Актуальные решения в сфере информационной безопасности с учетом Доктрины энергетической безопасности Российской Федерации

Статьи
03 февраля 2021 года

Одна из ключевых задач, определенных в документе   «Энергетическая  стратегия Российской Федерации на период до 2035 года» (Распоряжение Правительства от 9 июня 2020 г. № 1523-р), - обеспечение государственной, общественной и информационной безопасности в сфере энергетики.

Комплекс ключевых мер, направленных на решение данной задачи, включает, в том числе: 

  • пресечение деятельности, осуществляемой специальными службами и организациями иностранных государств, террористическими и экстремистскими организациями, направленной на нанесение ущерба инфраструктуре и объектам топливно-энергетического комплекса;
  • осуществление федерального государственного контроля (надзора) за обеспечением безопасности объектов топливно-энергетического комплекса, защита объектов топливно-энергетического комплекса (в том числе объектов критической информационной инфраструктуры) от совершения актов незаконного вмешательства;
  • планомерный переход на использование отечественных автоматизированных систем управления технологическими процессами и программного обеспечения на особо важных объектах топливно-энергетического комплекса и объектах критической информационной инфраструктуры топливно-энергетического комплекса.

 «Доктрина энергетической безопасности Российской Федерации», утвержденная ранее  Указом Президента РФ № 216 от 13 мая 2019 года,  задает направление на развитие кибербезопасности и импортозамещения в системах технологического управления энергокомплексом, объекты которого относятся к критической информационной инфраструктуре (КИИ) и  закрепляет  на законодательном уровне следующие риски: 

  • противоправное использование информационно-телекоммуникационных технологий, в том числе осуществление компьютерных атак на объекты информационной инфраструктуры и сети связи, способное привести к нарушениям функционирования инфраструктуры и объектов топливно-энергетического комплекса (ТЭК);
  • несоответствие технологического уровня российских организаций ТЭК современным мировым требованиям и чрезмерная зависимость их деятельности от импорта некоторых видов оборудования, технологий, материалов и услуг, программного обеспечения, усугубляющаяся монопольным положением их поставщиков.

Российские производители электротехнического оборудования для цифровых подстанций (ЦПС) и цифровых промышленных объектов ТЭК активно поддерживают курс цифрового развития энергетики, внедряя интеллектуальные технологии на своем производстве и разрабатывая инновационные решения с учетом «Доктрины энергетической безопасности Российской Федерации». Одним из таких решений является киберзащищенная цифровая подстанция (ЦПС) с динамической архитектурой.

 

КИБЕРЗАЩИЩЕННАЯ ЦПС   

Согласно СТО ПАО «Россети» 34.01-21-004-2019 «Цифровой  питающий центр. Требования к технологическому  проектированию цифровых подстанций напряжением 110-220  кВ и узловых цифровых подстанций напряжением 35 кВ», цифровая подстанция (ЦПС) – автоматизированная подстанция, оснащенная взаимодействующими в режиме единого времени цифровыми информационными и управляющими системами и функционирующая без присутствия постоянного дежурного персонала. Согласно определения, цифровыми являются только те подстанции, где применено оборудование, поддерживающее стандарт МЭК-61850.

Киберзащищенность цифровой подстанции (ЦПС), которая, как правило, относится к объектам критической инфраструктуры, приобретает в современных реалиях особый смысл.

В этой связи к защищаемой, критически важной информации относится:

  • контрольно-измерительная информация, которая отражает состояние критически важных устройств объектов (процессов передачи электроэнергии) и информационное обеспечение управления такими устройствами (процессами), на основании которой принимаются решения по переключениям (отключениям) устройств и процессов;
  • управляющая («командная») информация, обеспечивающая управление критически важными устройствами объектов (процессов передачи электроэнергии) и информационное обеспечение управления такими устройствами (процессами);
  • программно-техническая информация устройства релейной защиты и автоматики (РЗА) (состав, структура и характеристики построения, характеристики программ системного и прикладного назначения, данные о допустимых и недопустимых режимах функционирования объектов контроля и управления, параметры настроек программно-аппаратных средств);
  • программно-техническая информация о системе обеспечения безопасности информации (принятые меры обеспечения информации, состав и характеристики средств обеспечения безопасности информации, параметры их настроек и др.).

Технология построения киберзащищенной цифровой подстанции (ЦПС) с динамической архитектурой предполагает наличие двух компонентов: программного, включающего в себя «кодогенератор управляющего программного обеспечения», и аппаратного, базирующегося на широко представленных на рынке средствах промышленной автоматизации различных производителей.

Созданные с помощью кодогенератора виртуальные интеллектуальные электронные устройства (ВИЭУ) являются кроссплатформенными и могут «выполняться» в среде произвольного физического интеллектуального электронного устройства (ФИЭУ), выполненного на аппаратной платформе с использованием любой серийной операционной системы (ОС).

