В фокусе
Читать
ГлавнаяРубрикиИУС для электроэнергетикиКриптографическая защита информации в интеллектуальных системах учета электроэнергии (ИСУЭ)
25.02.2022

Криптографическая защита информации в интеллектуальных системах учета электроэнергии (ИСУЭ)

19 июня 2020 года вышло Постановление Правительства РФ №890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)». Постановление описывает новые функции, которые должны быть реализованы в ИСУЭ (Интеллектуальных системах учета электрической энергии), например, возможность дистанционного подключения и отключения пользователей услуг, что, безусловно, облегчит администрирование данных систем, но в то же время выведет на первый план вопрос защиты данных, передаваемых по общим каналам связи.

Разберемся, на какие положения нужно обратить внимание при организации мер защиты информации в ИСУЭ, а также рассмотрим средства криптографической защиты информации (СКЗИ), которые для этого понадобятся.


Особенности защиты информации в ИСУЭ

Минэнерго России опубликовало документ, описывающий «Базовую модель угроз и нарушителя ИСУЭ», который устанавливает необходимость применения СКЗИ в ИСУЭ для защиты информации, передаваемой по общедоступным каналам связи. Он содержит систематизированный перечень угроз безопасности информации, влияющих на обеспечение устойчивого функционирования ИСУЭ, и является методическим документом, на который необходимо опираться ИБ-специалистам при организации мер защиты информации, передаваемой по каналам связи. Для систем и их компонентов, которые требуют применения СКЗИ, должна разрабатываться также частная модель угроз безопасности, которая конкретизирует действия внутреннего или внешнего нарушителя.

В настоящий момент предусмотрено использование СКЗИ в ИСУЭ для защиты каналов связи между верхним уровнем (информационно-вычислительный комплекс –– ИВК) и промежуточным уровнем (информационно-вычислительный комплекс электроустановки –– ИВКЭ). Базовая модель угроз для ИСУЭ будет пересмотрена в конце 2023 года в сторону ужесточения. В результате требования по защите каналов связи распространятся на все уровни, включая линии доступа к приборам учета (ПУ).

Так как электроэнергетика входит в перечень отраслей промышленности, объекты которых относятся к критической инфраструктуре, еще один документ, на который необходимо опираться при построении защиты информации в ИСУЭ –– Приказ №239 ФСТЭК России от 25.12.2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Согласно Федеральному закону №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" объектами защиты таких автоматизированных систем управления, как ИСУЭ, являются как информация, циркулирующая в системе, так и программного-аппаратные и программные средства, входящие в ее состав.

Ввиду того, что компоненты ИСУЭ устанавливаются вне контролируемой зоны и их невозможно собрать в один защищенный контур, эти требования предъявляются к каждому устройству и всей информации, что передается между ними.

Учитывая особенности размещения компонентов ИСУЭ и указанные выше требования, защищать каждый прибор учета или устройство сбора и передачи данных наложенными средствами защиты нецелесообразно –– это затратно, долго и сложно в обслуживании. Установить межсетевые экраны и криптошлюзы на всем периметре инфраструктуры для каждого устройства –– невозможно. В случае с ИСУЭ целесообразно использование встраиваемых криптографических средств защиты информации: решение масштабируется вне зависимости от количества устройств и территориального распределения, специализированные СКЗИ устанавливаются для каждого уровня ИСУЭ.

Также не стоит забывать, что встраивание криптографической функции в ИСУЭ может значительно повлиять на пропускную способность каналов за счет дополнительных вычислительных операций, поэтому СКЗИ должны воздействовать на этот параметр минимально. Большинство применяемых в ИСУЭ протоколов не является TCP/IP: СПОДЭС, СПОДУС, ПИРС, Nb-Fi, LoRA, XNB и работают на каналах с низкой пропускной способностью, поэтому средства защиты информации должны стабильно функционировать с учетом этого фактора и при этом работать с более чем сотней тысяч приборов.

Теоретически возможна как программная, так и аппаратная реализация функций СКЗИ в компонентах ИСУЭ, оба эти подхода имеют право на жизнь, однако разработчикам и производителям оборудования для систем учета электроэнергии необходимо отдавать себе отчет в том, что программная реализация средств защиты накладывает значительный объем дополнительных требований к разрабатываемым устройствам, превращая их по сути в СКЗИ, что влечет за собой, помимо затрат на собственно само программное СКЗИ, необходимость сертификации конечного продукта и обеспечения организационных мер защиты. Всех этих сложностей можно избежать, выбрав способ реализации криптозащиты на отдельном модуле, встраиваемом на уровне компонентов.

Еще одной особенностью применения встраиваемых решений в ИСУЭ является тот факт, что защищаемые устройства устанавливаются вне контролируемой зоны, а срок их эксплуатации значительно больше, чем срок действия заключения регулятора для СКЗИ. Поэтому разработчикам необходимо провести дополнительные работы по увеличению срока службы встраиваемых компонентов и расширению срока действия их ключевой информации, а также решить вопрос с защитой устройства, учитывая возможность доступа к нему посторонних лиц.

Многие решения производителей средств защиты информации пока находятся в стадии разработки, и являются недостаточно зрелыми, чтобы закрывать потребности такого огромного рынка.


