Заявка на решение
«Защита ИСУЭ»
Запрос отправлен
Наш специалист свяжется с вами для детального обсуждения задачи в течение 1–2 дней
* — обязательные для заполнения поля
Нажимая на кнопку «Отправить», я даю своё согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определённых Политикой АО «ИнфоТеКС» в отношении обработки персональных данных.
Защита ИСУЭ
Постройте комплексную защиту на всех уровнях ИСУЭ

Описание

С принятием в 2018 году Федерального закона N 522-ФЗ в России начался переход к интеллектуальному учету электроэнергии. Данный закон ввел понятие "интеллектуальной системы учета электрической энергии (мощности)" (ИСУЭ).

ИСУЭ - это "совокупность функционально объединенных компонентов и устройств, предназначенная для удаленного сбора, обработки, передачи показаний приборов учета электрической энергии, обеспечивающая информационный обмен, хранение показаний приборов учета электрической энергии, удаленное управление ее компонентами, устройствами и приборами учета электрической энергии".

ИСУЭ может иметь два или три функциональных уровня, объединенных различными каналами связи.

Двухуровневая ИСУЭ состоит из приборов учета (ПУ) на нижнем уровне и информационно-вычислительного комплекса (ИВК) на верхнем. ПУ передают данные по различным каналам связи непосредственно в ИВК.

Трехуровневая ИСУЭ имеет еще средний уровень - информационно-вычислительный комплекс электроустановки (ИВКЭ). На этом уровне обычно используются устройства сбора и передачи данных (УСПД) или базовые станции.

УСПД обеспечивает сбор данных с приборов учета, накопление собранной информации и ее передачу в ИВК (обычно по беспроводным каналам связи), а также приём информации из ИВК и отправку её в ПУ.

Эксплуатация оборудования ИВК выполняется в пределах границ контролируемой зоны, УСПД и ПУ обычно устанавливаются вне границ контролируемой зоны.

Большинство применяемых в ИСУЭ протоколов передачи данных (СПОДЭС, СПОДУС, ПИРС, Nb-Fi, LoRA, XNB и т.д.) работают на каналах связи с низкой пропускной способностью. Чаще всего это беспроводные сети GSM, LoRAWAN, ZigBee, Nb-IoT, Nb-Fi, однако встречаются и проводные сети Ethernet, RS-485, а также электрические сети с передачей данных на основе Power-line communication (PLC).

Применяемые средства защиты информации должны стабильно функционировать с учетом этого фактора, а также учитывать количественные характеристики ИСУЭ - от сотен точек учета небольших энергосбытовых компаний до десятков миллионов у крупных.

Согласно постановлению Правительства РФ от 19.06.2020 № 890 «O порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)», к ИСУЭ предъявляется ряд обязательных требований по обеспечению информационной безопасности.  Минэнерго России разработана «Базовая модель угроз безопасности информации ИСУЭ», согласно которой к объектам защиты должны быть отнесены в том числе данные, обмен которыми осуществляется между ИВК и ПУ, и между ИВК и ИВКЭ (УСПД). Согласно базовой модели угроз, применение средств криптографической защиты информации (СКЗИ) между уровнями ИВК и ИВКЭ является обязательным, а применяемые СКЗИ должны использовать криптографические протоколы, утвержденные для использования в ИСУЭ Приказом Минцифры от 30.12.2020 № 788.

Для определения классов СКЗИ и необходимости применения СКЗИ на других уровнях владельцы ИСУЭ должны разработать частную модель угроз и нарушителя.

Пример общей структурно-коммуникационной схемы ИСУЭ и ПУ

Решение

Для организации надежной защиты информации, передаваемой по каналам связи ИСУЭ, компания ИнфоТеКС разработала решение ViPNet SIES (Security for Industrial and Embedded Solutions).

Это решение соответствует требованиям нормативной-правовой базы Российской Федерации в области защиты информации, не содержащей сведений, составляющих государственную тайну, и Федеральному закону № 187-ФЗ от 26.07.2017.

