ГОСТ Р МЭК 62443-2-1—2015
Периодические анализы иаудиты CSMS позволяют выявить, были ли требуемые политики, процедуры и кон
трмеры реализованы надлежащим образом и выполняются ли они, так как предполагалось. В среде IACS аудито
рам необходимо полностью ознакомиться с политиками и процедурами кибербезопасности и конкретными рисками
охраны труда, техники безопасности и охраны окружающей среды, связанными с конкретным предприятием и/или
промышленной деятельностью. Необходимо обеспечивать, чтобы аудит не вмешивался в функции управления,
выполняемые оборудованием IACS. Может понадобиться отключение системы перед проведением аудита. В ходе
аудита необходимо проверить следующее:
- политики, процедуры иконтрмеры, имевшиеся вовремя приемочныхиспытаний системы, всееще установ
лены и надлежащим образом функционируют в OS;
- OS не содержит угроз для безопасности.
Примечание — При возникновении инцидента должны создаваться записи о характере и масштабах
инцидента:
- процедура управления изменениями программы строго соблюдается, при этом имеется журнал контроля с
указанием всех проверок и одобрений изменений.
Добавление или удаление имущественных объектов из IACS может быть незапланированным действием,
приводящим к проверке CSMS. Распространенной практикой во время технического обслуживания или переобо
рудования системы являетсядобавление, модернизация или удаление оборудованияили ПО из IACS. Четко опре
деленный и выполняемый процесс управления изменениями зафиксирует это. что может привести к проверке или
аудиту CSMS. Такая проверка или аудит обеспечит отсутствие негативного влияния такого изменения на кибербе-
эопасность IACS. Еще одним примером незапланированного действия является реагирование на вирусную атаку
на предприятие. После того, как CSMS была использована для реагирования и восстановления после инцидента
необходимо провести проверку или аудит CSMS, чтобы определить, какая неисправность привела к возможности
распространения вируса.
Проверка или аудит (внутренний или внешний) кибербезопасности предоставляет организации ценные
данные для совершенствования CSMS. Результаты таких проверок или аудитов должны включать необходимое
количество подробной информации, чтобы обеспечить выполнение всех правовых и нормативных требований, а
также внесение всех изменений, предписанных проверкой или аудитом. Результаты направляются всему со
ответствующему персоналу (т. е. заинтересованным сторонам, руководителям и персоналу, занимающемуся
безопасностью).
А.4.2.3 Ключевые показатели эффективности
KPI позволяют организации определить, насколько эффективно функционирует CSMS. а также направить
ресурсы в области, которые необходимо усовершенствовать. KPI должны представлять собой, по возможности,
количественные показатели (т. е. цифры и процентные доли), указывающие насколько эффективно функционирует
определенная часть CSMS относительно ожидаемых условий.
Учитывая, что результаты проверок или аудитов CSMS выражаются с использованием KPI. большое значе
ние имеет выбор показателей, которые являются актуальными, значимыми и соответствующими CSMS и другим
требованиям организации. Результаты периодических запланированных действий могут быть выражены в виде
показателей эффективности по сравнению с набором заданных показателей для отражения эффективности и
тенденций безопасности. Результаты незапланированных действий могут быть выражены в виде эффективности
работы CSMS при возникновении незапланированного события или инцидента.
Данные о кадрах должны являться частью показателей эффективности. Компании должны отслеживать про
центную долю персонала, назначенного для работы с IACS. и процентную долю персонала, прошедшего обучение и
соответствующего квалификационным требованиям для выполнения соответствующей роли. Несмотря на то. что
такие данные могут показаться непонятными, с их помощью системные проблемы могут быть обнаружены ранее,
чем с помощью результатов некачественного аудита.
Сравнительный анализ KPI и результатов проверок или аудитов по сравнению сдругими организациями или
требованиями является хорошим методом подтверждения эффективности CSMS. Если сравнительные данные
собираются за определенный период времени, организация может определить тенденции угроз или контрмер.
Такие тенденции могут указывать на места, в которых CSMS должна быть проанализирована в рамках подпункта об
анализе, совершенствовании и поддержании системы (см. А.4.3).
А.4.2.4 Вспомогательные практические методы
А.4.2.4.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) получение гарантий пригодности среды управления и выполнения общихцелей кибербезопасности. Опре
деление влияния на безопасность добавления, модернизации или устранения объектов (т. е. патчи ПО. модерни
зация приложений и изменение оборудования);
b
) подтверждение, что в течение конкретного периода между аудитами все аспекты CSMS функционируют
надлежащим образом. Должно быть запланировано достаточное число аудитов, чтобы задачи аудита были равно
мерно распределены в течение выбранного периода. Руководство должно обеспечивать периодическое проведе
ние аудитов. Руководство должно также обеспечивать информацию о том. что существует подтверждение:
- проверки выполнения документированных процедур идостижения требуемых целей;
107