ГОСТ Р ИСО/МЭК 27019-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

     6.2 Мобильные устройства и дистанционная работа

6.2.1 Политика использования мобильных устройств

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.1, является следующей:

Если мобильные устройства используются в сети управления технологическими процессами, энергетические компании должны включить в свои политики безопасности мобильных устройств следующее:

a) определение и назначение ролей, разрешенных для выполнения задач, требующих доступа к системам управления технологическими процессами через мобильное устройство;

b) определить действия, которые эти устройства могут выполнять время, в течение которого эти действия разрешены, и явно установить чрезвычайные исключения;

c) указать, какие изменения могут быть внесены в устройство, кому разрешено вносить эти изменения и как они могут быть внесены;

d) указать места и коммуникационные сети, которые эти устройства могут использовать для доступа, например: дом, офис, удаленный офис или служебные транспортные средства;

e) определить любые процессы, необходимые для управления механизмами безопасности, такими как управление ключами, контроль доступа, управление конфигурацией и управление идентификацией;

f) указать, как каждое устройство может быть подключено к сети управления технологическим процессом, например, через шлюз, ДМЗ, VPN-туннелирование;

g) разделение использования в системах управления технологическими процессами и других сетях (например, бизнес-сетях);

h) указать типы данных, которые могут передаваться, и явно запретить все другие типы передачи данных.

6.2.2 Дистанционная работа

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 6.2.2, является следующей:

Удаленный доступ к системам управления технологическими процессами, осуществляемый персоналом энергосервисной организации, поставщиками или другими внешними сторонами, должен быть обеспечен несколькими мерами обеспечения безопасности, включая следующее:

a) многофакторную аутентификацию;

b) принятие методов, запрещающих что-либо иное, кроме косвенного подключения к целевой системе или сети;

c) минимизацию функций, которые может выполнять удаленная сторона, например удаленное управление, удаленная настройка и программирование систем управления технологическими процессами;

d) проверку состояния безопасности системы удаленного доступа (например, наличие своевременных исправлений и состояние защиты от вредоносных программ, отсутствие известных программ, занесенных в черный список) и защита от передачи вредоносных программ из системы удаленного доступа (см. 12.2.1):

e) обеспечение соблюдения перечня разрешенных мест доступа и/или систем;

f) обеспечение мониторинга и контроля за удаленным доступом и отслеживание изменений и модификаций важнейших активов;

g) обеспечение того, чтобы для удаленного доступа и удаленного обслуживания использовались только известные и одобренные программно-инструментальные средства.