Решение ViPNet SIES – это комплекс средств криптографической защиты информации, предназначенный для обеспечения информационной безопасности широкого спектра устройств, входящих в ИСУЭ:

  • в приборы учета электроэнергии (ПУ) производителем встраивается крипточип ViPNet SIES Core Nano, который имеет набор инженерных мер защиты в соответствии с требованиями к СКЗИ-НР (некорректируемой регистрации) и может эксплуатироваться вне контролируемой зоны;
  • в устройства сбора и передачи данных (УСПД), шлюзы, базовые станции производителем устройств встраивается аппаратный криптомодуль ViPNet SIES Core, который может использоваться в устройстве вне контролируемой зоны (при использовании датчика вскрытия корпуса устройства);
  • в информационно-вычислительном комплексе (ИВК) на сервер сбора и обработки информации или на отдельный сервер, размещаемый внутри контролируемой зоны (исключающей доступ посторонних лиц), устанавливается ПО ViPNet SIES Unit. При установке на отдельный сервер поддерживается работа с резервированным кластером сервера сбора и обработки информации.

Эти СКЗИ осуществляют шифрование отправляемых и расшифрование принимаемых данных на защищаемых устройствах, проверку целостности полученных данных.

Для защиты данных, передаваемых по каналам связи ИСУЭ, используется криптографический протокол CRISP.

Протокол принят как стандарт ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем», и входит в перечень утвержденных Приказом Минцифры.

CRISP обеспечивает защиту прикладного и служебного взаимодействия между защищаемыми устройствами поверх используемого протокола связи, позволяет фрагментировать и ограничивать размеры пакетов.

Отличительными особенностями CRISP являются небольшой объем добавляемых данных, отсутствие необходимости установления сессии, возможность фрагментирования и ограничения размера пакетов. 

Передача защищенных данных осуществляется штатными средствами по уже используемым ИСУЭ открытым каналам связи. 

Для ввода в эксплуатацию и управления средствами защиты SIES в инфраструктуре решения используются следующие управляющие компоненты:

  • ПАК ViPNet SIES MC – центр управления;
  • ViPNet SIES Smartmeter WS – программное обеспечение для инициализации и ввода в эксплуатацию криптомодулей;
  • ПАК ViPNet SIES HSM – ключевой центр для крипточипов.

ViPNet SIES MC — центр управления SIES-узлами (устройствами, в которые встроены СКЗИ). Он устанавливается на верхнем уровне системы и контролирует состояние и режимы работы SIES-узлов, централизованно управляет ключевой информацией. 

ViPNet SIES Smartmeter WS — ПО для установки на АРМ локального обслуживания. Применяется совместно с центром управления ViPNet SIES MC. Используется для инициализации криптомодулей перед вводом в эксплуатацию, а также для их локального обслуживания в ходе эксплуатации. Позволяет транслировать служебные команды на криптомодули в отсутствие связи с центром управления ViPNet SIES MC.

ПО ViPNet SIES Smartmeter WS имеет автоматизированный сценарий ввода в эксплуатацию криптомодулей для систем с топологией «звезда».

ПАК ViPNet SIES HSM - ключевой центр для крипточипов ViPNet SIES Core Nano. ПАК ViPNet SIES HSM генерирует ключевую информацию для загрузки в крипточип и предоставляет ее по запросу центра управления ViPNet SIES MC для защищенного взаимодействия крипточипа с другими компонентами системы. 

Ключевой центр ViPNet SIES HSM и центр управления ViPNet SIES MC могут использоваться для управления несколькими независимыми системами (сетями).

Защищенная ИСУЭ

Преимущества для защиты информации в сетях ИСУЭ
1
Криптографические операции вынесены в отдельный модуль и доступны по API – разработчику нет необходимости разбираться в криптографии
2
Криптографическими вычислениями занимается отдельный модуль, для устройств нет необходимости выполнения ресурсоемких операций
3
Ключевая информация хранится в отдельном модуле, к устройствам не предъявляются специальные требования
4
Используются сертифицированные СКЗИ – сертификация устройств не требуется, получение лицензии на разработку и производство СКЗИ не требуется, достаточно оценки влияния
Преимущества для эксплуатирующих компаний
1
Возможность использования одного решения для разных типов сетей передачи
2
Использовать СКЗИ без значительной модификации топологии информационных потоков в системе, работающей по промышленным протоколам
3
Реализовать различные сценарии защиты информации, в том числе с учётом мер, предусмотренных нормативными правовыми актами и документами
4
Централизованно управлять ключевой информацией
Сценарии использования

