ГОСТ Р ИСО/МЭК 27019-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Меры обеспечения информационной безопасности в энергетике (неатомной)

Information technology. Security techniques. Information security controls for the energy utility industry (non-nuclear)

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Федеральным бюджетным учреждением "Научно-технический центр Энергобезопасность" (ФБУ "НТЦ Энергобезопасность") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 411-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27019:2017* "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике" (ISO/IEC 27019:2017 "Information technology - Security techniques - Information security controls for the energy utility industry", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27019 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тесте стандарта, выделенные курсивом*, приведены для разъяснения текста оригинала     

________________
     * В оригинале обозначения и номера стандартов и нормативных документов приводятся обычным шрифтом, кроме отмеченного в разделе "Предисловие" знаком "**". - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"**. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Предыстория и контекст

Настоящий стандарт содержит руководящие принципы, основанные на ИСО/МЭК 27002:2013, для управления информационной безопасностью применительно к системам управления технологическими процессами, используемым в энергетической отрасли. Целью настоящего стандарта является распространение содержания ИСО/МЭК 27002:2013 на область систем управления технологическими процессами и технологий автоматизации, что позволит предприятиям энергетики внедрить типовую и учитывающую отраслевую специфику систему менеджмента информационной безопасности (СМИБ), которая соответствует ИСО/МЭК 27001:2013 и распространяется от бизнеса до уровня управления технологическими процессами.

В дополнение к целям и мерам обеспечения безопасности, изложенным в ИСО/МЭК 27002:2013, к системам управления технологическими процессами, которые используются энергетическими компаниями и поставщиками энергии, предъявляются дополнительные особые требования. По сравнению с традиционными средами - информационно-телекоммуникационными активами (ICT) [например, офисными информационными технологиями (ИТ), системами торговли электрической энергией] - существуют фундаментальные и существенные различия в отношении разработки, эксплуатации, ремонта, технического обслуживания и условий эксплуатации систем управления технологическими процессами. Кроме того, технологические процессы, упомянутые в настоящем стандарте, могут представлять собой неотъемлемые компоненты критически важных инфраструктур. Следовательно, это означает, что они необходимы для безопасного и надежного функционирования данных инфраструктур. Эти различия и особенности должны быть должным образом учтены в процессах управления системами управления технологическими процессами, что является обоснованием их отдельного рассмотрения в рамках комплекса стандартов серии ИСО/МЭК 27000.

________________

Далее по тексту введено сокращение ICT.

См. также Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", предусматривающий необходимость разработки модели угроз безопасности информации и соответствующих методов защиты для объектов критической информационной инфраструктуры.

С точки зрения проектирования и функционирования системы управления технологическими процессами, используемые в энергетике, фактически являются системами обработки информации. Они собирают технологические данные и контролируют состояние физических процессов с помощью датчиков. Затем эти данные обрабатываются, и выполняемые действия регулируются с помощью исполнительных механизмов. Управление и регулирование осуществляется автоматически, но при этом возможно ручное вмешательство обслуживающего персонала. Таким образом, информация и системы обработки информации являются необходимой частью оперативных процессов в энергетике. Из этого следует важность того, чтобы соответствующие меры защиты информации применялись таким же образом, как и в отношении других организационных подразделений.

Программные и аппаратные компоненты (например, программируемая логика), основанные на стандартной технологии ICT, все чаще используются в средах управления технологическими процессами и также рассматриваются в настоящем стандарте. Кроме того, системы управления технологическими процессами в энергетическом секторе все больше взаимосвязаны и образуют сложные системы. Риски, связанные с этим направлением, должны учитываться при оценке рисков.

Информация и системы обработки информации в средах управления технологическими процессами также подвергаются все большему числу угроз и уязвимостей. Поэтому крайне важно, чтобы в области управления технологическими процессами в энергетике была обеспечена адекватная информационная безопасность за счет внедрения и постоянного совершенствования СМИБ в соответствии с ИСО/МЭК 27001:2013.

Эффективное обеспечение ИБ в области управления технологическими процессами в энергетическом секторе может быть достигнута путем установления, внедрения, мониторинга, пересмотра и, при необходимости, совершенствования применимых мер, изложенных в настоящем стандарте, для достижения конкретных целей безопасности и бизнеса организации. Здесь важно уделить отдельное внимание особой роли энергосбытовых компаний в обществе и экономическую необходимость гарантированного и надежного энергоснабжения. В конечном итоге общий успех кибербезопасности энергетических отраслей основывается на совместных усилиях всех заинтересованных сторон (производителей, поставщиков, потребителей и т.д.).

0.2 Положения по безопасности для систем управления технологическими процессами, используемых энергетическими компаниями

Положения по общей и всесторонней структуре ИБ для области управления технологическими процессами в энергетике опирается на несколько основных требований:

a) потребители ожидают гарантированного и надежного энергоснабжения;

b) нормативно-правовые требования обуславливают необходимость безопасной, надежной и гарантированной работы систем энергоснабжения;

c) поставщики энергии требуют ИБ для защиты своих деловых интересов, удовлетворения потребностей потребителей и соблюдения правовых норм.

