою очередь, подтверждает, что пользователь или устройство является тем, за кого себя выдают. Управление доступом позволяет контролировать и ограничивать доступ к информации, ресурсам или помещениям только авторизованным сотрудникам или пользователям, что помогает предотвратить утечку данных, несанкционированный доступ и другие угрозы безопасности. 15 Целостность данных гарантирует, что данные остаются нетронутыми и неизменными в течение всего их жизненного цикла, что имеет решающее значение для предотвращения несанкционированных изменений или повреждений данных. Доступность данных и информационных систем играет ключевую роль в обеспечении бесперебойной работы организации и непрерывного доступа к информации. Для обеспечения безопасности значимого объекта важно применять не только организационные меры, но и технические меры, которые помогут защитить объект от различных угроз. Ниже приведены некоторые из основных технических мер, которые могут быть применены для обеспечения безопасности значимого объекта: 1. Видеонаблюдение и системы безопасности: Установка систем видеонаблюдения, контроля доступа, систем сигнализации и детекции вторжения помогает в мониторинге объекта и раннем обнаружении угроз. 2. Ограждение и барьеры: Установка ограждения, барьеров и физических препятствий помогает ограничить доступ к объекту и предотвратить несанкционированный доступ. 3. Биометрическая идентификация: Применение биометрических систем идентификации, таких как сканер отпечатков пальцев или распознавание лица, помогает усилить защиту от несанкционированного доступа. 4. Шифрование данных: Применение шифрования данных помогает защитить хранимую информацию от несанкционированного доступа и прочих киберугроз. 5. Физическая безопасность: Обеспечение физической безопасности объекта, такое как установка механических замков, решеток, дверей и окон, способствует предотвращению проникновения злоумышленников. 6. Автоматизация систем безопасности: Использование автоматизированных систем безопасности, таких как системы управления доступом и интегрированные системы безопасности, позволяют эффективно мониторить и контролировать безопасность объекта. 16 7. Резервное копирование данных: Регулярное резервное копирование данных и создание резервных копий позволяют восстанавливать важную информацию в случае утраты или повреждения. 8. Обновление программного обеспечения: Регулярное обновление программного обеспечения и установка патчей помогает заполнить уязвимости системы и предотвратить эксплуатацию их злоумышленниками. Эти технические меры могут быть эффективными инструментами для обеспечения безопасности значимого объекта и защиты его от различных угроз и рисков. 4.5. Стадии (этапы работ) создания системы безопасности значимого объекта Определим следующие стадии создания системы безопасности ЗОКИИ – АСУ ТП отоплением и горячим водоснабжением ЦТП: разработка и утверждение технического задания на систему безопасности ЗОКИИ; разработка технического проекта на систему безопасности ЗОКИИ; проведение предпроектного исследования; разработка сметной документации; выбор и заключение договора с подрядной организации для выполнения работ; приобретение необходимого оборудования и запасных частей; работы по реализации технического проекта; пусконаладочные работы; предварительные испытания системы безопасности ЗОКИИ; подготовка персонала; опытная эксплуатация системы безопасности ЗОКИИ; приемочные испытания системы промышленную эксплуатацию. 17 безопасности ЗОКИИ и ввод в 4.6. Требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации Для обеспечения информационной безопасности инфраструктуры значимых должны объектов применяться критической средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки. Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры. В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации: а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. Поскольку наш объект имеет 3 категорию значимости, необходимо применять СЗИ не ниже 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. Также могут применяться сертифицированные соответствующие 6 или более высокому уровню доверия. 18 средства защиты, Применяемые в значимом объекте программные и программно- аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой. При выборе программных и программно-аппаратных средств, в том числе средств зашиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц. 4.7. Требования к защите средств и систем, обеспечивающих функционирование значимого объекта (обеспечивающей инфраструктуре) К программным и программно-аппаратным средствам, в том числе средствам защиты информации, используемым для обеспечения безопасности исследуемого ЗОКИИ, предъявляются следующие требования: o применение средств защиты информации, прошедших оценку на соответствие требованиям по безопасности информации в формах обязательной сертификации и внесенных в Государственный реестр сертифицированных средств защиты информации; o в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса; o технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программноаппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии; o в автоматизированных системах управления 3 класса защищенности применяются средства защиты информации не ниже 6 класса, соответствующие 6 или более высокому уровню доверия, а также средства вычислительной техники не ниже 5 класса, соответствующие 6 или более высокому уровню доверия; 19 o средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории. 4.8. Требования к информационному взаимодействию значимого объекта с иными объектами КИИ, а также иными ИС, АСУ или ИТС Требования к составу и содержанию документации, разрабатываемой в ходе создания значимого объекта. В процессе создания системы безопасности ЗОКИИ разрабатывается рабочая документация в соответствии с: ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения». Рабочая документация в своем составе должна иметь следующие документы: Пояснительная записка к рабочей документации; Описание архитектуры системы безопасности ЗОКИИ; Порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации; Схема структурная комплекса технических средств; Таблицы соединений и подключений; Планы расположения оборудования; Спецификация оборудования, материалов, изделий и программного программно-технических комплексов, обеспечения; Реестр программных и обеспечивающих функционирование системы безопасности ЗОКИИ (реестр системы безопасности ЗОКИИ). 20 В объеме разработки рабочей документации также необходимо учесть разработку эксплуатационной документации. Эксплуатационная документация в своем составе должна иметь следующие документы: Ведомость эксплуатационных документов; Общее описание системы безопасности ЗОКИИ и ее отдельных компонентов; Регламент технического обслуживания системы безопасности ЗОКИИ; Руководство пользователя системы безопасности ЗОКИИ; Руководство администратора системы безопасности ЗОКИИ; Инструкцию по эксплуатации системы безопасности ЗОКИИ и ее отдельных компонентов; Правила эксплуатации программных и программно-аппаратных средств ЗОКИИ; Паспорта компонентов системы безопасности ЗОКИИ; План аварийного восстановления системы безопасности ЗОКИИ; o Программы и методики испытаний системы безопасности ЗОКИИ, включающие в себя проверку работоспособности системы безопасности ЗОКИИ и отдельных средств защиты информации. 21 5. Разработка технического проекта на создание системы безопасности ЗОКИИ В соответствии с требованиями приказа ФСТЭК № 239 от 25.12.2017 г., проектирование системы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта. При проектировании системы безопасности значимого объекта: а) определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа; б) определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная); в) определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта; г) определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта; д) осуществляется выбор средств защиты информации и (или) их разработка с учетом категории значимости значимого объекта, совместимости с программными и программно-аппаратными средствами, выполняемых функций безопасности и ограничений на эксплуатацию; е) разрабатывается архитектура подсистемы безопасности значимого объекта, включающая состав, места установки, взаимосвязи средств защиты информации; ж) определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта; з) определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами 22 критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями. Технический проект на создание системы безопасности значимого объекта критической информационной инфраструктуры – АСУ ТП системы РЗА центрального теплового пункта ПАО «Энергетик» приведено в Приложении 2. 5.1. Пояснительная записка к техническому проекту Проектируемая система защиты информации от несанкционированного доступа состоит из следующих подсистем: 1. Подсистема управления доступом; 2. Подсистема обеспечения целостности; 3. Подсистема регистрации и учёта; 4. Подсистема межсетевого экранирования; 5. Подсистема криптографической защиты; 6. Подсистема обнаружения и предотвращения вторжений; 7. Подсистема анализа защищенности; 8. Подсистема антивирусной защиты; 9. Подсистема управления. Разрабатываемые организационно-распорядительные документы по безопасности значимого объекта определяют правила и процедуры реализации отдельных организационных и (или) технических мер (политик безопасности), и включают: 1. Политику идентификации и аутентификации; 2. Политику управления доступом; 3. Политику ограничения программной среды; 4. Политику защиты машинных носителей информации; 5. Политику аудита безопасности; 6. Политику антивирусной защиты; 7. Политику предотвращения вторжений (компьютерных атак); 8. Политику обеспечения целостности; 9. Политику обеспечения доступности; 23 10. Политику защиты технических средств и систем; 11. Политику защиты информационной системы и ее компонентов; 12. Политику реагирования на компьютерные инциденты; 13. Политику управления конфигурацией информационной системы; 14. Политику управления обновлениями программного обеспечения; 15. Политику планирования мероприятий по обеспечению защиты информации; 16. Политику обеспечения действий в нештатных ситуациях; 17. Политику информирования и обучения персонала. Организационно-распорядительные документы устанавливают правила безопасной работы работников, эксплуатирующих значимый объект, и работников, обеспечивающих функционирование значимого объекта, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами. Подсистема управления доступом. Подсистема управления доступом реализована применением нескольких программных комплексов на следующих уровнях: - уровень аутентификации и идентификации пользователей; - уровень авторизации пользователей; - уровень «гостевых» операционных систем; - уровень АРМ пользователей, обрабатывающих ПДн. Подсистема управления доступом на уровне аутентификации и идентификации пользователей реализуется применением сертифицированной версии программного обеспечения Oracle Identity and Access Manager 11g и аппаратных идентификаторов eToken, служащих для выполнения функций усиления аутентификации пользователей при входе в систему, хранения ключевой информации для осуществления защищенного информационного обмена. Подсистема управления доступом на уровне авторизации пользователей реализуется применением сертифицированной версии программного обеспечения Oracle Identity and Access Manager 11g, позволяющего выполнить разграничение 24 доступа к защищаемой информации на уровне веб-серверов и серверов баз данных АСУ ТП. Подсистема управления доступом на уровне «гостевых» операционных систем реализуется средствами сертифицированных встроенных средств защиты операционных систем Microsoft Windows Server 2008, позволяющих создать защищенную среду для функционирования прикладного программного обеспечения АСУ ТП. Подсистема управления доступом на уровне АРМ пользователей, обрабатывающих ПДн, реализуется средствами СЗИ от НСД Dallas Lock 7.7, позволяющего создать защищенную среду для обработки персональных данных в ИСПДн до класса К1 включительно. Подсистема контроля целостности. Подсистема обеспечения целостности предназначена для обеспечения целостности программных средств системы защиты информации, обрабатываемой информации, а также неизменность программной среды. Целостность программных средств защиты информации, обрабатываемой информации, а также неизменность программной среды обеспечивается следующими техническими и организационными мерами. Технические меры обеспечения целостности: - встроенные механизмы контроля целостности средств защиты информации; - встроенные механизмы тестирования (самотестирования) функций безопасности ОС Windows Server 2003/2008/XP Professional/7 Корпоративная и Linux; - периодическое тестирование системы программой контроля сертифицированных версий ПО «Check»2 для контроля целостности основных конфигурационных файлов ОС. Организационные меры обеспечения целостности: - отсутствие на АРМ пользователей средств разработки исполняемых модулей программного обеспечения; - запрет на установку пользователями сторонних приложений. Подсистема регистрации и учета. 25 Подсистема регистрации и учета реализуется встроенными средствами журналирования событий информационной безопасности применяемых средств защиты информации. СЗИ от НСД vGate R2 встроенными механизмами производит регистрацию событий, связанных с доступом к ESX-хостам, с настройками виртуальной инфраструктуры, запуском «гостевых» систем. Сертифицированная версия ПО Oracle Identity and Access Manager 11g. Встроенные средства ведения журналов событий сертифицированной версии операционных систем Microsoft Windows Server 2008 позволяют регистрировать события входа/выхода пользователей, события запуска служб и некоторые другие события информационной безопасности. СЗИ от НСД Dallas Lock 7.7 обеспечивают на АРМ пользователей регистрацию событий входа/выхода пользователей, доступа к защищаемой информации, запуска приложений, доступа к внешним носителям информации, вывода на печать, нарушения целостности, изменения настроек системы защиты. Средства криптографической защиты ViPNet CUSTOM выполняют регистрацию событий по установке защищенных сетевых подключений и передаче зашифрованной информации. Средства межсетевого экранирования Check Point Firewall ведут регистрацию ip- пакетов, проходящих через сетевые интерфейсы межсетевого экрана, и событий сетевой активности, в соответствии с заданными настройками. Система обнаружения и предотвращения вторжений Sourcefire средствами ПАК Sourcefire Defense Center производит сбор информации о подозрительной сетевой активности и об обнаруженных сетевых атаках, регистрируемой на сетевых сканерах Sourcefire 3D Sensor. Подсистема антивирусной защиты, реализуемая средствами антивирусного ПК Kaspersky Open Space Security ведет централизованные сбор и регистрацию событий вирусной активности, обнаруженных случаях заражения, проведения проверок, результатах лечения. 26 Подсистема межсетевого экранирования. Подсистема межсетевого экранирования реализуется средствами сертифицированного МЭ Check Point Firewall-1/VPN-1 версии NGX R65 на платформе UTM-1 572 и сертифицированных криптошлюзов ViPNet Coordinator, устанавливаемых на границе ЦОХД АСУ ТП, и VPN-агентов, устанавливаемых на АРМ пользователей АСУ ТП. Указанные средства межсетевого экранирования предназначены для выполнения следующих функций: - обеспечение защиты ЦОХД в точках подключения к внешним сетям; - фильтрация сетевого трафика; - ограничение доступа к сетевым ресурсам; - контроль сетевой активности приложений на рабочих местах пользователей. Подсистема криптографической защиты. Подсистема криптографической защиты обеспечивает конфиденциальность защищаемой информации на 2х основных уровнях: - на сетевом уровне при передаче защищаемой информации через сети связи международного информационного обмена (Интернет); - на уровне базы данных Oracle при хранении сведений ограниченного доступа в единой базе данных со сведениями общего пользования. На сетевом уровне криптографическая защита информации обеспечивается применением программно-аппаратного комплекса ViPNet CUSTOM, состоящего из криптошлюзов ViPNet Coordinator, устанавливаемых в точке подключения ЦОХД АСУ ТП к сети международного информационного обмена (Интернет), и программного обеспечения ViPNet Client, устанавливаемого на АРМ пользователей АСУ ТП. Программное обеспечение ViPNet Client является VPN-клиентом (клиент виртуальных частных сетей), шифрующим сетевой трафик, передаваемый до ViPNet Coordinator по заранее заданному алгоритму. VPN-тоннели формируются на базе протоколов IP/241 и IP/UDP. Шифрование трафика реализуется с помощью отечественного алгоритма шифрования в соответствии с ГОСТ 28147-89. 27 Правила обработки трафика задаются на криптошлюзе ViPNet Coordinator при его настройке и на клиентах при установке на АРМ. Политика безопасности реализуется путём задания топологии защищаемой системы и описания правил обработки трафика. Политика безопасности задаётся таким образом, чтобы пользователь мог установить только защищённое (шифрованное) соединение между рабочей станцией и сервером с защищаемой информацией. На уровне баз данных Oracle криптографическая защита обеспечивается применением сертифицированного СКЗИ «КриптоБД», позволяющего выборочно шифровать информацию, хранящуюся в логической структуре таблиц баз данных Oracle. При этом возможно выполнить шифрование различной информации на различных ключах, что обеспечивает дополнительное разграничение доступа к защищаемой информации. Хранение ключевой информации пользователей для СКЗИ ViPNet CUSTOM и «КриптоБД» организовано на персональных электронных идентификаторах eToken. Подсистема антивирусной защиты. Подсистема антивирусной защиты реализуется применением антивирусного программного комплекса Kaspersky Open Space Security, обеспечивающего всестороннюю защиту АРМ пользователей и серверов от вредоносного ПО, программно-математических воздействий, компьютерных вирусов и троянских программ. Программный комплекс Kaspersky Open Space Security может включать в себя программное обеспечение для защиты следующих элементов: - АРМ пользователей под управлением ОС Windows, Linux, Mac; - файловые серверы и серверы приложений под управлением ОС Windows, Linux, FreeBSD, Novell Netware; - Почтовые серверы Microsoft Exchange Server, IBM Lotus Domino, Linux; - Интернет-шлюзы Microsoft ISA Server, Microsoft Forefront TMG SE, Blue Coat SG, Squid Proxy Server, Cisco Content Engine, Check Point; 28 - Мобильные устройства под управлением ОС Windows Mobile, Symbian, BlackBerry, Android. Подсистема обнаружения и предотвращения вторжений. Подсистема обнаружения и предотвращения вторжений строится на основе программно-аппаратного комплекса Sourcefire и включает в себя: - сенсоры Sourcefire 3D Sensor; - систему мониторинга Sourcefire Defense Center. Сенсоры Sourcefire 3D Sensor, устанавливаются таким образом, чтобы на них зеркалировался трафик, идущий в АСУ ТП из внешних сетей. Специализированное программное обеспечение производит анализ трафика и позволяет обнаруживать и предотвращать вторжения. Данные по всем событиям Sourcefire 3D Sensor в защищенном режиме передаются от сенсоров Sourcefire 3D Sensor в Defense Center (DC) для централизованного анализа и хранения. Sourcefire Defense Center позволяет пользователям выбрать из множества готовых представлений событий и задать широкий диапазон условий для упрощения просмотра большого числа событий. Представления событий могут настраиваться и могут быть сохранены для повторного использования в будущем. Подсистема анализа защищенности. Подсистема анализа защищенности строится на основе применения программного комплекса Maxpatrol 8.0, устанавливаемого на выделенные серверы. Указанное программное обеспечение позволяется проводить анализ безопасности различных компонент АСУ ТП, а также контролировать неизменность настроек ПО, ОС и т.д. В случаях изменения конфигураций отдельных компонентов АСУ ТП функционал программного комплекса Maxpatrol 8.0 позволяет проинформировать Администраторов безопасности о возникших изменениях. Подсистема управления. 29 Подсистема управления состоит из следующих средств централизованного управления средствами защиты: - ПО ViPNet Administarator для централизованного управления подсистемой криптографической защиты на базе ПК ViPNet CUSTOM, в том числе выполнение роли Удостоверяющего центра; - ПО ViPNet StateWatcher для централизованного мониторинга состояния узлов защищенной сети ViPNet; - управление настройками встроенных механизмов сертифицированных версий операционных систем Microsoft Windows посредством доменных политик Active Directory; - управление системой управления доступом к виртуальной инфраструктуре посредством сервера авторизации vGate R2; - сервер безопасности Dallas Lock для централизованного управления СЗИ от НСД Dallas Lock 7.7; - средства управления сертифицированной версией Oracle Identity and Access Manager 11g; - сервер обновлений и консоль администрирования Kaspersky Administration kit 8.0 для централизованного управления подсистемой антивирусной защиты Kaspersky Open Space Security; - консоль управления системы анализа защищенности MaxPatrol 8.0; - консоль управления МЭ Check Point Firewall; - консоль управления системой обнаружения вторжений Sourcefire. Для программных средств, устанавливаемых на АРМ пользователей, имеется возможность создания выделенных рабочих мест для делегирования на уровень органов местного самоуправления функций управления средствами защиты. 30 5.2. Схема структурного комплекса технических средств Рисунок 1. Внутренняя сеть АСУ ТП Рисунок 2. Внешняя сеть организации 31 Рисунок 3. Пояснения к схеме 5.3. Ведомость покупных изделий 32 Таблица 4 Ведомость покупных изделий № Наименование Тип, марка, обозначение документа, опросного листа - Код оборудования, изделия, материала Завод изготовитель Ед. измерения Колво Масса ед., кг 40 8310 1 40 1310 2 50 1410 7 HP ОАО «Инфортекс» Шт. Шт. Шт. 2 12 1 - - 50 1410 7 ОАО «Инфортекс» Шт. 1 - - 50 1410 7 50 1410 7 ОАО «Инфортекс» ООО «КОНФИДЕНТ» ООО «КОНФИДЕНТ» Sourcefire, Inc Sourcefire, Inc ЗАО «Позитив Технолоджиз» ЗАО «Позитив Технолоджиз» Check Point Software Technologies Ltd. ООО «Код Безопасности» ООО «Код Безопасности» Шт. Шт. 4 6 - Шт. 1 - Шт. Шт. Шт. 2 1 1 - Шт. 2 - Шт. 2 - Шт. 2 - Шт. 7 - ЗАО «АЛАДДИН Р.