0.1 Предыстория и контекст
Настоящий стандарт содержит руководящие принципы, основанные на ИСО/МЭК 27002:2013, для управления информационной безопасностью применительно к системам управления технологическими процессами, используемым в энергетической отрасли. Целью настоящего стандарта является распространение содержания ИСО/МЭК 27002:2013 на область систем управления технологическими процессами и технологий автоматизации, что позволит предприятиям энергетики внедрить типовую и учитывающую отраслевую специфику систему менеджмента информационной безопасности (СМИБ), которая соответствует ИСО/МЭК 27001:2013 и распространяется от бизнеса до уровня управления технологическими процессами.
В дополнение к целям и мерам обеспечения безопасности, изложенным в ИСО/МЭК 27002:2013, к системам управления технологическими процессами, которые используются энергетическими компаниями и поставщиками энергии, предъявляются дополнительные особые требования. По сравнению с традиционными средами - информационно-телекоммуникационными активами (ICT) [например, офисными информационными технологиями (ИТ), системами торговли электрической энергией] - существуют фундаментальные и существенные различия в отношении разработки, эксплуатации, ремонта, технического обслуживания и условий эксплуатации систем управления технологическими процессами. Кроме того, технологические процессы, упомянутые в настоящем стандарте, могут представлять собой неотъемлемые компоненты критически важных инфраструктур
. Следовательно, это означает, что они необходимы для безопасного и надежного функционирования данных инфраструктур. Эти различия и особенности должны быть должным образом учтены в процессах управления системами управления технологическими процессами, что является обоснованием их отдельного рассмотрения в рамках комплекса стандартов серии ИСО/МЭК 27000.
________________
Далее по тексту введено сокращение ICT.
См. также Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", предусматривающий необходимость разработки модели угроз безопасности информации и соответствующих методов защиты для объектов критической информационной инфраструктуры.
С точки зрения проектирования и функционирования системы управления технологическими процессами, используемые в энергетике, фактически являются системами обработки информации. Они собирают технологические данные и контролируют состояние физических процессов с помощью датчиков. Затем эти данные обрабатываются, и выполняемые действия регулируются с помощью исполнительных механизмов. Управление и регулирование осуществляется автоматически, но при этом возможно ручное вмешательство обслуживающего персонала. Таким образом, информация и системы обработки информации являются необходимой частью оперативных процессов в энергетике. Из этого следует важность того, чтобы соответствующие меры защиты информации применялись таким же образом, как и в отношении других организационных подразделений.
Программные и аппаратные компоненты (например, программируемая логика), основанные на стандартной технологии ICT, все чаще используются в средах управления технологическими процессами и также рассматриваются в настоящем стандарте. Кроме того, системы управления технологическими процессами в энергетическом секторе все больше взаимосвязаны и образуют сложные системы. Риски, связанные с этим направлением, должны учитываться при оценке рисков.
Информация и системы обработки информации в средах управления технологическими процессами также подвергаются все большему числу угроз и уязвимостей. Поэтому крайне важно, чтобы в области управления технологическими процессами в энергетике была обеспечена адекватная информационная безопасность за счет внедрения и постоянного совершенствования СМИБ в соответствии с ИСО/МЭК 27001:2013.
Эффективное обеспечение ИБ в области управления технологическими процессами в энергетическом секторе может быть достигнута путем установления, внедрения, мониторинга, пересмотра и, при необходимости, совершенствования применимых мер, изложенных в настоящем стандарте, для достижения конкретных целей безопасности и бизнеса организации. Здесь важно уделить отдельное внимание особой роли энергосбытовых компаний в обществе и экономическую необходимость гарантированного и надежного энергоснабжения. В конечном итоге общий успех кибербезопасности энергетических отраслей основывается на совместных усилиях всех заинтересованных сторон (производителей, поставщиков, потребителей и т.д.).
0.2 Положения по безопасности для систем управления технологическими процессами, используемых энергетическими компаниями
Положения по общей и всесторонней структуре ИБ для области управления технологическими процессами в энергетике опирается на несколько основных требований:
a) потребители ожидают гарантированного и надежного энергоснабжения;
b) нормативно-правовые требования обуславливают необходимость безопасной, надежной и гарантированной работы систем энергоснабжения;
c) поставщики энергии требуют ИБ для защиты своих деловых интересов, удовлетворения потребностей потребителей и соблюдения правовых норм.
0.3 Требования по информационной безопасности
Важно, чтобы энергетические компании определили свои требования по безопасности. Существует три основных источника требований по безопасности:
a) результаты оценки рисков организации с учетом общих бизнес-стратегий и целей организации. С помощью оценки рисков выявляются источники рисков и события, оцениваются потенциальные последствия и вероятность возникновения рисков;
b) требования, вытекающие из федеральных законов и подзаконных актов, распоряжений и договоров, которые должны быть выполнены организацией, а также социально-культурных потребностей. Конкретные примеры включают обеспечение надежного, эффективного и безопасного энергоснабжения, также как и надежное выполнение требований нерегулируемого энергетического рынка, в частности надежную и безопасную передачу данных третьим лицам;
c) конкретные принципы, цели и бизнес-требования, предъявляемые к обработке информации, которые были разработаны компанией для поддержки ее бизнес-операций.
Примечание - Важно, чтобы энергетическая компания обеспечила анализ требований безопасности системы управления технологическими процессами и адекватное отражение их в политике ИБ. Анализ требований и целей ИБ включает рассмотрение всех соответствующих критериев для безопасного энергоснабжения и поставки, например:
- нарушение безопасности энергоснабжения;
- ограничение энергетического потока;
- доля пострадавшего населения;
- опасность физического увечья;
- воздействие на другие критически важные инфраструктуры;
- влияние на конфиденциальность информации;
- финансовые последствия.