Обзор изменений в законодательстве за май 2024 года

В обзоре изменений в области критической информационной инфраструктуры за май 2024 года рассмотрим приказ Минэнерго России, согласно которому к обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления предъявляются дополнительные требования.
А также Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ ФСТЭК России. Показатель, расчет которого описан в Методике, характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации.

Министерство энергетики Российской Федерации (далее – РФ) опубликовало приказ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Требования распространяются на дистанционное управление:
‒ выключателями, разъединителями, заземляющими разъединителями, технологическим режимом работы электросетевого оборудования и устройствами релейной защиты и автоматики;
‒ активной и реактивной мощностью:
o генерирующего оборудования ветровых и солнечных электростанций;
o гидравлических электростанций установленной генерирующей мощностью менее 50 МВт;
‒ активной мощностью:
o гидравлических и гидроаккумулирующих электростанций;
o тепловых электростанций.

С учетом особенностей функционирования таких объектов устанавливаются следующие дополнительные требования:
‒ обеспечить защиту трафика команд дистанционного управления между диспетчерским центром и объектами электроэнергетики, а также между диспетчерским центром и центром управления сетями, посредством применения:
o виртуальных локальных сетей в локальной сети объекта электроэнергетики;
o криптографической защиты трафика команд дистанционного управления;
‒ установить защищенное соединение с использованием средств криптографической защиты информации между:
o устройствами телемеханики (или серверами обработки команд дистанционного управления) и устройствами передачи команд дистанционного управления диспетчерского центра;
o сетевым оборудованием локальной вычислительной сети объекта электроэнергетики и криптошлюзом диспетчерского центра;
‒ запретить доступ из сети «Интернет» в сегмент технологических сетей связи, используемых для осуществления дистанционного управления;
‒ организовать взаимодействие технологических сетей связи, используемых для осуществления дистанционного управления, с внешними выделенными сетями связи через межсетевой экран;
‒ обеспечить в используемых для реализации дистанционного управления программно-аппаратных комплексах, системах, а также в сегментах технологических сетей связи:
o целостность передаваемого трафика команд дистанционного управления;
o межсетевое экранирование;
o антивирусную защиту и регулярное обновление баз данных сигнатур;
‒ применять средства защиты информации (далее – СрЗИ), встроенные в программное обеспечение (далее – ПО) или программно-аппаратные средства (при наличии таких СрЗИ);
‒ в отношении ПО, используемого для реализации дистанционного управления из диспетчерских центров, должно быть реализовано:
o наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей ПО;
o определение способов и сроков доведения организациями - разработчиками или производителями ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, о способах получения пользователями ПО обновлений, проверки их целостности и подлинности.

Приказ вступает в силу 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.

19 июля 2024 года вступил в силу Федеральный закон от 08.07.2024 № 170-ФЗ «О внесении изменений в Федеральный закон «О Государственной корпорации по атомной энергии «Росатом». «Росатом» наделяется полномочиями в области обеспечения технологической независимости объектов КИИ, среди которых:
‒ разработка предложений по формированию государственной политики и нормативно-правовому регулированию в области обеспечения технологической независимости объектов КИИ;
‒ организация, координация и мониторинг деятельности по обеспечению технологической независимости объектов КИИ и в области информационных технологий учреждений «Росатом», акционерных и дочерних обществ, а также подведомственных предприятий;
‒ проведение фундаментальных исследований, научно-исследовательских, опытно-конструкторских и проектно-изыскательских работ и иное.