В соответствии с решением протокола совещания у Заместителей Председателя Правительства РФ А.В. Новака и Ю.И. Борисова от 09.04.2021 г. и положениями «Базовой модели угроз безопасности информации интеллектуальной системы учета электрической энергии», разработанной Минэнерго России, использование СКЗИ в ИСУЭ должно осуществляться в два этапа:

  • на первом этапе – при использовании СКЗИ только на каналах связи между верхним уровнем (ИВК) и промежуточным уровнем (ИВКЭ);
  • на втором этапе – при использовании СКЗИ на всех уровнях ИСУЭ, включая приборы учета (ПУ).

Первый этап

Информационное взаимодействие ИВКЭ и ИВК осуществляется в следующем порядке:

  • Контроллер УСПД обрабатывает полученные от приборов учета данные и в соответствии со своим алгоритмом работы направляет их в SIES Core для выполнения криптографических преобразований. SIES Core возвращает защищенную информацию контроллеру УСПД для передачи ее в ИВК.
  • ИВК, получив защищенные (зашифрованные) данные от УСПД, направляет их в SIES Unit для выполнения обратных криптографических преобразований (расшифрования). SIES Unit после выполнения криптографических операций возвращает информацию в открытом виде в прикладное ПО ИВК для дальнейшей обработки.

Формирование транспортных пакетов в форматах СПОДЭС, СПОДУС и МЭК 60870-5-104 реализуется средствами УСПД и прикладным ПО ИВК.

Второй этап

Информационное взаимодействие ПУ, ИВКЭ и ИВК осуществляется в следующем порядке:

  • Прибор учета формирует блок информации для передачи в УСПД и обращается к крипточипу для выполнения криптографических преобразований. Крипточип выполняет запрошенные криптографические операции и возвращает результат прибору учета, который своими средствами направляет защищенную информацию в адрес УСПД.
  • УСПД принимает защищенную информацию от прибора учета и направляет ее в SIES Core для осуществления криптографических преобразований. SIES Core производит необходимые криптографические операции с полученной от ПУ информацией и возвращает данные в открытом виде контроллеру УСПД.
  • Контроллер УСПД обрабатывает полученные от приборов учета данные и в соответствии со своим алгоритмом работы направляет их в SIES Core для выполнения криптографических преобразований. SIES Core возвращает защищенную информацию контроллеру УСПД для передачи ее в ИВК.
  • Прикладное ПО ИВК, получив защищенную информацию от УСПД, направляет ее в SIES Unit для криптографических преобразований. SIES Unit после выполнения криптографических операций возвращает информацию в открытом виде в прикладное ПО ИВК для дальнейшей обработки.  

Формирование транспортных пакетов в форматах СПОДЭС, СПОДУС и МЭК 60870-5-104 реализуется средствами ПУ, УСПД и прикладным ПО ИВК.

Дополнительная информация

Для обучения разработке устройств, использующих  СКЗИ ViPNet SIES, совместно с НИУ «МЭИ» разработан учебный курс «Введение в разработку защищенных ИСУЭ и АСУ ТП с использованием ViPNet SIES», проводимый на базе Лаборатории по криптографической защите объектов электроэнергетики.

Для проведения работ по оценке влияния УСПД, шлюзов и ПУ при встраивании СКЗИ ViPNet SIES можно воспользоваться услугами испытательной лаборатории «СФБ Лаб», входящей в состав группы компаний «ИнфоТеКС».

Для обучения администраторов безопасности, отвечающих за эксплуатацию подсистемы ИБ ИСУЭ, рекомендуется курс Учебного центра ИнфоТеКС Администрирование ViPNet SIES MC (infotecs-edu.ru).

Заказать обратный звонок
Наш менеджер свяжется с вами в течение рабочего дня
Нажимая на кнопку «Отправить», я даю своё согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определённых Политикой АО «ИнфоТеКС» в отношении обработки персональных данных.