ISO IEC 27019-2024 PDF

Полное наименование и описание

ISO/IEC 27019:2024 — Информационная безопасность, кибербезопасность и защита персональных данных — Меры по информационной безопасности для энергетической отрасли. Стандарт задаёт набор специализированных мер информационной безопасности, применимых к системам управления процессами и сопутствующим информационным системам в производстве, передаче, хранении и распределении электроэнергии, газа, нефти и тепла.

Аннотация

Документ представляет адаптацию и уточнение мер ISO/IEC 27002:2022 применительно к энергетическому сектору (energy utility industry). Он охватывает управление и защиту как централизованных, так и распределённых систем управления технологическими процессами, цифровых контроллеров и полевых устройств (включая ПЛК), систем сбора и передачи данных (телеметрия, телекоманды), подсистем интеллектуального учёта (AMI), систем управления энергосетями (DMS/OMS), а также сопутствующего программного обеспечения, коммуникаций и помещений. Стандарт не применяется к системам управления процессами объектов ядерной энергетики (в этой области действует IEC 63096).

Общая информация

• Статус: Опубликован.
• Дата публикации: 18 октября 2024 года (издание 2, 2024).
• Организация-издатель: Международная организация по стандартизации (ISO) совместно с Международной электротехнической комисией (IEC) / технический комитет ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030 — IT Security.
• Редакция / версия: Издание 2 (2024), заменяет ISO/IEC 27019:2017.
• Количество страниц: 39 (официальная англоязычная версия по данным ISO).

Область применения

Стандарт применяется для определения и внедрения мер информационной безопасности в энергетических организациях и операторах инфраструктуры — на всех стадиях: производство/генерация, передача, хранение и распределение энергии (электричество, газ, нефть, тепло), а также для сопутствующих процессов и систем управления технологическими процессами. Он ориентирован на защиту как ИТ-компонентов, так и операционных (OT) элементов и их интеграции. Стандарт прямо исключает область управления процессами ядерных объектов (см. IEC 63096).

Ключевые темы и требования

• Адаптация контролей ISO/IEC 27002:2022 к специфике операционных и процессных систем энергетики (OT/ICS).
• Защита цифровых контроллеров и полевых устройств (PLC, RTU и пр.), их прошивок и конфигураций.
• Сегментация сетей, ограничение доступа между IT и OT, защищённые каналы связи и телеметрии.
• Управление удалённым доступом и удалённым обслуживанием оборудования.
• Управление уязвимостями, обновлениями и конфигурацией в системах управления процессами.
• Контроль поставщиков и третьих сторон, безопасность цепочки поставок и поставляемых компонентов/ПО.
• Мониторинг, журналирование и реагирование на инциденты кибербезопасности с учётом требований доступности и устойчивости технологических процессов.
• Физическая безопасность помещений и устройств, защита датчиков/исполнительных механизмов и систем интеллектуального учёта.
• Аспекты конфиденциальности и соответствия при обработке данных потребителей (в рамках применимых требований).

Применение и пользователи

Стандарт рассчитан на операторов энергетической инфраструктуры (генерация, передача, распределение), владельцев активов, интеграторов систем управления, поставщиков SCADA/ICS/DER/AMI-решений, команды OT/IT-безопасности, аудиторов и регулирующие организации, которым необходимы специализированные руководства по защите критичных технологических систем.

Связанные стандарты

ISO/IEC 27019:2024 тесно связан с ISO/IEC 27002:2022 (набор общих мер и руководств по контролям информационной безопасности) и с базовыми документами семейства ISO/IEC 27000 (в т.ч. ISO/IEC 27001 для СУИБ). Для области ядерной энергетики применяется IEC 63096; существуют также отраслевые и региональные нормативы по кибербезопасности критической инфраструктуры, которые дополняют требования ISO/IEC 27019.

Ключевые слова

энергетика, информационная безопасность, кибербезопасность, OT, ICS, SCADA, AMI, PLC, управление уязвимостями, сегментация сети, ISO/IEC 27002, устойчивость, защита критической инфраструктуры

FAQ

В: Что это за стандарт?

О: Отраслевая рекомендация по информационной безопасности для энергетического сектора, адаптирующая общие контролы ISO/IEC 27002 под особенности систем управления технологическими процессами и сопутствующих ИТ/OT-сред.

В: Что он регулирует?

О: Стандарт устанавливает рекомендации и контролы по защите технологических и информационных систем энергетики: от защиты полевых устройств и контроллеров до сетевой сегментации, управления удалённым доступом, мониторинга и реагирования на инциденты.

В: Кто обычно использует?

О: Энергетические компании (генерация, передача, распределение), операторы сетей, интеграторы SCADA/ICS, инженеры OT, специалисты по кибербезопасности и регуляторы — все, кому нужно внедрять или оценивать меры безопасности в OT-средах.

В: Он актуален или заменён?

О: На момент публикации карточки актуальная редакция — ISO/IEC 27019:2024 (издание 2), опубликованная в октябре 2024 года; она заменяет редакцию 2017 года. При внедрении рекомендуется сверяться с официальными публикациями национальных органов по стандартизации для статуса адаптации/принятия в конкретной юрисдикции.

В: Это часть серии?

О: Да — это отраслевое применение (extension) семейства стандартов ISO/IEC 27000 (в частности опирается на ISO/IEC 27002:2022) и входит в набор документов, направленных на обеспечение информационной безопасности и соответствия.

В: Какие ключевые слова?

О: Энергетика, OT, ICS, SCADA, AMI, PLC, информационная безопасность, кибербезопасность, сегментация сети, управление уязвимостями, устойчивость.