На «киберзащищённых ЦПС с динамичной архитектурой» подсистема информационной безопасности становится полноценной технологической подсистемой объекта критической информационной инфраструктуры.

 

ТЕХНОЛОГИЯ РАЗРАБОТКИ КИБЕРБЕЗОПАСНЫХ РЕШЕНИЙ

Современное развитие вычислительной техники характеризуется тенденцией удешевления компонентной базы (микропроцессоров, оперативной памяти, систем хранения, интерфейсных микросхем и т.д.) при росте её надёжности и производительности. В результате этого получили широкое распространение вычислительные средства промышленной автоматизации, выпускаемые серийно и имеющие высокую степень стандартизации. Также сегодня имеется возможность выбора серийно выпускаемых операционных систем для промышленных (космических, военных) условий применения, имеющих развитую систему информационной безопасности, в том числе и сертифицированных ФСТЭК.

В основе технологии «киберзащищённой ЦПС с динамичной архитектурой» лежит технология разработки кибербезопасных решений для кроссплатформенной РЗА с последующим расширением области её применения на типизацию и стандартизацию ИЭУ различного функционального назначения АСТУ ЦПС.

При разработке кибербезопасных решений для кроссплатформенной релейной защиты и автоматики (РЗА) выделяется несколько уровней абстракции, часть из которых представляет собой доверенную аппаратно-программную платформу, не зависящую от конкретного производителя.

Инф. безопасность 2. Уровни абстракции._1612348501953.JPG

Рисунок 2. 5 уровней абстракции при создании кроссплатформенного ИЭУ

Использование доверенной аппаратно-программной платформы обеспечивает информационную безопасность разрабатываемого ИЭУ РЗА в соответствии с требованиями ФСТЭК [4] и одновременно освобождает производителя ИЭУ от трудоемких процессов технического сопровождения (аттестации) аппаратного исполнения. Основные усилия производителя ИЭУ направлены на разработку, совершенствование алгоритмической базы и поддержание прикладного функционального программного обеспечения устройств, устойчивого к угрозам информационной безопасности.

Требования к системе защиты автоматизированной системы управления следует  определять  с  учётом класса защищенности устройств релейной защиты и автоматики (РЗА) и угроз безопасности информации, включенных  в модель угроз безопасности информации. Требования к системе защиты включаются в техническое задание на проектирование  РЗА  или  техническое  задание (специализированное техническое задание) на проектирование системы обеспечения информационной безопасности РЗА должны, в том числе, содержать:

  • цель и задачи обеспечения защиты информации в устройствах РЗА;
  • класс защищенности устройств релейной защиты и автоматики;
  • перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов Общества, которым должна соответствовать РЗА;
  • объекты защиты;
  • требования к применяемым мерам и средствам защиты информации;
  • требования к защите информации при информационном взаимодействии с АСУ ТП, АСТУ и информационно-телекоммуникационными сетями;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации.

При реализации кибербезопасных решений (рис.2) для кроссплатформенной релейной защиты и автоматики (РЗА) в качестве аппаратной составляющей применяются серийно выпускаемые промышленные вычислители, в основе которых лежат распространённые микропроцессоры как импортного (Intel, AMD, ARM), так и отечественного (Эльбрус, Байкал) производства, что формирует первый уровень абстракции. На втором и третьем уровне абстракции используются серийные операционные системы, имеющие соответствующую сертификацию ФСТЭК (Astra Linux, Alt Linux, Elbrusd, «Нейтрино», QNX). Первые три уровня не зависят от конкретного производителя ИЭУ. Четвертый и пятый уровни абстракции модели кроссплатформенного ИЭУ собственно и представляют собой кроссплатформенное функциональное программное обеспечение ИЭУ и коммуникации МЭК 61850. Требования по информационной безопасности (ИБ) изначально закладываются в информационную модель МЭК 61850 ИЭУ при его создании. ИЭУ, созданные с использованием данной технологии, поддерживают [5]:

- SSL/TLS-шифрование для МЭК 61850-8-1 (MMS) между ИЭУ и другими технологическими подсистемами ЦПС, а также между ЦУС;

- двухфакторную аутентификацию на ИЭУ РЗА и АРМ эксплуатационного и оперативного персонала технологической вычислительной сети (шине станции) ЦПС при удаленном доступе к ИЭУ;

- ролевой доступ к элементам интерфейса ИЭУ в зависимости от функциональных обязанностей персонала;

- протоколирование событий безопасности на уровне отдельного ИЭУ, ЦПС и ЦУС.

В настоящее время мы продолжаем работы по реализации (встраиванию) имитовставки в GOOSE-сообщения. Эта функциональность также станет частью информационной модели МЭК 61850 кросплатформенных ИЭУ.

