ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

11.3 ИБЭ-безопасность в служебных помещениях третьих лиц

Дополнительная цель контроля, приведенная в разделе 11 ИСО/МЭК 27002:2013, является следующей:

Цель: защита оборудования, находящегося вне помещений, энергетических компаний от физических угроз и угроз окружающей среды.

11.3.1 ИБЭ-оборудование, расположенное на территории других энергетических компаний

Мера обеспечения безопасности

В тех случаях, когда энергетические компании устанавливают оборудование за пределами своих собственных объектов или помещений на территории, находящейся под ответственностью других энергетических компаний, как например при межсистемной связи станций, оборудование должно быть размещено на охраняемой территории, с тем чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа.

Рекомендация по реализации

Для защиты оборудования энергетической компании, находящегося на территории других энергетических компаний, следует учитывать следующие меры обеспечения безопасности:

a) должен быть определен круг ответственности и взаимодействия с другими энергетическими компаниями, и при необходимости должна быть обеспечена возможность легко изолировать оборудование от оборудования другой организации (см. 11.3.3);

b) соглашения должны заключаться на договорной основе с другой энергетической компанией на поставку вспомогательных инфраструктурных услуг, таких как энергоснабжение, охлаждение, отопление и т.д.;

c) необходимо обеспечить, чтобы эксплуатационная площадка, на которой будет установлено оборудование, отвечала всем необходимым требованиям безопасности.

Другая информация

Для обеспечения того, чтобы уровень безопасности помещений другой компании соответствовал уровню безопасности собственных помещений энергокомпании, соответствующие условия должны быть согласованы заранее.

11.3.2 ИБЭ-оборудование, размещенное на территории потребителя

Мера обеспечения безопасности

В тех случаях, когда энергетические компании устанавливают оборудование в помещениях потребителя, например, для контроля или измерения поставок энергии и/или предоставления дополнительных услуг, оборудование компаний должно быть защищено таким образом, чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшена вероятность несанкционированного доступа.

Рекомендация по реализации

Для защиты оборудования, расположенного на территории потребителя энергетической компании, необходимо учитывать следующие меры обеспечения безопасности:

a) шкафы оборудования, установленные на территории потребителя, не должны легко открывать посторонние лица. Любая форма манипуляции должна быть легко обнаружима;

b) следует определить круг ответственности и интерфейсы связи с потребителем, а также обеспечить возможность изолировать коммуникационные интерфейсы от интерфейсов связи с потребителем;

c) должна быть обеспечена возможность для того, чтобы энергетические компании осуществляли строгий контроль за состоянием или дистанционно эксплуатировали оборудование.

11.3.3 ИБЭ-взаимосвязанные системы управления и связи

Мера обеспечения безопасности

В тех случаях, когда системы управления, имеющие линии связи, взаимодействуют с системами внешних сторон, круг ответственности и интерфейсы с внешней стороной должны быть четко определены таким образом, чтобы можно было отключать и изолировать каждую организацию от других в течение соответствующего периода времени во избежание выявленных рисков.

Рекомендация по реализации

Энергетические компании должны следить за состоянием своих межсоединений.

Для того чтобы диагностировать проблемные зоны и принимать корректирующие меры, организации должны иметь средства для изоляции связей между собой и внешними сторонами и для повторного подключения изолированных связей, когда это необходимо.

Энергетические организации должны указывать в договорах или соглашениях, что межсистемные соединения могут быть приостановлены в тех случаях, когда возникают серьезные помехи в работе собственных служб организации.

Должны быть четко определены критерии и условия, необходимые для приостановления системных взаимосвязей. Кроме того, следует оценить возможные последствия приостановления системных взаимосвязей и при необходимости определить и подготовить резервные меры, если это необходимо.

Примечание - Этот элемент управления применяется не только к маршрутизированной сетевой связи, но и к последовательной связи.