ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

12.8 ИБЭ-устаревшие системы

Дополнительная цель контроля, приведенная в разделе 12 ИСО/МЭК 27002:2013, является следующей:

Цель: защита от рисков, возникающих в результате использования устаревших систем, в которых не могут быть реализованы адекватные меры безопасности.

12.8.1 ИБЭ-учет устаревших систем

Мера обеспечения безопасности

Энергетическая компания должна обеспечить, чтобы все стандартные унаследованные технологии, системы и компоненты систем управления технологическими процессами (далее - унаследованные системы) были идентифицированы вместе с их потенциальными уязвимостями в области ИБ и чтобы соответствующие меры обеспечения безопасности осуществлялись в соответствии с определенным процессом обработки рисков информационной безопасности.

Рекомендация по реализации

Большое количество систем управления технологическими процессами, используемых в энергетике, основаны на устаревших технологиях, которые не имеют базовых функций безопасности. Для обеспечения надлежащего уровня безопасности необходимо определить риски, связанные с продолжающимся использованием устаревших систем и технологий. В ситуациях, когда стандартные меры обеспечения безопасности не могут быть реализованы, следует применять другие виды контрмер, например:

a) осуществление строгого и целесообразного изолирования в сетях;

b) следует избегать удаленного доступа для целей настройки и технического обслуживания. Если необходим удаленный доступ, то должна быть обеспечена надлежащая развязка сети, например, с помощью защищенных прокси-сервисов. Эти защищенные прокси-сервисы должны регулярно защищаться и исправляться. Доступ для целей технического обслуживания должен обеспечиваться только через определенные точки соединения, которые надежно эксплуатируются и контролируются;

c) строгие правила контроля доступа должны соблюдаться на сетевом, системном и прикладном уровнях.

Следует обеспечить, чтобы оборудование и компоненты, используемые для технического обслуживания и настройки устаревших систем, были надлежащим образом защищены.