Д.» ЗАО «Лаборатория Касперского» Шт. 7 - Шт. 12 - ЗАО «Лаборатория Касперского» ЗАО «АЛАДДИН Р.Д.» Шт. 1 - Шт. 7 - 5 6 Шкаф телекоммуникационный Аппаратная платформа для установки СПО Лицензия на право использования ПО ViPNet Administrator Лицензия на право использования ПО ViPNet StateWatcher ПАК ViPNet Coordinator HW 2000 СЗИ от НСД Dallas Lock 7.7 7 Сервер безопасности Dallas Lock 7.7 - 50 1410 7 8 9 10 Sourcefire 3D Sensor Sourcefire Defense Center Лицензия на право использования ПО Maxpatrol Server Лицензия на право использования ПО Maxpatrol Scaner Check Point Firewall-1/VPN-1 версии NGX, R65 на платформе UTM-1 572 Лицензия на право использования Сервера авторизации vGate 2 Лицензия на право использования vGate 2 для защиты ESX-хостов (за 1 физический процессор на защищаемом ESX-хосте) Персональные идентификаторы eToken - 40 4000 5 40 4000 5 50 1410 7 - 50 1410 7 - 40 4000 5 - 50 1410 7 - 50 1410 7 - 40 8270 5 Лицензия на право использования антивирусного ПО Kaspersky Open Space Security Kaspersky Open Space Security Certified Media Pack Customized СКЗИ «КриптоБД» - 50 1420 1 - 50 1420 1 - 50 1410 7 1 2 3 4 11 12 13 14 15 16 17 18 33 Примечание 19 20 21 Сертифицированная версия серверной ОС Microsoft Windows Server Сертифицированная версия клиентской ОС Microsoft Windows 7 Сертифицированная версия ПО Oracle Identity and Access Manager 11g - 50 1100 1 - Шт. 6 - - 50 1100 1 - Шт. 3 - - 50 1410 7 - Шт. 2 - 34 Приложение 1 УТВЕРЖДАЮ Генеральный директор ПАО «Энергетик» А.Н. Новиков « » 2024 г. ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА СОЗДАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ЗНАЧИМОГО ОБЪЕКТА КИИ «АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМ ПРОЦЕССОМ ОТОПЛЕНИЯ И ГОРЯЧЕГО ВОДОСНАБЖЕНИЯ ЦЕНТРАЛЬНОГО ТЕПЛОВОГО ПУНКТА ПАО «ЭНЕРГЕТИК» г. Нижний Новгород, 2024 г. 1. Наименование и адрес организации. Публичное акционерное общество «Энергетик», наб. ул., 14, Нижний Новгород, 683021 2. Полное наименование системы, место производства работ. Система обеспечения безопасности значимого объекта критической информационной инфраструктуры – АСУ ТП системы РЗА центрального теплового пункта ПАО «Энергетик», которой присвоена 3 категория значимости, наб. ул., 10, Нижний Новгород, 683021. Основание для производства работ. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» №187-ФЗ от 26.07.2017 г. Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Акт категорирования объекта критической информационной инфраструктуры «Автоматизированная система управления технологическим процессом Центрального теплового пункта», утвержденный Генеральным директором ПАО «Энергетик» Э.В. Болотным. 3. Цели и задачи проведения работ. Создание системы безопасности значимого объекта критической информационной инфраструктуры – автоматизированной системы управления технологическим процессом отопления и горячего водоснабжения центрального теплового пункта ПАО «Энергетик» (далее по тексту – Заказчик) в целях выполнения требований Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» №187-ФЗ от 26.07.2017 г., обеспечивающей: предотвращение неправомерного доступа к информации, обрабатываемой ЗОКИИ Заказчика, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации; недопущение воздействия на технические и программные средства ЗОКИИ Заказчика, в результате которого может быть нарушено и (или) прекращено функционирование ЗОКИИ Заказчика; функционирование ЗОКИИ Заказчика в штатном режиме, при котором обеспечивается соблюдение технологических параметров; восстановление функционирования ЗОКИИ Заказчика, в том числе за счет создания и хранения резервных копий необходимой для этого информации. Для достижения указанной цели требуется решение следующих задач: сбор и анализ информации о технологическом процессе; определение состава и структуры комплекса технических средств; определение базового набора организационных и технических мер по защите объекта; 36 адаптация базового набор мер по защите в соответствии с особенностями функционирования значимого объекта; разработка комплекса технических и организационных мероприятий по созданию системы безопасности ЗОКИИ; разработка технического проекта на создание системы безопасности значимого объекта КИИ. 4. Стадии и этапы работ. 4.1. Проектирование системы безопасности ЗОКИИ Заказчика 4.1.1. Предпроектное обследование В рамках предпроектного обследования Подрядчик, исключительно непосредственно на территории Заказчика, проводит визуальный осмотр ЗОКИИ, проводит ознакомление с имеющейся документацией Заказчика (исходными данными, включающие в себя: чертежи, исполнительную документацию и т.д.), а также сбор иных необходимых исходных данных, достаточных для разработки проекта, в том числе: о сетевой архитектуре ЗОКИИ; о физических и логических взаимосвязях между частями сети ЗОКИИ; о структуре комплекса используемых программно-технических средств ЗОКИИ; о режимах обработки информации в ЗОКИИ; о применяемых Заказчиком средствах защиты информации и параметрах настройки программного обеспечения в ЗОКИИ; о требованиях действующих ОРД Заказчика по обеспечению ИБ ЗОКИИ; планы размещения оборудования ЗОКИИ. На этапе предпроектного обследования Подрядчик в обязательном порядке согласует с Заказчиком: основные технические и технологические решения; планы размещения оборудования системы безопасности ЗОКИИ. 4.1.2. Мероприятия по созданию системы безопасности ЗОКИИ При создании системы безопасности ЗОКИИ определяются: необходимый и достаточный состав мер защиты в соответствии с требованиями Приказов ФСТЭК России № 235 от 21.12.2017 г. и № 239 от 25.12.2017 г.; состав разрабатываемой документации системы безопасности ЗОКИИ; состав объектов защиты отдельных ЗОКИИ на каждом уровне; состав реализуемых решений по обеспечению информационной безопасности ЗОКИИ; требования к программным и программно-аппаратным средствам защиты информации, входящих в состав системы безопасности ЗОКИИ, а также к аналогичным средствам, обеспечивающим защиту информации самой системы безопасности ЗОКИИ; требования к размещению оборудования системы безопасности ЗОКИИ; требования к численности и квалификации персонала Заказчика по обеспечению защиты информации; прочие требования в части касающейся создания системы безопасности ЗОКИИ. 