Реализация 5-уровневой модели кроссплатформенного ИЭУ осуществляется с помощью специализированного «Кодогенератора управляющего ПО», который представляет собой инновационный инструмент создания кроссплатформенных решений для «киберзащищенной ЦПС с динамичной архитектурой», где ИЭУ РЗА – один из функциональных элементов (рис.3).

Инф. безопасность 3. Создание ИЭУ_1612348515405.JPG

Рисунок 3. Процесс создания кроссплатформенного ИЭУ с использованием «Кодогенератора управляющего ПО»

«Кодогенератор управляющего ПО» включает в себя библиотеку компонентов, с помощью которой специалисты предметной области без программирования в визуальном режиме создают логические схемы ИЭУ, проверяют их корректность, определяют состав групп локального периметра безопасности с правами доступа к элементам интерфейса и функциям ИЭУ. При создании логической схемы ИЭУ «Кодогенератор…» автоматически формирует информационную модель МЭК 61850 ИЭУ, включая атрибуты информационной безопасности, что существенно упрощает создание и конфигурирование файлов стандарта МЭК 61850. После создания логической схемы ИЭУ можно подать на её вход заранее подготовленный Comtrade-файл и проверить корректность работы ИЭУ в различных режимах. После этого «Кодогенератор…» генерирует программный код на языке «Cи», который компилируется для выполнения на перечисленных выше аппаратно-программных платформах.  Важно отметить независимость генерируемого программного кода от операционной системы и микропроцессора и его идентичность, а также, типизацию и стандартизацию модели ИБ ИЭУ.

С помощью «Кодогенератора…» создаются ИЭУ различного функционального назначения:

  • ИЭУ РЗА для 6-220 кВ;
  • ИЭУ АСУ ТП, оперативной блокировки, автоматики управления нормальными и аварийными режимами;
  • ИЭУ контроллеры присоединений;
  • ИЭУ технического учета ЭЭ и контроля качества ЭЭ.

Использование «Кодогенератора…» минимизирует количество ошибок при создании ИЭУ, а время его создания, в зависимости от сложности и наличия соответствующего математического аппарата (алгоритмической базы) в «Кодогенераторе...», составляет 2-3 недели.

В таблице 1 приводятся требования по информационной безопасности, реализованные в ИЭУ РЗА, созданном с использованием «Кодогенератора…», соответствующие Распоряжению ПАО «Россети» № 282р от 30.05.2017 г. «Об утверждении требований к встроенным средствам защиты информации автоматизированных систем технологического управления электросетевого комплекса группы компаний «Россети» [6].

 

№ п/п

Идентификатор

Наименование требования

1

FAU_GEN.1

Генерация данных аудита

2

FAU_GEN.2

Ассоциация идентификатора пользователя

3

FAU_SAR.1

Просмотр журналов аудита

4

FAU_STG.1

Защищенное хранение журнала аудита

5

FAU_STG.3

Действия в случае возможной потери данных аудита

6

FAU_STG.4

Предотвращение потери данных аудита

7

FDP_ACC.1

Ограниченное управление доступом

8

FDP_ACF.1

Управление доступом, основанное на атрибутах безопасности

9

FIA_AFL.1

Обработка отказов аутентификации

10

FIA_ATD.1

Определение атрибутов пользователя

11

FIA_UAU.2

Аутентификация до любых действий пользователя

12

FIA_UAU.7

Аутентификация с защищенной обратной связью

13

FIA_UID.2

Идентификация до любых действий пользователя

14

FMT_MSA.1

Управление атрибутами безопасности

15

FMT_MSA.3

Инициализация статических атрибутов

16

FMT_MTD.1

Управление данными ФБО

17

FMT_SMF.1

Спецификация функций управления

18

FMT_SMR.1

Роли безопасности

19

FTA_SSL.1

Блокирование сеанса, инициированное функциями безопасности

Таблица 1. Требования по информационной безопасности, реализованные в ИЭУ релейной защиты и автоматики (РЗА)

 

Таблица 2 показывает детализацию требования FMT_SMR.1 (Роли безопасности) в этом же ИЭУ РЗА.

