Приложение А (обязательное). Типовые задачи управления и меры обеспечения безопасности в энергетическом секторе. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27019-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 411-ст)

Приложение А
(обязательное)

Типовые задачи управления и меры обеспечения безопасности в энергетическом секторе

Настоящее приложение расширяет действие приложения А ИСО/МЭК 27001:2013.

Типовые задачи управления и меры обеспечения безопасности, перечисленные в таблице А.1, непосредственно вытекают из задач управления и мер обеспечения безопасности, перечисленных в основном тексте настоящего стандарта, и согласуются с ними, а также должны использоваться в связи с положениями, изложенными в 4.2 и в приложении А ИСО/МЭК 27001:2013.

Таблица А.1 - Конкретные цели и меры обеспечения безопасности в энергетическом секторе

А.6 Организация деятельности по информационной безопасности
А.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
Цель: создание системы управления для инициирования и контроля внедрения и обеспечения информационной безопасности в рамках организации
6.1.6	ИБЭ-идентификация рисков, связанных с внешними сторонами	Мера обеспечения безопасности. Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности
6.1.7	ИБЭ-решение вопросов безопасности при работе с потребителями	Мера обеспечения безопасности. Все выявленные требования безопасности должны быть учтены до предоставления потребителям доступа к информации или активам предприятия
А.11 Физическая безопасность и защита от воздействия окружающей среды
А.11.1 Зоны безопасности
Цель: предотвращение несанкционированного физического доступа, повреждения и вмешательства в работу информационных систем и средств обработки информации организации
11.1.7	ИБЭ-обеспечение безопасности центров управления	Мера обеспечения безопасности. Следует спроектировать, разработать и применять меры по обеспечению физической безопасности центров управления, например, там, где размещены серверы систем управления, ЧМИ и вспомогательные системы
11.1.8	ИБЭ-обеспечение безопасности для помещений с оборудованием	Мера обеспечения безопасности. Следует спроектировать, разработать и внедрить меры по обеспечению физической безопасности помещений, в которых расположены системы управления, используемые энергетическими предприятиями
11.1.9	ИБЭ-защита периферийных объектов	Мера обеспечения безопасности. Для периферийных объектов, где расположено оборудование системы управления, используемое энергетическими компаниями, должны быть спроектированы, разработаны и внедрены средства управления физической безопасности или применены соответствующие контрмеры для снижения риска, если достаточный уровень физической защиты периферийных объектов недостижим
11.3 ИБЭ-безопасность в служебных помещениях третьих лиц
Цель: защита оборудования, находящегося вне помещений энергетических компаний, от физических угроз и угроз окружающей среды
11.3.1	ИБЭ-оборудование, расположенное на территории других энергетических компаний	Мера обеспечения безопасности. В тех случаях, когда энергетические компании устанавливают оборудование за пределами своих собственных объектов или помещений в районах, находящихся под ответственностью других энергетических компаний, как например при межсистемной связи станций, оборудование должно быть размещено на охраняемой территории, с тем чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа
11.3.2	ИБЭ-оборудование, размещенное на территории потребителя	Мера обеспечения безопасности. В тех случаях, когда энергетические компании устанавливают оборудование в помещениях потребителя, например для контроля или измерения поставок энергии и/или предоставления дополнительных услуг, оборудование компаний должно быть защищено таким образом, чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа
11.3.3	ИБЭ-взаимосвязанные системы управления и связи	Мера обеспечения безопасности. В тех случаях, когда системы управления и связанные с ними линии связи взаимосвязаны с системами внешних сторон, круг ответственности и интерфейсы с внешней стороной должны быть четко определены таким образом, чтобы можно было отключать и изолировать каждую организацию от других в течение соответствующего периода времени во избежание выявленных рисков
А.12 Безопасность при эксплуатации
12.8 ИБЭ-устаревшие системы
Цель: защита от рисков, возникающих в результате использования устаревших систем, когда адекватные меры безопасности не могут быть реализованы
12.8.1	ИБЭ-учет устаревших систем	Мера обеспечения безопасности. Энергетическая компания должна обеспечить, чтобы все стандартные унаследованные технологии, системы и компоненты систем управления технологическими процессами (далее - унаследованные системы) были идентифицированы вместе с их потенциальными уязвимостями в области ИБ и чтобы соответствующие меры обеспечения безопасности осуществлялись в соответствии с определенным процессом обработки рисков информационной безопасности
12.9 ИБЭ-функции безопасности
Цель: обеспечить целостность и доступность функций безопасности
12.9.1	ИБЭ-целостность и доступность функций безопасности	Мера обеспечения безопасности. Целостность и доступность информации, активов, систем, компонентов и функций, необходимых для обеспечения функций безопасности, д