4.1.3. Разработка технического проекта системы безопасности ЗОКИИ Подрядчик проектирует системы безопасности ЗОКИИ, которая реализует необходимый и достаточный набор мер по обеспечению безопасности, предъявляемый для 3-й категории 37 значимости ЗОКИИ в соответствии с «Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденными приказом ФСТЭК России № 239 от 25.12.2017 г. Технический проект системы безопасности ЗОКИИ разрабатывается в соответствии с: ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения». При разработке технического проекта системы безопасности ЗОКИИ: определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа; определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная); определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках создания системы безопасности ЗОКИИ. определяются виды и типы средств защиты информации (далее по тексту – СЗИ), обеспечивающие реализацию технических мер по безопасности ЗОКИИ; осуществляется выбор СЗИ с учетом категории значимости ЗОКИИ, совместимости с программными и программно-аппаратными средствами, выполняемых функций безопасности и ограничений на эксплуатацию. разрабатывается архитектура системы безопасности ЗОКИИ, включающая состав, места установки, взаимосвязи СЗИ; определяются требования к параметрам настройки программных и программноаппаратных средств, включая СЗИ, обеспечивающие реализацию мер по безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей (минимизацию вероятности их использования) ЗОКИИ. В рамках разработки Технического проекта должно рассматриваться применение средств защиты информации, прошедших оценку на соответствие требованиям по безопасности информации в формах обязательной сертификации и внесенных в Государственный реестр сертифицированных средств защиты информации. Технический проект системы безопасности ЗОКИИ подлежит согласованию с Заказчиком. 4.1.4. Разработка рабочей документации системы безопасности ЗОКИИ Подрядчик разрабатывает рабочую документацию системы безопасности ЗОКИИ в соответствии с: ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения». 38 В рамках разработки Рабочей документации должно рассматриваться применение средств защиты информации, прошедших оценку на соответствие требованиям по безопасности информации в формах обязательной сертификации и внесенных в Государственный реестр сертифицированных средств защиты информации. Решения, приведенные в Рабочей документации, должны предусматривать применение используемых Заказчиком решений по обеспечению информационной безопасности. Рабочая документация в своем составе должна иметь следующие документы: Пояснительная записка к рабочей документации; Описание архитектуры системы безопасности ЗОКИИ; Порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации; Схема структурная комплекса технических средств; Таблицы соединений и подключений; Планы расположения оборудования; Спецификация оборудования, материалов, изделий и программного обеспечения; Реестр программных и программно-технических комплексов, обеспечивающих функционирование системы безопасности ЗОКИИ (реестр системы безопасности значимого объекта КИИ). В объеме разработки рабочей документации также необходимо учесть разработку эксплуатационной документации. Эксплуатационная документация в своем составе должна иметь следующие документы: Ведомость эксплуатационных документов; Общее описание системы безопасности ЗОКИИ и ее отдельных компонентов; Регламент технического обслуживания системы безопасности ЗОКИИ; Руководство пользователя системы безопасности ЗОКИИ; Руководство администратора системы безопасности ЗОКИИ; Инструкцию по эксплуатации системы безопасности ЗОКИИ и ее отдельных компонентов; Правила эксплуатации программных и программно-аппаратных средств ЗОКИИ; Паспорта компонентов системы безопасности ЗОКИИ; План аварийного восстановления системы безопасности ЗОКИИ; Программы и методики испытаний системы безопасности ЗОКИИ, включающие в себя проверку работоспособности системы безопасности ЗОКИИ и отдельных средств защиты информации. 4.1.5. Разработка проектно-сметной документации. Подрядчик предоставляет: ведомость объемов работ: состав проектных работ, состав строительно-монтажных работ (СМР), состав пуско-наладочных работ (ПНР); спецификацию предоставляемого оборудования и материалов; сметную документацию. 4.2. Доставка оборудования, материалов и программного обеспечения Подрядчик производит в согласованные с Заказчиком сроки доставку необходимого оборудования, материалов, изделий и программного обеспечения на объекты, в соответствии с 39 согласованной с Заказчиком спецификацией, предусмотренной в составе разработанной рабочей документации. 4.3. Строительно-монтажные работы системы безопасности ЗОКИИ Подрядчик осуществляет монтаж оборудования системы безопасности ЗОКИИ, прокладку и коммутацию информационных линий связи, прокладку и подключение линий электропитания устанавливаемого оборудования, согласно разработанным, согласованным и утвержденным: техническому проекту, рабочей документации. 4.4. Пусконаладочные работы системы безопасности ЗОКИИ Подрядчику необходимо выполнить: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств в соответствии с решениями, изложенными в техническом проекте и рабочей документации, а также в соответствии с эксплуатационной документацией на отдельные средства защиты информации; настройку нового оборудования для обеспечения функционирования системы безопасности ЗОКИИ; наладку всех технических и программных средств системы безопасности ЗОКИИ. разработать порядок (программу) выполнения работ. 4.5. Предварительные испытания системы безопасности ЗОКИИ Предварительные испытания системы безопасности ЗОКИИ проводятся Заказчиком совместно с Подрядчиком на основании разработанных, согласованных и утвержденных программ. При проведении предварительных испытаний системы безопасности ЗОКИИ производится оценка соответствия системы безопасности ЗОКИИ требованиям, изложенным в Техническом задании, Техническом проекте и рабочей документации, а также проверка работоспособности системы безопасности ЗОКИИ. В ходе предварительных испытаний должен быть проведен анализ их результатов и выполнено устранение выявленных недостатков. По результатам проведения предварительных испытаний принимается решение о возможности передачи системы безопасности ЗОКИИ в опытную эксплуатацию, о чем составляются соответствующие акты. 4.6. Подготовка персонала системы безопасности ЗОКИИ Подрядчик проводит консультирование персонала, эксплуатирующего и обеспечивающего функционирование системы безопасности ЗОКИИ, по предварительно им разработанной и согласованной с Заказчиком программе консультирования. Объем программы консультирования должен обеспечить необходимый уровень усвоения материала персоналом Заказчика, с учетом количественного состава программных, аппаратных и программно-аппаратных средств, входящих в системы безопасности ЗОКИИ, а также их сложности. 4.7. Опытная эксплуатация системы безопасности ЗОКИИ Опытная эксплуатация системы безопасности ЗОКИИ проводится на основании разработанных, согласованных и утвержденных программ и методик опытной эксплуатации системы безопасности ЗОКИИ. Длительность опытной эксплуатации системы безопасности ЗОКИИ должна составлять не менее 30 календарных дней. В период опытной эксплуатации проводится анализ результатов функционирования системы безопасности ЗОКИИ, в том числе, реализованных организационных и технических мер, а также 40 знаний и умений пользователей и администраторов, необходимых для эксплуатации системы безопасности ЗОКИИ, устранение выявленных недостатков. По результатам опытной эксплуатации должна быть выполнена корректировка (при необходимости): технического проекта, рабочей документации, эксплуатационной документации, а также принято решение о возможности (или невозможности) проведения приемочных испытаний системы безопасности ЗОКИИ, о чем составляются соответствующие акты. 4.8. Приемочные испытания системы безопасности ЗОКИИ и ввод в промышленную эксплуатацию. В ходе приемочных испытаний системы безопасности ЗОКИИ а должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие системы безопасности ЗОКИИ требованиям настоящего Технического задания и «Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденным приказом ФСТЭК России №239 от 25.12.2017 г., а