ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

11 Физическая безопасность и защита от воздействия окружающей среды

 

11.1 Зоны безопасности

11.1.1 Периметр физической безопасности

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.1.1, является следующей:

Компоненты, особенно в системах передачи и распределения энергии и в области распределенной выработки и производства, распределяются по децентрализованным участкам. Оборудование размещается в диспетчерских и технических помещениях в здании компании и в периферийных, потенциально незанятых местах. Иногда оборудование размещается в помещениях внешних сторон или в общественных местах. Как правило, невозможно достичь всеобъемлющего уровня физической защиты периферийных объектов; поэтому следует оценивать и, при необходимости, уменьшать степень риска с помощью дополнительных и компенсационных мер обеспечения безопасности.

11.1.2 Меры управления физическим доступом

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 11.1.2, является следующей:

Следует также рассмотреть вопрос об использовании физических систем управления доступом для периферийных объектов, где расположены критически важные активы (см. 11.1.9).

11.1.3 Безопасность зданий, помещений и оборудования

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.3, отсутствует.

11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.4, отсутствует.

11.1.5 Работа в зонах безопасности

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.5, отсутствует.

11.1.6 Зоны погрузки и разгрузки

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 11.1.6, отсутствует.

11.1.7 ИБЭ-обеспечение безопасности центров управления

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Следует спроектировать, разработать и применять меры по обеспечению физической безопасности центров управления, например, там, где размещены серверы систем управления, ЧМИ и вспомогательные системы.

Рекомендация по реализации

Для защиты объектов центральной системы управления, таких как центральное диспетчерское управление или диспетчерские пункты централизованных или распределенных электростанций, генерирующих или производственных блоков (далее - центры управления), необходимо учитывать следующие моменты:

a) для строительства центров управления следует выбрать участок, расположенный на твердом грунте; в тех случаях, когда такой твердый грунт отсутствует, следует принять соответствующие меры для обеспечения достаточной несущей способности грунта фундамента;

b) для центров управления следует выбрать участок, на котором меньше всего ожидается ущерб, наносимый окружающей средой - ветром, водой и т.д.; если какой-либо существующий участок подвержен таким угрозам окружающей среды, то следует принять соответствующие меры для предотвращения такого ущерба;

c) для центров управления следует выбирать площадку, где потенциальный ущерб от сильных электромагнитных полей незначителен; если существующая площадка подвергается воздействию сильных электромагнитных полей, то следует принять соответствующие меры для защиты оборудования в помещениях центров управления с использованием электромагнитного экранирования;

d) центры управления не должны располагаться на объектах, непосредственно примыкающих к объектам, используемым для хранения опасных материалов, представляющих угрозу взрыва или горения;

e) если центр управления расположен в районе, подверженном стихийным бедствиям, таким как землетрясение, цунами, извержение вулкана и торнадо, то здания центра управления должны иметь противоаварийную конструкцию;

f) здания центра управления должны быть огнеупорными или огнестойкими;

g) здания центра управления должны быть спроектированы с достаточной структурной устойчивостью для удовлетворения всех необходимых требований к нагрузке на пол; для существующих объектов должны быть приняты соответствующие меры по обеспечению адекватной структурной устойчивости для удовлетворения всех необходимых требований к нагрузке на пол;

h) в центрах управления должны быть установлены автоматические системы пожарной сигнализации, включая соответствующие системы раннего обнаружения и пожаротушения.

Информация для энергетических компаний

Активы системы управления технологическими процессами иногда размещаются во внешнем центре обработки данных вместе с другими информационно-телекоммуникационными активами (ICT). Физическое разделение между системами управления и другими системами ICT и строгое "разделение обязанностей" имеют важное значение, когда внешние операторы управляют либо ICT, либо системами управления. Во многих случаях это происходит на объекте, удаленном от центра обработки данных и находящемся под управлением энергокомпании.

11.1.8 ИБЭ-обеспечение безопасности для помещений с оборудованием

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Следует спроектировать, разработать и внедрить меры по обеспечению физической безопасности помещений, в которых расположены системы управления, используемые энергетическими предприятиями.

Рекомендация по реализации

Для защиты помещения, в котором расположено оборудование системы управления, используемого энергетическими предприятиями (здесь и далее - помещения системы управления), следует рассмотреть следующие меры по управлению:

a) помещение системы управления должно быть расположено там, где оно в наименьшей степени подвержено воздействию внешних факторов, таких, как экстремальные условия окружающей среды или стихийные бедствия; для существующих помещений системы управления, следует принять надлежащие меры для его защиты от опасного внешнего воздействия;

b) помещение системы управления должно располагаться там, где доступ постороннего персонала ограничен; для существующих помещений систем управления должны быть приняты адекватные меры по предотвращению или обнаружению возможного несанкционированного доступа;

c) по возможности помещение системы управления должно быть свободным. Должно быть дано минимум указаний на его использование в качестве помещения для оборудования системы управления технологическими процессами;

d) помещение системы управления должно располагаться там, где оно наименее подвержено затоплению или другому попаданию воды. Если помещение не соответствует этому требованию, то для предотвращения этого должны быть приняты необходимые меры, такие как повышение уровня пола, водонепроницаемость конструкции здания или установка специальных водоотводных сооружений и т.д.;

e) помещение системы управления должно быть расположено там, где оно лучше всего защищено от сильных электромагнитных полей. Если помещение не соответствует этому требованию, то оно должно быть защищено электромагнитными щитами или другими подходящими мерами. Это особенно важно в непосредственной близости от высоковольтного/сильноточного оборудования или трансформаторов и т.д. Меры защиты от электромагнитного излучения следует применять также в том случае, если помещение оборудования системы управления используется в качестве хранилища данных и/или для резервного копирования данных;

f) компоненты с повышенными требованиями к безопасности должны размещаться в специально отведенном аппаратном помещении системы управления с повышенной физической защитой;

g) в районах с риском землетрясения следует принимать меры для предотвращения обрушения и падения предметов и материалов, используемых для защиты пола, стен, крыш от обвалов и обрушения;

h) противопожарные мероприятия должны осуществляться для оборудования систем управления и помещений хранения данных;

i) следует принять меры для устранения неисправностей, вызванных статическими зарядами;

j) воздуховоды, соединяющие помещения оборудования системы управления, должны быть спроектированы таким образом, чтобы замедлить или предотвратить распространение огня;

k) автоматическая пожарная сигнализация должна быть установлена в помещениях систем управления и кондиционирования воздуха;

l) огнетушители должны устанавливаться в помещениях систем управления и кондиционирования воздуха;

m) помещения системы управления должны быть проветриваемые по мере необходимости. Наличие кондиционера должно быть обеспечено, например, путем защиты его от отключения электроэнергии.

Примечание - Если помещение системы управления расположено на периферийных объектах, то не все рекомендации руководства полностью применимы (см. 11.1.9).

 

11.1.9 ИБЭ-защита периферийных объектов

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 11.1, является следующей:

Мера обеспечения безопасности

Для периферийных объектов, где расположено оборудование системы управления, используемое энергетическими компаниями, должны быть спроектированы, разработаны и внедрены средства управления физической безопасностью или применены соответствующие контрмеры для снижения риска, если достаточный уровень физической защиты периферийных объектов недостижим.

Рекомендация по реализации

Особенно в сетях передачи и распределения электроэнергии, а также в распределенных системах генерации и производства, компоненты инфраструктуры системы управления могут быть распределены по периферийным участкам, которые часто остаются незанятыми. Для защиты таких децентрализованных объектов, на которых расположены объекты системы управления, следует рассмотреть следующие меры обеспечения безопасности:

a) если периферийный объект расположен в зоне риска стихийных бедствий, он должен быть устойчив к стихийным бедствиям и удовлетворять требованиям соответствующих национальных и региональных стандартов;

b) в тех случаях, когда критические активы эксплуатируются на периферийных объектах, следует устанавливать оборудование автоматического противопожарного контроля;

c) периферийные объекты должны контролироваться с целью обнаружения неисправностей компонентов, сбоев в электроснабжении, пожара и т.д. При необходимости следует также контролировать влажность и температуру воздуха;

d) в тех случаях, когда критические активы эксплуатируются на периферийных объектах, следует устанавливать адекватные, физически безопасные периметры с использованием, например, надежного ограждения. Кроме того, следует установить автоматическую сигнализацию и осуществлять контроль за ней из центрального помещения.

В тех случаях, когда достаточный уровень физической защиты периферийных объектов недостижим, этот риск следует принимать во внимание и смягчать путем применения соответствующих контрмер. При выборе таких контрмер в первую очередь следует учитывать критичность активов, эксплуатируемых на этих периферийных объектах, а также концепции избыточности и резервирования, реализуемые для их соответствующей системной функциональности.