ГОСТ Р МЭК 62443-2-1—2015
А.3.4.5.4 Стадия восстановления
Результаты инцидента могут быть незначительными или могут вызывагь большое количество проблем в
системе. Пошаговые действия по восстановлению должны быть документированы, чтобы система вернулась к
нормальной работе в кратчайшие сроки и в безопасном режиме.
Важным компонентом стадии восстановления является восстановление систем и информации (т. е. данных,
программ и наборов параметров) до рабочего состояния. Это требует наличия системы резервирования и вос
становления. достаточной для работы с целой IACS. Она может состоять из одного или нескольких физических
устройств резервирования и восстановления, которые должны работать совместно для восстановления IACS.
В организации должен быть определен процесс анализа инцидентов для решения выявленных проблем и
обеспечения их исправления. Результаты процесса анализа должны быть отражены в соответствующих политиках и
процедурах кибербеэопасносги. технических контрмерах и планах реагирования на инциденты. Инциденты, от
носящиеся к кибербезоласности. можно разделить на три категории:
- вредоносные коды, например, вирусы, черви, боты, руткиты и трояны;
- случайная утрата доступности, целостности или конфиденциальности информации (включая эксплуатаци
онную готовность):
- несанкционированное проникновение, включая физический доступ.
Управление инцидентами в первых двух категориях обычно осуществляется за счет процесса реагирования
на инциденты IT-безопасности. Управление третьей категорией обычно осуществляется при содействии специали
стов по охране труда, технике безопасности и охране окружающей среды, а также руководства площадки.
А.3.4.5.5 Вспомогательные практические методы
А.3.4.5.5.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) создание процедур для всей организации в целях распознавания и сообщения о необычных событиях,
которые могут являться инцидентами кибербезопасности;
b
) создание процедур планирования и реагирования на инциденты, включая:
- назначение лица, ответственного за реализацию плана при возникновении необходимости:
- определение структуры вызываемой группы реагирования на инциденты, включающей специалистов по
IT-безопасности и IACS и дополнительный персонал;
- определение ответственности за координирование защиты и реагирования на инцидент.
- рассмотрение инцидента от возникновения до окончательного анализа:
- создание процедур выявления и определения категории и приоритетности инцидентов;
- создание процедур для различных типов инцидентов, например, атак DoSa, взлома системы, вредоносного
кода, несанкционированного доступа и ненадлежащего использования;
c) определение профилактических мер для автоматического выявления инцидентов на ранней стадии:
d) предплановое реагирование на сценарии угроз, выявленные оценкой уязвимости и рисков:
e) сообщение об инцидентах в системе промышленной автоматики и контроля всем соответствующим орга
низациям. включая организации, занимающиеся IT.безопасностью производственной деятельности, проектирова
нием систем автоматизации и контроля и эксплуатацией, для их осведомленности.
f) сообщение о количественных показателей и инцидентах исполнительному руководству;
д) выполнение регулярного анализа прошлых инцидентов для совершенствования CSMS;
h) фиксирование информации об инцидентах, сделанных выводов и любых действий, которые были пред
приняты для модификации CSMS в отношении инцидента;
i) практическая отработка плана. Проведение совещаний после отработки для выявления областей
совершенствования.
А.3.4.5.5.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
a) разработка внутренних или внешних средств судебной экспертизы для IACS:
b
) разработка процесса немедленного сообщения об инцидентах кибербезопасности. Обеспечение связи
процесса с группой кризисного управления организации. Обучение персонала на примерах регистрируемых инци
дентов. чтобы он мог более тщательно выполнять требования по сообщению об инцидентах;
c) понимание любых возможных связей между IT. безопасностью и IACS и использование этих знаний в ком
плексных процедурах реагирования на инциденты безопасности:
d) разработка, испытание, применение идокументирование процесса расследования инцидентов;
е) разработка корпоративных политик сообщения об инцидентах кибербезопасности и предоставления ин
формации об инцидентах отраслевым группам и государственным органам, если это допускается корпортивными
политиками:
f)определение ролей иобязанностей вотношении выполнения местного законодательства и/илидругих важ
ных заинтересованных сторон в программах внутреннего и совместного расследования инцидентов;
д) расширение рамок расследования инцидента, исходя из возможного результата инцидента, а не только
фактического результата, признания того, что киберинцидент может включать злой умысел. Может потребоваться
повышение уровня расследования инцидента в зависимости от его серьезности;
105