6.1.1 Роли и обязанности по обеспечению информационной безопасности
Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.1, является следующим:
Инженеры систем управления, инженеры систем телекоммуникаций и другие сотрудники должны быть уведомлены о возложенных на них ролях и обязанностях в части, касающейся аспектов ИБ систем управления технологическими процессами.
6.1.2 Разделение обязанностей
Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.2, отсутствует.
6.1.3 Контакт с органами управления и ведомствами
Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.3, является следующим:
Прикладные системы и инфраструктура систем управления технологическими процессами энергообеспечения могут быть частью критически важных инфраструктур и иметь важное значение для функционирования сообщества, общества и экономики в целом. Поэтому операторы таких систем должны поддерживать контакт со всеми соответствующими органами управления и ведомствами. В дополнение к соответствующим государственным ведомствам (пожарная служба, инспекции и т.д.) это могут быть, например:
- национальные и международные учреждения и инициативы по сотрудничеству в области защиты важнейших инфраструктур;
- национальные и международные команды реагирования на инциденты в компьютерной безопасности;
- организации гражданской обороны и группы по оказанию помощи в случае стихийных бедствий;
- аварийно-спасательные организации и персонал организации.
Для операторов критически важных компонентов инфраструктуры могут применяться дополнительные законы, локальные подзаконные акты и нормативные акты, касающиеся организации взаимодействия с органами управления и ведомствами. Энергетическим компаниям следует удостовериться в том, чтобы информация, полученная в результате контактов с органами управления и ведомствами, анализировалась и оценивалась в контексте организации экспертами по тематическим вопросам и своевременно распространялась среди ответственных сторон внутри организации.
Дополнительная информация для ИСО/МЭК 27002:2013, 6.1.3, является следующей:
Во время работы системы, оперативного планирования и подготовительных работ для исключительных ситуаций может потребоваться информация о метеоусловиях. Поэтому следует установить прямой контакт с соответствующими местными, региональными и национальными метеорологическими службами и соответствующими информационными службами (например, предупреждение о грозе, обнаружение молний).
6.1.4 Контакты с заинтересованными профессиональными группами
Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.4, является следующим:
В целях обмена информацией по вопросам безопасности, связанным с мерами обеспечения безопасности за конкретными процессами, и содействия межорганизационному сотрудничеству, следует поддерживать контакты с национальными и международными ассоциациями поставщиков и операторов и их соответствующими рабочими группами, занимающимися вопросами безопасности. Процесс информирования учитывает применимый правовой контекст.
Энергетические компании должны обеспечить в контексте организации анализ и оценку экспертами по тематическим вопросам информации, полученной в результате контактов с заинтересованными профессиональными группами, и своевременное ее распространение среди ответственных сторон внутри организации.
6.1.5 Информационная безопасность при управлении проектами
Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.5, отсутствует.
6.1.6 ИБЭ-идентификация рисков, связанных с внешними сторонами
Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:
Мера обеспечения безопасности
Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности.
Рекомендация по реализации
Системы управления технологическими процессами могут состоять из сложных индивидуально настроенных систем и компонентов. Поставщики систем, интеграторы и другие внешние стороны зачастую принимают активное участие в обслуживании и эксплуатации этих систем. Что касается процессов технического обслуживания и устранения неисправностей, то, возможно, этим внешним сторонам необходимо использовать системы дистанционного доступа, которые позволяют осуществлять техническое обслуживание из отдаленных районов. Возможно также, что сотрудники внешних сторон также нуждаются в доступе к контролируемым с точки зрения безопасности районам для проведения технического обслуживания на местах.
Тесное сотрудничество между различными системными операторами на уровнях производства, генерации, передачи и распределения может потребовать тесной взаимосвязи систем управления и сетей связи различных организаций. Кроме того, внешние стороны, такие как поставщики, системные интеграторы или деловые партнеры, также могут требовать доступ к информации, относящейся к критически важным активам.