Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27019-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

     6.1 Внутренняя организация деятельности по обеспечению информационной безопасности

6.1.1 Роли и обязанности по обеспечению информационной безопасности

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.1, является следующим:

Инженеры систем управления, инженеры систем телекоммуникаций и другие сотрудники должны быть уведомлены о возложенных на них ролях и обязанностях в части, касающейся аспектов ИБ систем управления технологическими процессами.

6.1.2 Разделение обязанностей

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.2, отсутствует.

6.1.3 Контакт с органами управления и ведомствами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.3, является следующим:

Прикладные системы и инфраструктура систем управления технологическими процессами энергообеспечения могут быть частью критически важных инфраструктур и иметь важное значение для функционирования сообщества, общества и экономики в целом. Поэтому операторы таких систем должны поддерживать контакт со всеми соответствующими органами управления и ведомствами. В дополнение к соответствующим государственным ведомствам (пожарная служба, инспекции и т.д.) это могут быть, например:

- национальные и международные учреждения и инициативы по сотрудничеству в области защиты важнейших инфраструктур;

- национальные и международные команды реагирования на инциденты в компьютерной безопасности;

- организации гражданской обороны и группы по оказанию помощи в случае стихийных бедствий;

- аварийно-спасательные организации и персонал организации.

Для операторов критически важных компонентов инфраструктуры могут применяться дополнительные законы, локальные подзаконные акты и нормативные акты, касающиеся организации взаимодействия с органами управления и ведомствами. Энергетическим компаниям следует удостовериться в том, чтобы информация, полученная в результате контактов с органами управления и ведомствами, анализировалась и оценивалась в контексте организации экспертами по тематическим вопросам и своевременно распространялась среди ответственных сторон внутри организации.

Дополнительная информация для ИСО/МЭК 27002:2013, 6.1.3, является следующей:

Во время работы системы, оперативного планирования и подготовительных работ для исключительных ситуаций может потребоваться информация о метеоусловиях. Поэтому следует установить прямой контакт с соответствующими местными, региональными и национальными метеорологическими службами и соответствующими информационными службами (например, предупреждение о грозе, обнаружение молний).

6.1.4 Контакты с заинтересованными профессиональными группами

Дополнительное руководство по внедрению, приведенное в ИСО/МЭК 27002:2013, 6.1.4, является следующим:

В целях обмена информацией по вопросам безопасности, связанным с мерами обеспечения безопасности за конкретными процессами, и содействия межорганизационному сотрудничеству, следует поддерживать контакты с национальными и международными ассоциациями поставщиков и операторов и их соответствующими рабочими группами, занимающимися вопросами безопасности. Процесс информирования учитывает применимый правовой контекст.

Энергетические компании должны обеспечить в контексте организации анализ и оценку экспертами по тематическим вопросам информации, полученной в результате контактов с заинтересованными профессиональными группами, и своевременное ее распространение среди ответственных сторон внутри организации.

6.1.5 Информационная безопасность при управлении проектами

Дополнительная информация, относящаяся к энергетическому сектору, для ИСО/МЭК 27002:2013, 6.1.5, отсутствует.

6.1.6 ИБЭ-идентификация рисков, связанных с внешними сторонами

Дополнительная мера обеспечения безопасности для ИСО/МЭК 27002:2013, 6.1, является следующей:

Мера обеспечения безопасности

Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности.

Рекомендация по реализации

Системы управления технологическими процессами могут состоять из сложных индивидуально настроенных систем и компонентов. Поставщики систем, интеграторы и другие внешние стороны зачастую принимают активное участие в обслуживании и эксплуатации этих систем. Что касается процессов технического обслуживания и устранения неисправностей, то, возможно, этим внешним сторонам необходимо использовать системы дистанционного доступа, которые позволяют осуществлять техническое обслуживание из отдаленных районов. Возможно также, что сотрудники внешних сторон также нуждаются в доступе к контролируемым с точки зрения безопасности районам для проведения технического обслуживания на местах.

Тесное сотрудничество между различными системными операторами на уровнях производства, генерации, передачи и распределения может потребовать тесной взаимосвязи систем управления и сетей связи различных организаций. Кроме того, внешние стороны, такие как поставщики, системные интеграторы или деловые партнеры, также могут требовать доступ к информации, относящейся к критически важным активам.