Приложение А (обязательное). Типовые задачи управления и меры обеспечения безопасности в энергетическом секторе. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27019-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 411-ст)

Приложение А
(обязательное)

Типовые задачи управления и меры обеспечения безопасности в энергетическом секторе

Настоящее приложение расширяет действие приложения А ИСО/МЭК 27001:2013.

Типовые задачи управления и меры обеспечения безопасности, перечисленные в таблице А.1, непосредственно вытекают из задач управления и мер обеспечения безопасности, перечисленных в основном тексте настоящего стандарта, и согласуются с ними, а также должны использоваться в связи с положениями, изложенными в 4.2 и в приложении А ИСО/МЭК 27001:2013.

Таблица А.1 - Конкретные цели и меры обеспечения безопасности в энергетическом секторе

А.6 Организация деятельности по информационной безопасности
А.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
Цель: создание системы управления для инициирования и контроля внедрения и обеспечения информационной безопасности в рамках организации
6.1.6	ИБЭ-идентификация рисков, связанных с внешними сторонами	Мера обеспечения безопасности. Перед предоставлением доступа к информации и средствам обработки информации организации следует выявить риски, связанные с бизнес-процессами, в которых участвуют внешние стороны, и внедрить соответствующие меры обеспечения безопасности
6.1.7	ИБЭ-решение вопросов безопасности при работе с потребителями	Мера обеспечения безопасности. Все выявленные требования безопасности должны быть учтены до предоставления потребителям доступа к информации или активам предприятия
А.11 Физическая безопасность и защита от воздействия окружающей среды
А.11.1 Зоны безопасности
Цель: предотвращение несанкционированного физического доступа, повреждения и вмешательства в работу информационных систем и средств обработки информации организации
11.1.7	ИБЭ-обеспечение безопасности центров управления	Мера обеспечения безопасности. Следует спроектировать, разработать и применять меры по обеспечению физической безопасности центров управления, например, там, где размещены серверы систем управления, ЧМИ и вспомогательные системы
11.1.8	ИБЭ-обеспечение безопасности для помещений с оборудованием	Мера обеспечения безопасности. Следует спроектировать, разработать и внедрить меры по обеспечению физической безопасности помещений, в которых расположены системы управления, используемые энергетическими предприятиями
11.1.9	ИБЭ-защита периферийных объектов	Мера обеспечения безопасности. Для периферийных объектов, где расположено оборудование системы управления, используемое энергетическими компаниями, должны быть спроектированы, разработаны и внедрены средства управления физической безопасности или применены соответствующие контрмеры для снижения риска, если достаточный уровень физической защиты периферийных объектов недостижим
11.3 ИБЭ-безопасность в служебных помещениях третьих лиц
Цель: защита оборудования, находящегося вне помещений энергетических компаний, от физических угроз и угроз окружающей среды
11.3.1	ИБЭ-оборудование, расположенное на территории других энергетических компаний	Мера обеспечения безопасности. В тех случаях, когда энергетические компании устанавливают оборудование за пределами своих собственных объектов или помещений в районах, находящихся под ответственностью других энергетических компаний, как например при межсистемной связи станций, оборудование должно быть размещено на охраняемой территории, с тем чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа
11.3.2	ИБЭ-оборудование, размещенное на территории потребителя	Мера обеспечения безопасности. В тех случаях, когда энергетические компании устанавливают оборудование в помещениях потребителя, например для контроля или измерения поставок энергии и/или предоставления дополнительных услуг, оборудование компаний должно быть защищено таким образом, чтобы снизить любые риски, связанные с угрозами окружающей среды, и уменьшить вероятность несанкционированного доступа
11.3.3	ИБЭ-взаимосвязанные системы управления и связи	Мера обеспечения безопасности. В тех случаях, когда системы управления и связанные с ними линии связи взаимосвязаны с системами внешних сторон, круг ответственности и интерфейсы с внешней стороной должны быть четко определены таким образом, чтобы можно было отключать и изолировать каждую организацию от других в течение соответствующего периода времени во избежание выявленных рисков
А.12 Безопасность при эксплуатации
12.8 ИБЭ-устаревшие системы
Цель: защита от рисков, возникающих в результате использования устаревших систем, когда адекватные меры безопасности не могут быть реализованы
12.8.1	ИБЭ-учет устаревших систем	Мера обеспечения безопасности. Энергетическая компания должна обеспечить, чтобы все стандартные унаследованные технологии, системы и компоненты систем управления технологическими процессами (далее - унаследованные системы) были идентифицированы вместе с их потенциальными уязвимостями в области ИБ и чтобы соответствующие меры обеспечения безопасности осуществлялись в соответствии с определенным процессом обработки рисков информационной безопасности
12.9 ИБЭ-функции безопасности
Цель: обеспечить целостность и доступность функций безопасности
12.9.1	ИБЭ-целостность и доступность функций безопасности	Мера обеспечения безопасности. Целостность и доступность информации, активов, систем, компонентов и функций, необходимых для обеспечения функций безопасности, должны защищаться в соответствии с отраслевыми стандартами и требованиями нормативных правовых актов
А.13 Безопасность системы связи
А.13.1 Менеджмент безопасности сетей
Цель: обеспечение защиты информации в сетях и ее вспомогательной обработке
13.1.4	ИБЭ-обеспечение безопасности передачи данных управления технологическим процессом	Мера обеспечения безопасности. Должны быть спроектированы, разработаны и внедрены меры по обеспечению требований безопасности, выявленных в ходе оценки рисков (например, конфиденциальность, целостность и доступность), передачи данных внутреннего и внешнего управления технологическими процессами
13.1.5	ИБЭ-логическое соединение внешних систем управления технологическими процессами	Мера обеспечения безопасности. Прежде чем системы управления технологическими процессами и связанные с ними каналы связи с внешними сторонами будут логически соединены, энергетическая компания должна обеспечить оценку риска, возникающего в результате такого соединения систем, и возможность обмена по этому каналу только разрешенными коммуникационными и информационными потоками, включая команды и сообщения системы управления
А.14 Приобретение, разработка и поддержка систем
А.14.2 Безопасность в процессах разработки и поддержки
Цель: обеспечить, чтобы информационная безопасность проектировалась и реализовывалась в рамках жизненного цикла разработки информационных систем
14.2.10	ИБЭ-минимизация функциональности	Мера обеспечения безопасности. Системы управления технологическими процессами должны быть спроектированы, сконфигурированы, эксплуатироваться и обслуживаться таким образом, чтобы обеспечивать только необходимые функции
А.17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
А.17.2 Резервирование оборудования
Цель: обеспечение доступности средств обработки информации
17.2.2	ИБЭ-аварийная связь	Мера обеспечения безопасности. При возникновении крупных нарушений, стихийных бедствий, аварий или любых других чрезвычайных ситуаций или при наличии риска их возникновения энергетические компании должны обеспечивать поддержание основных линий связи со своим собственным аварийным персоналом и/или аварийным персоналом других коммунальных служб, с основными системами управления и с внешними аварийными организациями, необходимыми для защиты и устранения таких инцидентов