также производится оценка необходимости и достаточности реализованных на ЗОКИИ мер для блокирования (нейтрализации) угроз безопасности информации, способных прекратить или нарушить его функционирование. В качестве исходных данных при проведении приемочных испытаниях должны быть использованы: модель угроз безопасности информации ЗОКИИ; акт категорирования ЗОКИИ; техническое задание на создание системы безопасности ЗОКИИ; проектная (эксплуатационная) документация на ЗОКИИ; организационно-распорядительные документы Заказчика в части информационной безопасности; материалы предварительных испытаний и опытной эксплуатации. Приемочные испытания системы безопасности ЗОКИИ проводятся Заказчиком совместно с Подрядчиком на основании разработанных, согласованных и утвержденных программ и методик приемочных испытаний системы безопасности. Результаты приемочных испытаний системы безопасности ЗОКИИ должны быть включены в акты приемки системы безопасности ЗОКИИ в промышленную эксплуатацию. Ввод в промышленную эксплуатацию системы безопасности ЗОКИИ осуществляется при положительном заключении (выводе) в актах ввода ПОИБ ЗОКИИ и системы безопасности ЗОКИИ в промышленную эксплуатацию. 5. Требования, предъявляемые к Подрядчику. 5.1. Наличие у Подрядчика лицензии ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ) с разрешенными видами работ. 5.2. Наличие у Подрядчика опыта выполнения подобных по характеру и объемам работ на аналогичном оборудовании не менее 3 лет. 5.3. Наличие у Подрядчика достаточного количества квалифицированного аттестованного персонала (не менее 5-ти человек), имеющего свидетельства или сертификаты прохождения подготовки по направлениям проектирования, внедрения и эксплуатации средств защиты от несанкционированного доступа (НСД), программных и программно-аппаратных комплексов межсетевого экранирования, средств управления межсетевыми экранами, программных и программно-аппаратных комплексов предотвращения сетевых вторжений, а также наличие в штате 41 Подрядчика специалиста с высшим образованием по направлению «информационная безопасность». 5.4. Наличие у Подрядчика необходимой оснастки, средств малой механизации, электро и пневмоинструмента, специнструмента, приспособлений и т.п., необходимых для выполнения Работ. 5.5. Персонал Подрядчика обязан выполнять правила внутреннего распорядка, действующего на предприятии. 5.6. Подрядчик обязан обеспечить свой персонал необходимыми средствами индивидуальной защиты, спецодеждой и спец. обувью в соответствии с типовыми отраслевыми нормами, а также всеми необходимыми инструментами и приспособлениями. 6. Требования к выполнению работ. 6.1. Подрядчик обязан выполнить работы в соответствии с техническим заданием, разработанными, согласованными и утвержденными техническим проектом и рабочей документацией, требованиями законодательства Российской Федерации, нормативными документами федеральных органов исполнительной власти, уполномоченных в области защиты информации, руководящими документами, правилами проектирования, приемки и другими действующими нормативными актами и нормативно-техническими документами, в том числе: Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»; Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»; Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 16.09.2020 г. № 1479 «Об утверждении Правил противопожарного режима в Российской Федерации»; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»; ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем». 42 6.2. До начала выполнения работ Подрядчик: определяет состав бригад по численности, квалификации и профессиям в соответствии с объемом работ. При этом должна быть обеспечена полная занятость персонала в течение установленных графиком сроков производства работ; назначает руководителя работ в соответствии с объемом работ; назначает лиц, ответственных за охрану труда и материально-техническое обеспечение. разрабатывает и предоставляет Заказчику на утверждение детальный календарный график производства работ. 6.3. При выполнении работ Подрядчику запрещено: подключать к компонентам ЗОКИИ ноутбуки, персональные жесткие диски, USBмодемы, внешние CD/DVD, приводы, мобильные телефоны, любые съемные носители информации без их предварительной регистрации и полной антивирусной проверки у Администратора ИБ АСУ ТП; использовать компоненты программного и аппаратного обеспечения ЗОКИИ в неслужебных (личных) целях; передавать свои учетные данные другим лицам, не имеющим санкционированный доступ к компонентам ЗОКИИ; записывать учетные данные (логин, пароль) на листках, календарях, корпусах оборудования, записных книжках, в электронных документах и т. п. и/или хранить в потенциально доступном для ознакомления другими лицами месте; сохранять учетные данные (логин, пароль) в полях ввода логина и пароля; останавливать или изменять режим работы ЗОКИИ, если это не предусмотрено эксплуатационной документацией на ЗОКИИ и составом работ, выполняемых в рамках договора; оставлять рабочее место, не активировав временную блокировку экрана; оставлять без личного присмотра служебные носители информации. 6.4. Работы должны быть выполнены в установленные сроки, в полном объеме и с надлежащим качеством. 7. Требования к предоставляемым материалам, запасным частям и программному обеспечению. 7.1. Работы в объеме Технического задания выполняются с применением оборудования, запасных частей, материалов, программного обеспечения, предоставляемых Подрядчиком. 7.2. Подрядчик предоставляет ведомость МТР, ПО, необходимых для выполнения работ, с указанием их стоимости и сроков предоставления. Выбор средств защиты информации, коммуникационного оборудования, серверного оборудования, АРМ, программного обеспечения, шкафов (стоек), оборудования, обеспечивающего бесперебойное питание, должен быть согласован с Заказчиком. 7.3. Оборудование, программное обеспечение, материалы, запасные части, предоставляемые Подрядчиком, Подрядчик приобретает самостоятельно за счет своих средств. Подрядчик осуществляет доставку оборудования, программного обеспечения, материалов, запасных частей, комплектующих изделий до места выполнения работ своими силами и за свой счет. Оборудование, материалы, комплектующие изделия, предоставляемые Подрядчиком, должны быть новыми, не бывшими в употреблении. 43 7.4. Должно быть предусмотрено предоставление оборудования, программного обеспечения, технических описаний всех составляющих на русском языке и эксплуатационная документация производителя. 7.5. Срок предоставления оборудования, запасных частей, материалов должен быть осуществлен к месту проведения строительно-монтажных работ не позднее трех недель до начала их выполнения. 7.6. Устанавливаемое программное обеспечение, в том числе встроенное ПО, должно быть лицензировано и иметь поддержку производителя (разработчика), лицензии должны быть приобретены для Заказчика и переданы Заказчику в составе документации. 7.7. В рамках выполнения работ по созданию системы безопасности ЗОКИИ Заказчика должно рассматриваться применение средств защиты информации, прошедших оценку на соответствие требованиям по безопасности информации в формах обязательной сертификации и внесенных в Государственный реестр сертифицированных средств защиты информации. 8. Сроки выполнения Работ. 8.1. Срок выполнения работ 6 месяцев с даты заключения Договора. 