Название группы

Функциональные обязанности, роли

Права доступа к элементам интерфейса и функциям ИЭУ РЗА

Администратор (ы)

Представители компании-производителя и/или компании, выполняющей ПНР

Полный доступ к элементам интерфейса и параметрированию

Специалист (ы) по ИБ

Специалист по ИБ

Управление пользователями

Эксплуатационный персонал

Специалисты, отвечающие за эксплуатацию ИЭУ (для ИЭУ РЗА – инженеры РЗА)

Параметрирование с некоторыми ограничениями (калибровка, настройка параметров ЛВС)

Оперативный персонал

Специалисты ОВБ, диспетчерский персонал ПС

Ввод/вывод функций РЗА и автоматики, чтение осциллограмм, журнала событий

Читатель

Руководящий персонал ПС

Чтение осциллограмм, журнала событий

Специалист (ы) по АСУ ТП

Инженер по связи, инженер по ИТ

Настройка параметров ЛВС

Таблица 2. Детализация функционального требования FMT_SMR.1 (Роли безопасности) в ИЭУ РЗА

 

ПЕРСПЕКТИВЫ РАЗВИТИЯ РЕШЕНИЙ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ИЭУ РЗА для электрических сетей 6-220 кВ, созданные по описанной технологии, неоднократно представлялись (к примеру, компанией «НИПОМ») на отраслевых научно-технических советах, признаны отраслевым профессиональным сообществом и аттестованы в ПАО «Россети».

Технология позволяет расширить область её применения для типизации и стандартизации ИЭУ различного функционального назначения АСТУ цифровых подстанций (рис.3), т.е. для проектирования ЦПС с заданной степенью централизации/децентрализации и сценариями резервирования в реальном времени - «киберзащищённых ЦПС с динамичной архитектурой». Основными критериями при выборе варианта являются: надежность, стоимость и соответствие отраслевым требованиям и стандартам. 

Инф. безопасность 4. ИЭУ в составе ЦПС_1612348515407.jpg

Рисунок 4. ИЭУ в составе «Киберзащищенной ЦПС с динамичной архитектурой»

 

На «киберзащищённых ЦПС с динамичной архитектурой» подсистема информационной безопасности становится полноценной технологической подсистемой объекта критической информационной инфраструктуры (КИИ) наряду с релейной защитой и автоматикой (РЗА), АСУ ТП, АИИСКУЭ и т.д. Для каждого ИЭУ АСТУ ЦПС типизируется «локальный периметр безопасности», обеспечивающий индивидуальную устойчивость к киберугрозам и возможным несанкционированным или ошибочным действиям.

 

ВЫВОДЫ

  1. Подсистемы релейной защиты и автоматики (РЗА) и АСУ ТП цифровых подстанций (ЦПС) и цифровых промышленных объектов ТЭК являются наиболее критичными компонентами с точек зрения угроз несанкционированного вмешательства. Одна из точек зрения, основанная на абсолютной изоляции указанных подсистем ЦПС, не соответствует перспективам интеллектуализации современной электроэнергетики. Такой подход фактически препятствует дальнейшей оптимизации электроэнергетических систем и формированию технологического управления передачей и распределением электроэнергии, которое должно учитывать растущую долю распределенной мини- и микрогенерации. Предпочтительным является подход к созданию комплексной системы кибербезопасности, структурные компоненты которой учитывают индивидуальные для ЦПС функциональные особенности и правила противодействия киберугрозам.
  2. Технология разработки кибербезопасных решений для кроссплатформенной релейной защиты и автоматики (РЗА) с последующим расширением области её применения на типизацию и стандартизацию ИЭУ различного функционального назначения АСТУ ЦПС позволяет создавать «киберзащищённые ЦПС с динамичной архитектурой».
  3. Использование доверенной аппаратно-программной платформы, базирующейся на отечественных микропроцессорах и сертифицированных ФСТЭК операционных системах для создания кроссплатформенных ИЭУ различного функционального назначения АСТУ цифровых подстанций (ЦПС), предпочтительно для снижения технологической зависимости электроэнергетической отрасли РФ и минимизации угроз и рисков, изложенных в обновлённой «Доктрине энергетической безопасности Российской Федерации».

 

ЛИТЕРАТУРА

[1] Указ Президента РФ № 216 от 13 мая 2019 года «Об утверждении Доктрины энергетической безопасности Российской Федерации»

(http://www.consultant.ru/document/cons_doc_LAW_324378/ )

[2] Федеральный закон № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации»

(http://www.consultant.ru/document/cons_doc_LAW_220885/ )

[3] СТО 34.01-21-004-2019 ПАО «Россети» «Цифровой питающий центр. Требования к технологическому проектированию цифровых подстанций напряжением 110-220 кВ и узловых цифровых подстанций напряжением 35 кВ»

[4] Приказ ФСТЭК России №131 от 30 июля 2018 года «Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (https://fstec.ru/component/attachments/download/2104/  )

[5] Карантаев В.Г. Вопросы кибербезопасности в меняющейся электроэнергетической отрасли. «Релейщик» № 1(33) 2019 г., с. 48-51

[6] Распоряжение ПАО «Россети» № 282р от 30 мая 2017 года «Об утверждении требований к встроенным средствам защиты информации автоматизированных систем технологического управления электросетевого комплекса группы компаний «Россети»

[7] Распоряжение Правительства от 9 июня 2020 г. № 1523-р «Энергетическая  стратегия Российской Федерации на период до 2035 года»


Наверх