0.3 Требования по информационной безопасности

Важно, чтобы энергетические компании определили свои требования по безопасности. Существует три основных источника требований по безопасности:

a) результаты оценки рисков организации с учетом общих бизнес-стратегий и целей организации. С помощью оценки рисков выявляются источники рисков и события, оцениваются потенциальные последствия и вероятность возникновения рисков;

b) требования, вытекающие из федеральных законов и подзаконных актов, распоряжений и договоров, которые должны быть выполнены организацией, а также социально-культурных потребностей. Конкретные примеры включают обеспечение надежного, эффективного и безопасного энергоснабжения, также как и надежное выполнение требований нерегулируемого энергетического рынка, в частности надежную и безопасную передачу данных третьим лицам;

c) конкретные принципы, цели и бизнес-требования, предъявляемые к обработке информации, которые были разработаны компанией для поддержки ее бизнес-операций.

Примечание - Важно, чтобы энергетическая компания обеспечила анализ требований безопасности системы управления технологическими процессами и адекватное отражение их в политике ИБ. Анализ требований и целей ИБ включает рассмотрение всех соответствующих критериев для безопасного энергоснабжения и поставки, например:

- нарушение безопасности энергоснабжения;

- ограничение энергетического потока;

- доля пострадавшего населения;

- опасность физического увечья;

- воздействие на другие критически важные инфраструктуры;

- влияние на конфиденциальность информации;

- финансовые последствия.

Необходимые меры безопасности или контроля определяются методической оценкой рисков безопасности. Необходимо, чтобы расходы на меры обеспечения безопасности были сбалансированы с экономическими потерями, которые могут быть понесены из-за проблем безопасности. Результаты оценки рисков облегчают:

- определение адекватных управленческих действий и приоритетов для управления рисками информационной безопасности;

- осуществление мер обеспечения безопасности, выбранных для противодействия этим рискам.

Оценка риска должна повторяться периодически, чтобы учесть все изменения, которые могут повлиять на оцениваемые результаты.

Требования к оценке рисков и выбору средств и мер обеспечения безопасности приведены в ИСО/МЭК 27001:2013.

0.4 Выбор мер обеспечения безопасности

После того как требования безопасности и риски были определены и приняты решения о том, как противостоять этим рискам, выбираются и внедряются соответствующие меры обеспечения безопасности для снижения рисков до допустимого уровня.

В дополнение к мерам по безопасности, обеспечиваемым комплексной СМИБ, настоящий стандарт предусматривает дополнительную помощь и секторальные меры для систем управления технологическими процессами, используемых в энергетическом секторе, с учетом особых требований, предъявляемых в данных условиях. При необходимости могут быть разработаны дополнительные меры для выполнения конкретных требований. Выбор мер безопасности зависит от решений, принимаемых организацией на основе ее собственных критериев принятия риска, вариантов решения проблемы риска и общего подхода организации к управлению рисками. При выборе мер следует также учитывать соответствующие нормы национального и международного права, правовые постановления и нормативные акты.

0.5 Целевая аудитория

Настоящий стандарт адресован лицам, ответственным за функционирование систем управления технологическими процессами, используемых энергетическими компаниями, менеджерам по ИБ, поставщикам, системным интеграторам и аудиторам. Для этой целевой группы он детализирует основные меры в соответствии с целями ИСО/МЭК 27002:2013 и определяет конкретные меры для систем управления технологическими процессами в энергетике, вспомогательных систем и соответствующей инфраструктуры.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения

Настоящий стандарт содержит руководящие указания, основанные на положениях ИСО/МЭК 27002:2013, применяемых к системам управления технологическими процессами, используемым в энергетике для контроля и мониторинга выработки или производства, передачи, хранения и распределения электроэнергии, тепла, газа, нефти и нефтепродуктов, а также для контроля связанных с ними вспомогательных процессов. Это включает в себя в частности следующее:

- централизованные и распределенные технологии управления технологическими процессами, контроля и автоматизации, а также информационные системы, используемые для их функционирования, такие как устройства программирования и параметризации;

- цифровые контроллеры и компоненты автоматизации, такие как управляющие и полевые устройства или программируемые логические контроллеры (ПЛК), включая цифровые сенсорные и приводные элементы;

- все дополнительные вспомогательные информационные системы, используемые в области управления технологическими процессами, например, для выполнения дополнительных задач визуализации данных и для целей контроля, мониторинга, архивирования данных, ведения журнала событий, отчетности и документации;

- коммуникационные технологии, используемые в области управления технологическими процессами, например, сети, телеметрия, приложения телеконтроля и технологии дистанционного управления;