ГОСТ Р ИСО/МЭК 27019-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

Введение

0.1 Предыстория и контекст

Настоящий стандарт содержит руководящие принципы, основанные на ИСО/МЭК 27002:2013, для управления информационной безопасностью применительно к системам управления технологическими процессами, используемым в энергетической отрасли. Целью настоящего стандарта является распространение содержания ИСО/МЭК 27002:2013 на область систем управления технологическими процессами и технологий автоматизации, что позволит предприятиям энергетики внедрить типовую и учитывающую отраслевую специфику систему менеджмента информационной безопасности (СМИБ), которая соответствует ИСО/МЭК 27001:2013 и распространяется от бизнеса до уровня управления технологическими процессами.

В дополнение к целям и мерам обеспечения безопасности, изложенным в ИСО/МЭК 27002:2013, к системам управления технологическими процессами, которые используются энергетическими компаниями и поставщиками энергии, предъявляются дополнительные особые требования. По сравнению с традиционными средами - информационно-телекоммуникационными активами (ICT) [например, офисными информационными технологиями (ИТ), системами торговли электрической энергией] - существуют фундаментальные и существенные различия в отношении разработки, эксплуатации, ремонта, технического обслуживания и условий эксплуатации систем управления технологическими процессами. Кроме того, технологические процессы, упомянутые в настоящем стандарте, могут представлять собой неотъемлемые компоненты критически важных инфраструктур. Следовательно, это означает, что они необходимы для безопасного и надежного функционирования данных инфраструктур. Эти различия и особенности должны быть должным образом учтены в процессах управления системами управления технологическими процессами, что является обоснованием их отдельного рассмотрения в рамках комплекса стандартов серии ИСО/МЭК 27000.

________________

Далее по тексту введено сокращение ICT.

См. также Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", предусматривающий необходимость разработки модели угроз безопасности информации и соответствующих методов защиты для объектов критической информационной инфраструктуры.

С точки зрения проектирования и функционирования системы управления технологическими процессами, используемые в энергетике, фактически являются системами обработки информации. Они собирают технологические данные и контролируют состояние физических процессов с помощью датчиков. Затем эти данные обрабатываются, и выполняемые действия регулируются с помощью исполнительных механизмов. Управление и регулирование осуществляется автоматически, но при этом возможно ручное вмешательство обслуживающего персонала. Таким образом, информация и системы обработки информации являются необходимой частью оперативных процессов в энергетике. Из этого следует важность того, чтобы соответствующие меры защиты информации применялись таким же образом, как и в отношении других организационных подразделений.

Программные и аппаратные компоненты (например, программируемая логика), основанные на стандартной технологии ICT, все чаще используются в средах управления технологическими процессами и также рассматриваются в настоящем стандарте. Кроме того, системы управления технологическими процессами в энергетическом секторе все больше взаимосвязаны и образуют сложные системы. Риски, связанные с этим направлением, должны учитываться при оценке рисков.

Информация и системы обработки информации в средах управления технологическими процессами также подвергаются все большему числу угроз и уязвимостей. Поэтому крайне важно, чтобы в области управления технологическими процессами в энергетике была обеспечена адекватная информационная безопасность за счет внедрения и постоянного совершенствования СМИБ в соответствии с ИСО/МЭК 27001:2013.

Эффективное обеспечение ИБ в области управления технологическими процессами в энергетическом секторе может быть достигнута путем установления, внедрения, мониторинга, пересмотра и, при необходимости, совершенствования применимых мер, изложенных в настоящем стандарте, для достижения конкретных целей безопасности и бизнеса организации. Здесь важно уделить отдельное внимание особой роли энергосбытовых компаний в обществе и экономическую необходимость гарантированного и надежного энергоснабжения. В конечном итоге общий успех кибербезопасности энергетических отраслей основывается на совместных усилиях всех заинтересованных сторон (производителей, поставщиков, потребителей и т.д.).

0.2 Положения по безопасности для систем управления технологическими процессами, используемых энергетическими компаниями

Положения по общей и всесторонней структуре ИБ для области управления технологическими процессами в энергетике опирается на несколько основных требований:

a) потребители ожидают гарантированного и надежного энергоснабжения;

b) нормативно-правовые требования обуславливают необходимость безопасной, надежной и гарантированной работы систем энергоснабжения;

c) поставщики энергии требуют ИБ для защиты своих деловых интересов, удовлетворения потребностей потребителей и соблюдения правовых норм.

0.3 Требования по информационной безопасности

Важно, чтобы энергетические компании определили свои требования по безопасности. Существует три основных источника требований по безопасности:

a) результаты оценки рисков организации с учетом общих бизнес-стратегий и целей организации. С помощью оценки рисков выявляются источники рисков и события, оцениваются потенциальные последствия и вероятность возникновения рисков;

b) требования, вытекающие из федеральных законов и подзаконных актов, распоряжений и договоров, которые должны быть выполнены организацией, а также социально-культурных потребностей. Конкретные примеры включают обеспечение надежного, эффективного и безопасного энергоснабжения, также как и надежное выполнение требований нерегулируемого энергетического рынка, в частности надежную и безопасную передачу данных третьим лицам;

c) конкретные принципы, цели и бизнес-требования, предъявляемые к обработке информации, которые были разработаны компанией для поддержки ее бизнес-операций.

Примечание - Важно, чтобы энергетическая компания обеспечила анализ требований безопасности системы управления технологическими процессами и адекватное отражение их в политике ИБ. Анализ требований и целей ИБ включает рассмотрение всех соответствующих критериев для безопасного энергоснабжения и поставки, например:

- нарушение безопасности энергоснабжения;

- ограничение энергетического потока;

- доля пострадавшего населения;

- опасность физического увечья;

- воздействие на другие критически важные инфраструктуры;

- влияние на конфиденциальность информации;

- финансовые последствия.