ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

13 Безопасность системы связи

 

13.1 Менеджмент безопасности сетей

13.1.1 Меры и средства информационной безопасности для сетей

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 13.1.1, является следующей:

В области систем управления технологическими процессами в энергетическом секторе часто используются радио- и другие технологии беспроводной связи, например, для связи в широком диапазоне. При разработке сетевых средств управления особое внимание следует уделять безопасности этих технологий.

13.1.2 Безопасность сетевых сервисов

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 13.1.2, отсутствует.

13.1.3 Разделение в сетях

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 13.1.3, является следующей:

Там, где это применимо и технически осуществимо, сетевая инфраструктура систем управления технологическими процессами должна быть разделена на несколько зон с различными функциями и требованиями к защите. В частности, различные технические и эксплуатационные области должны быть отделены друг от друга.

Там, где это технически возможно, сетевые зоны должны быть разделены, например, брандмауэрами, однонаправленными шлюзами, фильтрующими маршрутизаторами или шлюзами. Сетевые соединения с внешними сетями, такими как корпоративная офисная сеть, внешние партнеры или удаленные соединения доступа к техническому обслуживанию, должны направляться исключительно через специально укрепленные прокси-серверы приложений, которые расположены в отдельной сетевой зоне (т.е. демилитаризованной зоне), специально предназначенной для этой цели.

Если это применимо и технически осуществимо, то сети и распределенные системы должны быть разделены на независимые горизонтальные сегменты (например, в зависимости от различных местоположений или производственных единиц). Эти сегменты должны быть разделены, например, брандмауэрами, однонаправленными шлюзами, фильтрующими маршрутизаторами или шлюзами.

13.1.4 ИБЭ-обеспечение безопасности передачи данных управления технологическим процессом

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 13.1, является следующей:

Мера обеспечения безопасности

Должны быть спроектированы, разработаны и внедрены меры по обеспечению требований безопасности, выявленных в ходе оценки рисков (например, конфиденциальность, целостность и доступность) передачи данных внутреннего и внешнего управления технологическими процессами.

Рекомендация по реализации

В области передачи данных управления технологическими процессами существует несколько отраслевых или общих технических стандартов и протоколов, таких как:

- МЭК 60870-5;

- МЭК 60870-6 (TASE.2);

- IEEE 1815 (DNP3);

- МЭК 61850;

- МЭК 61400-25;

- протокол Modbus.

Некоторые коммуникационные протоколы управления технологическими процессами не включают в себя специальные механизмы безопасности. Другие протоколы определяют дополнительные улучшения безопасности, которые не обязательно включаются во все реализации. Следует принимать во внимание риски, возникающие в результате этого, а также осуществление модифицированных контрмер. Контрмеры могут включать активацию уже поддерживаемых функций безопасности (например, в соответствии с МЭК 62351) или дополнительные меры криптографической защиты (например, шифрование, проверка целостности и аутентификация партнеров связи) на нижних уровнях связи.

Примечание - Элемент управления в 13.1.4 применяется не только к маршрутизированной сетевой связи, но и к последовательной связи.

 

13.1.5 ИБЭ-логическое соединение внешних систем управления технологическими процессами

Дополнительная мера обеспечения безопасности, приведенная в ИСО/МЭК 27002:2013, 13.1, является следующей:

Мера обеспечения безопасности

Прежде чем системы управления технологическими процессами и связанные с ними каналы связи с внешними сторонами будут логически соединены, энергетическая компания должна обеспечить оценку риска, возникающего в результате такого соединения систем, и возможность обмена по этому каналу только разрешенными коммуникационными и информационными потоками, включая команды и сообщения системы управления.

Рекомендация по реализации

Системы управления технологическими процессами должны быть подсоединены к внешним системам только в том случае, если это необходимо по оперативным соображениям. Соединение должно осуществляться только в определенных точках соединения, которые надежно эксплуатируются и контролируются.

Следует определить и утвердить тип и объем разрешенных сообщений, включая необходимые команды обмена данными и управления. Следует рассмотреть возможность использования фильтрующих устройств (таких, как шлюзы, прокси-серверы или брандмауэры прикладного уровня) для разрешения только доверительных коммуникационных и информационных потоков.