ГОСТ Р 56205—2014
боваться скорректировать. Регламенты необходимо пересматривать, если произошли изменения в
технологиях.
Регламенты могут использоваться аудитами. Аудит безопасности устанавливает соответствие
выявленных действий организации письменным регламентам.
5.8.4 Задачи, решаемые с помощью политик и регламентов
5.8.4.1 Общие положения
Существует ряд задач, которые могут решать политики и регламенты безопасности. Каждая ор
ганизация уникальна и должна по возможности устанавливать соответствующие политики и регла
менты безопасности, которые применимы для ее систем промышленной автоматики и контроля. Та кие
задачи могут включать в себя:
- управление риском;
- управление доступом:
- доступность и планирование бесперебойности;
- физическую безопасность;
- архитектуру;
- портативные устройства;
- беспроводные устройства идатчики;
- удаленный доступ:
- персонал;
- политику субподряда;
- аудит:
- обновление политики безопасности.
5.8.4.2 Управление риском
Управление риском играет крайне важную роль при разработке экономичной программы безо
пасности. которая обеспечивает одинаковый уровень приемлемой безопасности, но не требует обо
рудования или регламентов, которые обходятся слишком дорого и находятся за рамками требуемой
безопасности. Тем не менее, управление риском сложно и поэтому должно быть приспособлено к
конкретной организации. Политика управления риском устанавливает, как определять приемлемый
уровень риска и как управлять риском. Этот уровень варьируется в зависимости от целей и обстоя
тельств отдельно взятой организации. Процесс определения уровня риска следует периодически по
вторять для приведения его в соответствие с изменениями окружающей обстановки.
5.8.4.3 Управление доступом
Безопасность системы повышают путем ограничения доступа в пользу лишь тех пользователей,
которые нуждаются в доступе и наделены правом на него. Политика управления доступом устанав
ливает различные функции пользователей и какой род доступа необходим для каждой функции при
менительно к каждому классу имущественных объектов (физических или логических). Такая политика
прописывает обязанности наемных работников в деле защиты имущественных объектов и обязанно
сти руководителей в деле обслуживания регламентов управления доступом. Санкционирование при
вилегий доступа должно быть по возможности одобрено руководством и убедительно отражено в до
кументах. а также периодически пересматриваться. Управление доступом может быть так же важно и
даже важнее для обеспечения целостности и доступности системы, чем необходимость сохранения
конфиденциальности данных.
5.8.4.4 Доступность и планирование бесперебойности
Политика в этой области предусматривает необходимую концепцию и ожидаемые требования к
резервированию и восстановлению, а также планированию ведения бизнеса и восстановления после
чрезвычайных происшествий. Она определяет также параметры архивирования (например, как долго
следует сохранять данные).
5.8.4.5 Физическая безопасность
Безопасность системы управления зависит от физической защищенности пространства, которое
включает в себя систему управления. Для заводской территории может быть прописана политика
безопасности еще до того, как политика безопасности будет прописана для системы управления. Од
нако политика физического доступа к определенным системам может отличаться от политики, отно
сящейся к объектам из других систем. Например, весь персонал нефтеперерабатывающего завода
может иметь общий доступ практически ко всем техническим средствам в пределах стен завода, одна
ко доступ к помещениям IT-инфраструктуры может быть ограничен лишь в пользу персонала,
имеющему отношение к информационной технике — хотя бы в целях предотвращения случайных
37