8.2. На этапе проведения закупочной процедуры в своем предложении Подрядчику необходимо предоставить разработанный укрупненный график выполнения Работ. 8.3. По требованию Заказчика Подрядчику необходимо составить детальный график проведения конкретных этапов выполнения работ. 9. Требования к сдаче-приемке Работ. 9.1. Сдача-приемка работ осуществляется в соответствии с графиком выполнения работ. 9.2. Недостатки работ, обнаруженные в ходе сдачи или выявленные в период гарантийной эксплуатации объекта, фиксируются в соответствующем акте, подписываемом представителями Заказчика и Подрядчика, с указанием срока и порядка их устранения. Недостатки устраняются на условиях Договора. 9.3. Приемка работ производится комиссией, персональный состав которой утверждается локальным нормативным актом. В состав комиссии входят, в том числе, представители Подрядчика. 9.4. Приемка работ проводится Подрядчиком совместно с Заказчиком на основании разработанных Подрядчиком на этапе проектирования, согласованных и утвержденных Заказчиком программам и методикам, предусмотренным в объеме настоящего Технического задания. 9.5. Сдача работ должна осуществляться в соответствии со следующими нормативнотехническими документами: Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»; Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»; 44 Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»; ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»; ГОСТ Р 53245-2010 «Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания». 9.6. Для системы безопасности ЗОКИИ устанавливаются следующие виды испытаний: предварительные испытания системы безопасности ЗОКИИ; опытная эксплуатация системы безопасности ЗОКИИ; приемочные испытания системы безопасности ЗОКИИ. 10. Документация, предъявляемая Заказчику. 10.1. Сертификаты и технические паспорта на оборудование и материалы, конструкции, детали и узлы оборудования; 10.2. Акты и протоколы испытаний оборудования, схем и систем; 10.3. Акты о завершении работ и выполненных работ, в том числе Акты о приемке оборудования после испытаний; 10.4. Акты КС-2, КС-3; 10.5. Табели учета рабочего времени; 10.6. Акты предпроектного обследования; 10.7. Технические проекты на создание системы безопасности ЗОКИИ; 10.8. Рабочая (включая эксплуатационную) документация на систему безопасности ЗОКИИ; 10.9. Сертификаты соответствия применяемых средств защиты (программных, программно10.10. Программы и методики испытаний системы безопасности ЗОКИИ; 10.11. Лицензии на установленное программное обеспечение; 10.12. Протоколы предварительных испытаний системы безопасности ЗОКИИ; 10.13. Программы консультирования персонала Заказчика; 10.14. Акты о возможности проведения приемочных испытаний системы безопасности ЗОКИИ; 10.15. Протоколы приемочных испытаний ПОИБ ЗОКИИ и системы безопасности ЗОКИИ; 10.16. Акты приемки системы безопасности ЗОКИИ в промышленную эксплуатацию; 10.17. Технические описания, руководства по эксплуатации компонентов системы безопасности ЗОКИИ; 10.18. Регламенты технического обслуживания системы безопасности ЗОКИИ. 11. Гарантия Подрядчика. Подрядчик должен гарантировать: 11.1. Надлежащее качество работ в полном объеме в соответствии с разработанной документацией и действующей нормативно-технической документацией. 11.2. Выполнение всех Работ в установленные Техническим заданием сроки. 45 11.3. Возмещение Заказчику причиненных убытков при обнаружении недостатков в процессе гарантийной эксплуатации объекта. 11.4. Срок гарантии на выполненные работы, предоставляемое оборудование и программное обеспечение, включая их техническую поддержку производителем оборудования и программного обеспечения, устанавливается продолжительностью не менее 36 месяцев с момента подписания Акта приемки системы безопасности ЗОКИИ в промышленную эксплуатацию. 46 Приложение 2 ТЕХНИЧЕСКИЙ ПРОЕКТ НА СОЗДАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ЗНАЧИМОГО ОБЪЕКТА КИИ «АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМ ПРОЦЕССОМ ОТОПЛЕНИЯ И ГОРЯЧЕГО ВОДОСНАБЖЕНИЯ ЦЕНТРАЛЬНОГО ТЕПЛОВОГО ПУНКТА ПАО «ЭНЕРГЕТИК» 47 г. Нижний Новгород, 2024 г. ПОЯСНИТЕЛЬНАЯ ЗАПИСКА к техническому проекту на создание системы безопасности значимого объекта КИИ «Автоматизированная система управления технологическим процессом отопления и горячего водоснабжения центрального теплового пункта ПАО «Энергетик» 1. Общие положения 1.1. Наименование работы Разработка технического проекта на создание системы безопасности автоматизированной системы управления технологическим процессом отопления и горячего водоснабжения центрального теплового пункта ПАО «Энергетик». 1.2. Основания для разработки проекта Основанием для разработки проекта является: Техническое задание на создание системы безопасности значимого объекта КИИ «Автоматизированная система управления технологическим процессом отопления и горячего водоснабжения центрального теплового пункта (ЦТП) ПАО «Энергетик». Модель угроз безопасности информации объекта КИИ «Автоматизированная система управления технологическим процессом центрального теплового пункта ПАО «Энергетик». Акт категорирования объекта критической информационной инфраструктуры «Автоматизированная система управления технологическим процессом центрального теплового пункта ПАО «Энергетик». 1.3. Цель работы Создание системы безопасности информации (СОИБ) автоматизированной системы управления технологическим процессом отопления и горячего водоснабжения центрального теплового пункта ПАО «Энергетик» обеспечивающей: предотвращение неправомерного доступа к информации, обрабатываемой АСУ ТП, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации; недопущение воздействия на технические и программные средства АСУ ТП, в результате которого может быть нарушено и (или) прекращено ее функционирование; функционирование АСУ ТП ЦТП в штатном режиме, при котором обеспечивается соблюдение технологических параметров. 2. Назначение и область применения Основным назначением работы является разработка технического проекта на создание СОИБ ЗОКИИ – АСУ ТП отопления и горячего водоснабжения центрального теплового пункта ПАО «Энергетик» в соответствии с нормами и требованиями законодательства РФ в области информационной безопасности. Результаты работы ориентированы на применение средств защиты для исключения несанкционированного доступа (НСД) к информации АСУ ТП отопления и горячего водоснабжения ЦТП ПАО «Энергетик». 48 3. Нормативно-методическая документация, используемая при разработке проекта системы защиты АСУ ТП ЦТП Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»; Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»; Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»; Постановление Правительства РФ от 16.09.2020 г. № 1479 «Об утверждении Правил противопожарного режима в Российской Федерации»; Приказ ФСТЭК РФ «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14.03.2014 № 31; Требования по безопасности информации. Утверждены приказом ФСТЭК России от 02.06.2020 г. № 76; Государственный реестр сертифицированных средств защиты информации ФСТЭК России; ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем». 4. Краткая характеристика объекта Система обеспечения безопасности информации разрабатывается для значимого объекта критической информационной инфраструктуры – АСУ ТП системы РЗА центрального теплового пункта ПАО «Энергетик». Адрес объекта: 140006, РФ, Московская область, г. Нижний Новгород, улица Космонавтов, дом 27, строение 1. Категория значимости объекта – 3. 49 Основными узлами ЦТП являются: теплообменник, в котором происходит нагрев теплоносителя для отопления и ГВС, но не посредством сжигания топлива, а за счет передачи тепла от теплоносителя в первичной тепловой сети; насосное оборудование; клапаны – регуляторы давления и температуры; грязевые фильтры на вводе и выходе трубопровода из ЦТП; запорная арматура (краны для перекрытия различных трубопроводов в случае необходимости); системы контроля и учета расхода теплоты; системы электроснабжения; системы автоматизации и диспетчеризации. Центральные тепловые пункты снабжены средствами автоматизации и контроля, обеспечивающими работу тепловых пунктов без постоянного присутствия обслуживающего персонала и, при нормальной работе, не требующих вмешательства оператора. Автоматизированная система управления центральным тепловым пунктом представляет собой трехуровневую систему: нижний уровень системы включает в себя исполнительные механизмы, оборудование КИПиА, тепловодосчетчики, счетчики электроэнергии, располагаемые на технологических участках теплового пункта; средний уровень системы представлен микропроцессорным контроллером, например, DevLink-C1000 и модулями ввода-вывода DevLink-А10. Основные функции системы на этом уровне следующие: аналого-цифровое преобразование сигналов с аналоговых и дискретных датчиков в цифровой код и заданную алгоритмическую обработку информации с датчиков нижнего уровня системы; информационный обмен с интеллектуальными устройствами нижнего уровня (с тепловодосчетчиками, счетчиками электроэнергии); формирование выходных управляющих сигналов на исполнительные механизмы по задаваемым технологическим программам или по командам оперативно-диспетчерского персонала; обмен данными с центральным диспетчерским пунктом по резервируемым проводным и беспроводным каналам связи; дублирование на щите местного управления индикации и сигнализации по основным технологическим параметрам теплового пункта, а также управление насосами, регулирующей и запорной арматурой. верхний уровень системы включает в себя автоматизированное рабочее место оперативнодиспетчерского персонала. На этом уровне осуществляется: сбор, обработка и долговременное хранение информации, получаемой с контроллера среднего уровня системы; документирование и визуализация оперативных и архивных данных системы; ручной ввод настроечных параметров системы; формирование команд контроллеру на выполнение технологических программ, на выдачу управляющих сигналов исполнительными механизмами. 50 Архитектура АСУ ТП для управления центральным тепловым пунктом приведена в Приложении 1 к Техническому проекту. Программно-аппаратный комплекс объекта КИИ, представляет собой комплекс программных и технических средств, в состав которого входят: оборудование и программное обеспечение верхнего уровня системы управления; оборудование и программное обеспечение среднего (серверного) системы управления; оборудование и программное обеспечение нижнего уровня системы управления; сетевые средства; оборудование для организации связи; средства обмена информацией с другими системами; средства удаленного мониторинга. Взаимодействие компонентов объекта КИИ с сетью может осуществляться посредством контроллера DevLink-C1000, отличительными особенностями которого являются: наличие встроенного GSM/GPRS-модема с двумя SIM-картами с поддержкой как статических, так и динамических IP-адресов; возможность резервирования проводных, беспроводных каналов связи и их комбинаций; шифрование данных при их передаче по каналам связи; использование специализированного протокола передачи данных для работы с медленными и ненадежными каналами связи. 5. Проектные решения по СОИБ АСУ ТП ЦТП 5.1. Режим функционирования СОИБ Система обеспечения информационной безопасности АСУ ТП ЦТП должна предусматривать использование: встроенных механизмов защиты информации – возможностей и механизмов защиты информации, реализуемых программным обеспечением (SCADA-системами), активным сетевым оборудование и программируемыми логическими контроллерами; специализированных средств защиты информации (СЗИ), применяемых в случае недостаточности или отсутствия встроенных механизмов защиты компонентов ЗОКИИ для реализации защитных функций в соответствии с заданными требованиями; организационных мер защиты. Используемые при создании системы обеспечения информационной безопасности (СОИБ) ЗОКИИ технические средства должны предусматривать круглосуточный режим функционирования в непрерывном режиме. Оборудование, обеспечивающее бесперебойное электропитание компонентов СОИБ ЗОКИИ (источники бесперебойного питания) должны соответствовать следующим требованиям: обеспечивать бесперебойную работу оборудования в течении 30 минут; наличие функции удаленного мониторинга работы ИБП по сетевому интерфейсу (RJ-45) с использованием дополнительно или комплектного ПО производителя ИБП; наличие программируемой логики управления; наличие встроенной защиты нагрузки от: всплесков напряжения, короткого замыкания, перегрузки; наличие световой и звуковой индикации. 51 Для обеспечения указанных требований используется источник бесперебойного питания – «Штиль» STR300SL-27. Количество приобретаемых ИБП приведено в Приложении 3 к Техническому проекту «Ведомость покупных изделий». 5.2. Структура СОИБ Установка компонентов СОИБ ЗОКИИ должна быть спроектирована таким образом, чтобы обеспечивалась их безопасная эксплуатация и техническое обслуживание с учетом следующих требований: установка системы пожарной сигнализации с автоматическим вызовом пожарной службы и автоматической системы пожаротушения; размещение камер видеонаблюдения для контроля за доступом и обеспечения безопасности внутри и вокруг оборудования и серверных помещений; установка систем контроля и управления доступом – электронные замки и RFID-ключи, для ограничения доступа только авторизованным сотрудникам; обеспечение надежного резервного электропитания с помощью источников бесперебойного питания для предотвращения потери данных в случае сбоев в электроснабжении; установка систем кондиционирования воздуха, обеспечивающих оптимальные условия температуры и влажности для оборудования, во избежание перегрева и повреждения оборудования; обеспечение защиты сетевых каналов от атак, в том числе атак перехвата данных с использованием систем IDS/IPS; заземление оборудования и установка защитных устройств для предотвращения поражения электрическим током. Функциональная схема СОИБ АСУ ТП ЦТП, иллюстрирующая состав функций подсистем, представлена в Приложении 2 к Техническому проекту. 5.3. Используемые средства защиты информации 5.3.1. Для реализации мер защиты значимого объекта КИИ, в соответствии с требованиями Технического задания, использовать программные и программно-аппаратные средства, представленные в Таблице 2. Таблица 2 Средства защиты информации, используемые для защиты АСУ ТП ЦТП №№ Наименование средства п.п. 1 Программное изделие «Kaspersky Endpoint Security для Windows» 2 Программное изделие «Система обнаружения и предотвращения вторжений Positive Technologies Network Attack Discovery» 3 «InfoWatch ARMA Industrial Firewall» 4 «Kaspersky Industrial CyberSecurity» 5 Средство доверенной загрузки уровня базовой системы ввода-вывода «Dallas Lock» № 4068 Срок действия сертификата 22.01.2029 г. № 4042 30.11.2028 г. № 4429 № 4027 № 4786 27.07.2026 г. 25.10.2028 г. 13.03.2029 г. Сертификат ФСТЭК 52 53