Решение для защиты ИСУЭ сегодня

Ввиду ужесточения требований к организации защиты информации в ИСУЭ и необходимости уже сейчас внедрять СКЗИ в инфраструктуру, производителям стоит выбирать вендора с готовым и зарекомендовавшим себя решением. Компания «ИнфоТеКС» еще 6 лет назад начала разрабатывать решение ViPNet SIES. Это встраиваемое СКЗИ для интеграции в автоматизированные системы управления и системы межмашинного взаимодействия, которое можно полноценно применять для защиты информации в ИСУЭ. Компоненты ViPNet SIES встраиваются в компоненты ИСУЭ и обеспечивают защиту информации при ее передаче по каналам связи. Для этого в компонентах ViPNet SIES используется криптографический протокол CRISP (Рекомендация по стандартизации РФ P 1323565.1.029-2019), имеющий минимальный объем дополнительных служебных данных из всех стандартизованных протоколов в РФ при отсутствии необходимости установления сессионного обмена. Применение CRISP оптимально для защиты данных в каналах с низкой пропускной способностью и подходит для защиты сразу всех используемых в ИСУЭ протоколов.


Решение ViPNet SIES для защиты информации в ИСУЭ. Компоненты решения.


Решение ViPNet SIES для защиты информации в ИСУЭ. Компоненты решения.



Решение ViPNet SIES, обеспечивающее защиту между ИВК и ИВКЭ, будет включать следующие продукты:

  1. Программно-аппаратный криптомодуль ViPNet SIES Core, предназначенный для встраивания в УСПД на уровне ИВКЭ. ViPNet SIES Core сертифицирован ФСБ России по требованиям к СКЗИ класса КС3 и может применяться вне контролируемой зоны при использовании датчика несанкционированного доступа.
  2. Программное обеспечение ViPNet SIES Unit, которое может быть использовано для установки на серверы ИВК. ViPNet SIES Unit сертифицирован ФСБ России по требованиям к СКЗИ класса КС3 и КС1.
  3. Программно-аппаратный комплекс (ПАК) ViPNet SIES МС, выполняющий функции Центра управления. Он предназначен для создания, распределения и обновления ключевой информации, управления, мониторинга и учета ViPNet SIES Core и ViPNet SIES Unit. ПАК сертифицирован ФСБ России по требованиям к СКЗИ класса КС3.



Схема защиты ИСУЭ с помощью ViPNet SIES

Схема защиты ИСУЭ с помощью ViPNet SIES



Отметим, что ViPNet SIES MC имеет открытый API, что значительно расширяет возможности применения решения и позволяет интегрировать СКЗИ сторонних разработчиков в ViPNet SIES.

ViPNet SIES является полностью законченным решением, включающим все необходимые элементы: компоненты для внедрения в УСПД, компоненты для интеграции с ИВК и центр генерации ключей.

ViPNet SIES позволяет реализовать защиту информации в соответствии с текущими требованиями регулятора. Во-первых, криптографические операции вынесены в отдельный модуль и доступны по API, это значит, что разработчику ИСУЭ не нужно самостоятельно разбираться в криптографии. Во-вторых, производителю не нужно сертифицировать УСПД и ИВК как СКЗИ. В-третьих, криптографическими вычислениями в ViPNet SIES занимается отдельный модуль, поэтому для УСПД нет необходимости проводить ресурсоемкие операции, дающие дополнительные нагрузки на процессор. В-четвертых, защита ключевой информации происходит в самом СКЗИ.

В настоящий момент ИнфоТеКС разрабатывает следующее поколение продуктов СКЗИ для защиты ИСУЭ, который позволит включить в схему решения также и приборы учета, это позволит защищать информацию на всех уровнях.

В ближайшем будущем в состав ViPNet SIES войдут:

  • Крипточип ViPNet SIES Core Nano. Это СКЗИ российского производства, реализованное по принципу System-on-a-Chip и имеющее компактный размер –– 3х3мм, что позволяет встраивать его практически в любое конечное оборудование, в том числе в приборы учета электроэнергии.
  • ПАК ViPNet SIES Core NR, выполненный в виде платы для встраивания в УСПД на уровне ИВКЭ.



В ViPNet SIES Core Nano и ViPNet SIES Core NR предусмотрено хранение ключевой информации сроком до 16 лет (без смены). Информация будет защищена от несанкционированного доступа на уровне аппаратной платформы. Продукт разрабатывается с учетом требований ФСБ России к СКЗИ класса КС3 и требованиям к СКЗИ-НР. Плановый срок завершения сертификации –– конец 2023 года.


Вывод

Подводя итог вышесказанному, следует отметить, что защищать каждый прибор учета электрической энергии или устройства сбора и передачи данных с помощью наложенных средств защиты информации нецелесообразно и экономически невыгодно. Вместе с тем, вопрос организации защиты информации, передаваемой по открытым каналам связи в ИСУЭ, стоит остро ввиду нарастающих административных требований и ужесточения нормативов и санкций за их несоблюдение. Оптимальный вариант защиты информации в данном случае –– встраиваемое решение. Выбирая ViPNet SIES, производитель компонентов ИСУЭ уже сейчас получает сертифицированную защиту информации, передаваемой по открытым каналам связи, в том числе с учетом новых требований к защите информации в приборах учета электроэнергии.

Источник.

Версия для печати80 просмотров.
Оцените статью по: