ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

12 Безопасность при эксплуатации

 

12.1 Эксплуатационные процедуры и обязанности

12.1.1 Документально оформленные эксплуатационные процедуры

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.1, является следующей:

В документации по эксплуатационным процессам должно быть точно указано, при каких условиях следует применять процедуры аварийного или кризисного управления.

12.1.2 Процесс управления изменениями

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.2, является следующей:

Изменение аппаратных систем часто приводит к изменению информационных систем и систем или приложений управления технологическими процессами из-за программного обеспечения, встроенного в эти системы. Все связанные с этим изменения должны контролироваться.

12.1.3 Управление производительностью

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 12.1.3, отсутствует.

12.1.4 Разделение сред разработки, тестирования и эксплуатации

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 12.1.4, является следующей:

Необходимо обеспечить надлежащую безопасность систем разработки и тестирования. В соответствии с их критичностью следует обеспечить, чтобы системы тестирования и разработки были достаточно изолированы от других систем и сетей (например, работа в изолированной сетевой среде, отсутствие прямого доступа в Интернет, отсутствие прямого доступа к другим операционным системам и т.д.) и чтобы они использовались исключительно для разработки и тестирования.

В области управления технологическими процессами энергетических предприятий разделение систем разработки, тестирования и эксплуатации не всегда возможно в полной мере. Это особенно верно в тех случаях, когда для разработки, тестирования, устранения неполадок и отладки требуются данные процесса в реальном времени. В этих особых случаях, когда требуются взаимосвязи между разработкой, тестированием и эксплуатационными системами или когда необходимо тестирование и отладка на уровне операционной системы, эти накладки должны быть сведены к абсолютному минимуму. Следует выявить возникающие в результате этого риски и рассмотреть возможные альтернативы, такие как эмуляторы данных технологического процесса или удаленная отладка (отладка операционной системы с использованием защищенных интерфейсов системы связи).

Если разделение систем разработки, тестирования и эксплуатации не может быть осуществлено, то следует разработать индивидуальные процедуры управления изменениями, инцидентами, чрезвычайными ситуациями и кризисными ситуациями, позволяющие быстро и адекватно реагировать на сбои и проблемы в операционной системе, совместимые с критичностью рассматриваемой системы.