Пояснительная записка к проекту Постановления Правительства Российской Федерации "Об установлении Требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем" (подготовлен Минэнерго России 20.01.2017)

Пояснительная записка к проекту Постановления Правительства Российской Федерации "Об установлении Требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем"
(подготовлен Минэнерго России 20.01.2017 г.)

Текст проекта

Досье на проект

В настоящее время в электроэнергетике в технологических процессах производства и передачи электроэнергии и тепла активно применяются автоматизированные системы управления.

Сложность данных технологических процессов обуславливает усложнение систем и алгоритмов управления объектами - участниками технологических процессов, что повышает уязвимость объектов электроэнергетики (угрозы удаленного управления объектами, нарушение целостности информации, на основе которой принимаются управленческие решения).

В соответствии со ст. 28 федерального закона Российской Федерации от 26.03.2003 N 35-ФЗ "Об электроэнергетике" предусмотрено государственное регулирование надежности и безопасности в сфере электроэнергетики.

В соответствии с п. 2 ст. 28 Федерального закона N 35-ФЗ в состав мер государственного регулирования надежности и безопасности в сфере электроэнергетики входят принятие нормативных правовых актов Российской Федерации, устанавливающих требования к обеспечению надежности электроэнергетических систем, надежности и безопасности объектов электроэнергетики и энергопринимающих установок.

Автоматизированная система управления технологическим процессом (АСУ ТП) - группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. В состав АСУ ТП могут входить отдельные системы автоматического управления (САУ) и автоматизированные устройства, связанные в единый комплекс. Такие как системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), и другие более мелкие системы управления.

От корректной работы и алгоритмов АСУ ТП и её составляющих компонентов непосредственно зависит надёжность и безопасность объектов и энегопринимающих установок, участвующих в едином технологическом процессе.

В связи с тем, что системы удаленного мониторинга и диагностики технического состояния основного оборудования объектов электроэнергетики интегрируется с АСУ ТП и имеют в качестве одной из компонент САУ, установленную на самом оборудовании, требуется принятие мер по обеспечению безопасности данных систем. Кроме того, в настоящее время разработчиками и поставщиками данных систем и их компонентов преимущественно являются иностранные компании.

В соответствии с п. 1 ст. 11 Федерального закона Российской Федерации от 21.07.2011 N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса" в целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса должны создавать на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.

В настоящее время требования к средствам защиты информации, в целом информационной безопасности объектов электроэнергетики устанавливаются государственными стандартами, и приказами федеральных органов исполнительной власти (ФСБ России, ФСТЭК России). Вместе с тем, требования к информационной безопасности, устанавливаемые государственными стандартами Российской Федерации, не имеют нормативного, обязывающего характера и отсутствует модель угроз информационной безопасности автоматизированных систем управления на объектах электроэнергетики.

Кроме того, в соответствии с постановлением Правительства Российской Федерации от 01.12.2009 N 982 "Сети, системы и комплексы вычислительные электронные цифровые" (ОКОФ 143020190) до 2013 года были включены в перечень продукции, подлежащей обязательной сертификации. Указанное постановление принято во исполнение Федерального закона Российской Федерации от 27.12.2002 N 184-ФЗ "О техническом регулировании".

Федеральным законом Российской Федерации от 27.12.2002 N 184-ФЗ "О техническом регулировании" не предусмотрено регулирование отношений, связанных с разработкой, принятием, применением и исполнением требований к осуществлению деятельности в области промышленной безопасности, безопасности технологических процессов на опасных производственных объектах, требований к обеспечению надежности и безопасности электроэнергетических систем и объектов электроэнергетики (п. 4 ст. 1 ФЗ N 184-ФЗ от 27.12.2002).

Таким образом, в целях обеспечения надежности и безопасности объектов электроэнергетики, для мониторинга и управления которыми применяются автоматизированные системы управления, необходимо рассмотрение и принятие проекта постановления Правительства Российской Федерации "Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем" (далее - проект постановления).

В рамках проекта постановления предлагается принятие комплекса мер по обеспечению информационной безопасности систем удаленного мониторинга и диагностики, прямо или косвенно влияющих на надёжность и безопасность функционирования критически важного энергетического оборудования.

Предлагаемые проектом постановления требования позволят установить адаптированные к общественным отношениям в сфере электроэнергетики единые правила, применимые для компаний, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики, производителей программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики, организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, компаний - заявителей на осуществление сертификации продукции в системе сертификации ФСТЭК России. Кроме того, введение обязательной сертификации систем удаленного мониторинга и диагностики критически важного энергетического оборудования обяжет иностранного производителя создать на территории Российской Федерации центры обработки данных и аналитические центры для российских потребителей услуг.

Проект постановления Правительства Российской Федерации "Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем", не противоречит действующим нормативным правовым актам в сфере обеспечения безопасности информационных систем, соответствует положениям Договора о Евразийском экономическом союзе, а также положениям иных международных договоров Российской Федерации.