ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

6 Организация деятельности по информационной безопасности

 

6.1 Внутренняя организация деятельности по обеспечению информационной безопасности

6.1.1 Роли и обязанности по обеспечению информационной безопасности

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.1, является следующим:

Инженеры систем управления, инженеры систем телекоммуникаций и другие сотрудники должны быть уведомлены о возложенных на них ролях и обязанностях в части, касающейся аспектов ИБ систем управления технологическими процессами.

6.1.2 Разделение обязанностей

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.2, отсутствует.

6.1.3 Контакт с органами управления и ведомствами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.3, является следующим:

Прикладные системы и инфраструктура систем управления технологическими процессами энергообеспечения могут быть частью критически важных инфраструктур и иметь важное значение для функционирования сообщества, общества и экономики в целом. Поэтому операторы таких систем должны поддерживать контакт со всеми соответствующими органами управления и ведомствами. В дополнение к соответствующим государственным ведомствам (пожарная служба, инспекции и т.д.) это могут быть, например:

- национальные и международные учреждения и инициативы по сотрудничеству в области защиты важнейших инфраструктур;

- национальные и международные команды реагирования на инциденты в компьютерной безопасности;

- организации гражданской обороны и группы по оказанию помощи в случае стихийных бедствий;

- аварийно-спасательные организации и персонал организации.

Для операторов критически важных компонентов инфраструктуры могут применяться дополнительные законы, локальные подзаконные акты и нормативные акты, касающиеся организации взаимодействия с органами управления и ведомствами. Энергетическим компаниям следует удостовериться в том, чтобы информация, полученная в результате контактов с органами управления и ведомствами, анализировалась и оценивалась в контексте организации экспертами по тематическим вопросам и своевременно распространялась среди ответственных сторон внутри организации.

Дополнительная информация для ИСО/МЭК 27002:2013, 6.1.3, является следующей:

Во время работы системы, оперативного планирования и подготовительных работ для исключительных ситуаций может потребоваться информация о метеоусловиях. Поэтому следует установить прямой контакт с соответствующими местными, региональными и национальными метеорологическими службами и соответствующими информационными службами (например, предупреждение о грозе, обнаружение молний).

6.1.4 Контакты с заинтересованными профессиональными группами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.4, является следующим:

В целях обмена информацией по вопросам безопасности, связанным с мерами обеспечения безопасности за конкретными процессами, и содействия межорганизационному сотрудничеству, следует поддерживать контакты с национальными и международными ассоциациями поставщиков и операторов и их соответствующими рабочими группами, занимающимися вопросами безопасности. Процесс информирования учитывает применимый правовой контекст.

Энергетические компании должны обеспечить в контексте организации анализ и оценку экспертами по тематическим вопросам информации, полученной в результате контактов с заинтересованными профессиональными группами, и своевременное ее распространение среди ответственных сторон внутри организации.

6.1.5 Информационная безопасность при управлении проектами

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.5, отсутствует.

6.1.6 ИБЭ-идентификация рисков, связанных с внешними сторонами

Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:

Мера обеспечения безопасности

Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности.

Рекомендация по реализации

Системы управления технологическими процессами могут состоять из сложных индивидуально настроенных систем и компонентов. Поставщики систем, интеграторы и другие внешние стороны зачастую принимают активное участие в обслуживании и эксплуатации этих систем. Что касается процессов технического обслуживания и устранения неисправностей, то, возможно, этим внешним сторонам необходимо использовать системы дистанционного доступа, которые позволяют осуществлять техническое обслуживание из отдаленных районов. Возможно также, что сотрудники внешних сторон также нуждаются в доступе к контролируемым с точки зрения безопасности районам для проведения технического обслуживания на местах.

Тесное сотрудничество между различными системными операторами на уровнях производства, генерации, передачи и распределения может потребовать тесной взаимосвязи систем управления и сетей связи различных организаций. Кроме того, внешние стороны, такие как поставщики, системные интеграторы или деловые партнеры, также могут требовать доступ к информации, относящейся к критически важным активам.

Риски, связанные с доступом такой внешней стороны к критически важным активам и соответствующей информации, должны оцениваться и приниматься во внимание, особенно с точки зрения подверженности риску физического процесса, который подлежит контролю или мониторингу. Если внешние стороны имеют доступ к критически важным активам или конфиденциальной информации, то должно быть гарантировано, например, на основе договорных соглашений, чтобы они обеспечили сопоставимый уровень безопасности, определенный для внутренней организации энергетической компании.

6.1.7 ИБЭ-решение вопросов безопасности при работе с потребителями

Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:

Мера обеспечения безопасности

Все выявленные требования безопасности должны быть учтены до предоставления потребителям доступа к информации или активам предприятия.

Рекомендация по реализации

Сложные и разнообразные отношения между владельцами активов, системными операторами, поставщиками услуг и внутренними и внешними потребителями в секторе энергоснабжения могут привести к разграничению ответственности в отношении технического обслуживания, эксплуатации и владения активами.

В качестве примера можно привести следующее:

- внутренний поставщик услуг, который отвечает за эксплуатацию и техническое обслуживание инфраструктуры сети передачи или распределения, выделенной для отдельного внутреннего организационного подразделения;

- поставщик услуг, отвечающий за эксплуатацию и техническое обслуживание электростанций или объектов распределенной генерации;

- внутренний или внешний поставщик услуг, который отвечает за функционирование инфраструктуры управления технологическими процессами;

- внутренний или внешний потребитель, подключенный к инфраструктуре энергоснабжения и связанным с ней системам управления технологическими процессами и коммуникационной инфраструктуре.

Такие разнообразные и/или сложные деловые отношения должны приниматься во внимание при определении и удовлетворении требований безопасности, необходимых для предоставления потребителю доступа к информации или активам. При размещении оборудования в помещениях других энергокомпаний или потребителей или при наличии взаимосвязанных систем управления технологическими процессами следует учитывать меры, описанные в 11.3.1, 11.3.2, 11.3.3 и 13.1.5.