ГОСТ Р М ЭК 62443-2-1— 2015
ты. На стадии восстановления система промышленной автоматики и контроля восстанавливается до предшеству
ющего рабочего состояния.
А.3.4.5.2 Стадия планирования
Для распознавания инцидентов и реагирования на них в среде IACS необходимо разработать программу.
Такая программа должна включать письменный план, документирующий типы рассматриваемых инцидентов и
ожидаемые действия при реагировании на каждый из таких инцидентов.
Планинцидентов должен включать в себя типы инцидентов, которые могут произойти, иожидаемые действия
при реагировании на такие инциденты. Должны быть выявлены и классифицированы типы инцидентов, которые
могут вызвать проникновение всистему, по воздействию ивероятности, чтобы для каждого возможного инцидента
была выработана надлежащая стратегия реагирования. План должен включать пошаговые действия, предпри
нимаемые различными организациями. Если существуют требования по сообщению об инциденте, они должны
быть указаны наряду с тем. куда следует сообщать об инциденте, а также с указанием телефонных номеров для
уменьшения дезорганизации при сообщении. Во время составления плана реагирования на инциденты различные
заинтересованные стороны должны предоставить информацию, включая информацию о деятельности, управле
нии. правовых вопросах и безопасности. Такие заинтересованные стороны также подписывают иутверждают план.
План инцидентов должен включать многовариантные планы, включающие полный спектр последствий воз
можного выхода из строя программы кибербезопасности IACS. Многовариантные планы должны включать в себя
процедуры отделения IACS от всех несущественных кабелей, которые могут являться векторами атак, процедуры
защиты важных кабелей от последующих атак и процедуры восстановления IACS до предыдущего известного со
стояния в случав инцидента. Также необходимо проводить периодическую проверку планов в целях обеспечения их
выполнения.
Еще одним важным типом информации, который должен включаться в план инцидентов, является контакт
ная информация для всего персонала, ответственного за реагирование на инциденты в организации. При возник
новении инцидента могут возникнуть трудности с определением местонахождения этой информации.
После составления плана инцидентов организации необходимо разослать его копии соответствующим груп
пам персонала в организации, а также за ее пределами. Весь соответствующий персонал и организации должны
быть осведомлены о своих обязанностях, выполняемых до. во время и после инцидентов.
Кроме передачи плана всем соответствующим организациям, план необходимо периодически проверять для
обеспечения его актуальности. Организация должна проводить практическую отработку плана реагирования на
инциденты и анализировать ее результаты. Любые проблемы, выявленные во время отработки, должны быть ре
шены. а план должен быть актуализирован.
А.3.4.5.3 Стадия реагирования
Существует несколько способов реагирования на инциденты безопасности. Они ранжируются от отсутствия
каких-либо действий до полной остановки системы. Конкретный тип реагирования зависит от типа инцидента и его
влияния на систему. Необходимо составить письменный план на стадии планирования, в котором будут четко ука
заны типы инцидентов, которые могут произойти, и ожидаемый тип реагирования на такие инциденты. Такой план
будет служить руководством при возникновении замешательства или стресса из-за инцидента.
Организации необходимо разработать процедуры для выявления и уведомления об инцидентах. Эти про
цедуры должны являться руководством в отношении того, что необходимо считать инцидентом, каким образом о
возможных инцидентах необходимо сообщать и каким образом их классифицировать. Такое руководство должно
включать в себя информацию о распознавании и уведомлении о необычных событиях, которые могут быть инци
дентами в системе кибербезопасности. Процедуры также должны включать в себя любые особые обязанности
(например, методы идентификации, требования сообщения об инцидентах и конкретные действия), о которых пер
сонал должен быть осведомлен при разрешении инцидентов в системе кибербезопасности.
При обнаружении инцидента необходимо зафиксировать информацию о таком инцидентес указанием само
го инцидента, предпринятых действий, сделанных выводов и любых действий, предпринятых для модификации
CSMS ввиду такого инцидента. Информацию об инциденте необходимо сообщить всем соответствующим группам
в организации (например, руководству и отделам IT, технологической безопасности, проектирования систем авто
матизации и управления и производства) и любым сторонним организациям, на которые повлиял инцидент. Необ
ходимо обеспечить своевременное предоставление такой информации, чтобы помочь организации предотвратить
последующие инциденты.
Учитывая, что не все инциденты могут быть первоначально распознаны или обнаружены, в организации
должны существовать процедуры для определения неудачных и удачных попыток нарушения кибербезопасности. В
зависимости от масштабов ущерба, причиняемого конкретным инцидентом, может возникнуть необходимость в
консультации экспертов для определения корневой причины инцидента, оценки эффективности реагирования и в
случае международного ущерба для сохранения цепочек свидетельств — для судебного преследования преступ
ника. Если в критически важной IACS происходит инцидент, приводящий к прерыванию непрерывности бизнеса,
целью, возможно, будет являться восстановление рабочего состояния оборудования в кратчайшие сроки. Это мо жет
подразумевать переформатирование жестких дисков и полную перезафузку OS и приложений, что. возможно,
удалит вседанные для экспертной оценки. Определение приоритетов и практикреагирования на инциденты имеет
первостепенное значение для понимания всем персоналом целей и методов.
104