6.2.1 Политика использования мобильных устройств
Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.1, является следующей:
Если мобильные устройства используются в сети управления технологическими процессами, энергетические компании должны включить в свои политики безопасности мобильных устройств следующее:
a) определение и назначение ролей, разрешенных для выполнения задач, требующих доступа к системам управления технологическими процессами через мобильное устройство;
b) определить действия, которые эти устройства могут выполнять время, в течение которого эти действия разрешены, и явно установить чрезвычайные исключения;
c) указать, какие изменения могут быть внесены в устройство, кому разрешено вносить эти изменения и как они могут быть внесены;
d) указать места и коммуникационные сети, которые эти устройства могут использовать для доступа, например: дом, офис, удаленный офис или служебные транспортные средства;
e) определить любые процессы, необходимые для управления механизмами безопасности, такими как управление ключами, контроль доступа, управление конфигурацией и управление идентификацией;
f) указать, как каждое устройство может быть подключено к сети управления технологическим процессом, например, через шлюз, ДМЗ, VPN-туннелирование;
g) разделение использования в системах управления технологическими процессами и других сетях (например, бизнес-сетях);
h) указать типы данных, которые могут передаваться, и явно запретить все другие типы передачи данных.
6.2.2 Дистанционная работа
Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.2, является следующей:
Удаленный доступ к системам управления технологическими процессами, осуществляемый персоналом энергосервисной организации, поставщиками или другими внешними сторонами, должен быть обеспечен несколькими мерами обеспечения безопасности, включая следующее:
a) многофакторную аутентификацию;
b) принятие методов, запрещающих что-либо иное, кроме косвенного подключения к целевой системе или сети;
c) минимизацию функций, которые может выполнять удаленная сторона, например удаленное управление, удаленная настройка и программирование систем управления технологическими процессами;
d) проверку состояния безопасности системы удаленного доступа (например, наличие своевременных исправлений и состояние защиты от вредоносных программ, отсутствие известных программ, занесенных в черный список) и защита от передачи вредоносных программ из системы удаленного доступа (см. 12.2.1):
e) обеспечение соблюдения перечня разрешенных мест доступа и/или систем;
f) обеспечение мониторинга и контроля за удаленным доступом и отслеживание изменений и модификаций важнейших активов;
g) обеспечение того, чтобы для удаленного доступа и удаленного обслуживания использовались только известные и одобренные программно-инструментальные средства.