ГОСТ Р М ЭК 62443-2-1— 2015
- установки и надлежащей и непрерывной работы технических средств контроля (т. е. брандмауэров и
средств контроля доступа).
А.4.2.4.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
a) построение программы количественных показателей кибербезопасности на основе ключевых действий,
описанных ниже:
1) определение цели (целей) программы количественных показателей:
2) принятие решения о том. какие количественные показатели должны быть предусмотрены для измере
ния степени внедрения и выполнения политик и процедур, определенных вCSMS:
- предварительная оценка любых возможных уязвимостей безопасности (например, процент слабых
сторон безопасности, выявленных аудитом, которые должны быть исправлены к конкретной дате);
- отслеживание реализации и использования мер безопасности и превентивных мер (например, про
цент выполнения стандартов безопасности):
3) разработка стратегий определения количественных показателей;
4) определение контрольных показателей и целей:
5) определение того, каким образом и кому предоставляется информация о значениях количественных
показателей;
6) создание и выполнение плана действий:
7) создание официального плана анализа/доработки программы;
b
)анализ результатов аудитов, самостоятельно проведенных оценок, отчетов об инцидентах кибербезопас
ности и обратной связи, регулярно предоставляемой ключевыми заинтересованными сторонами для определения
эффективности CSMS;
c) проведение анализов операционной безопасности IACS с помощью инженеров, прошедших обучение по
безопасности IACS. Кроме того, вопросы безопасности подвергаются более обширному анализу государственным
органом.
А.4.2.5 Использованные ресурсы
Данный элемент был частично основан на материалах [24]. [26]. [35]. [49]. [50].
А.4.3 Элемент «Анализ, совершенствование и поддержание системы управления кибербезопас-
ностью»
А.4.3.1 Описание элемента
Процесс непрерывного мониторинга и анализа CSMS позволяет организации получить подтверждение, что
она достигает целей и выполняет политики и процедуры, заложенные в CSMS. KPI. определенные при разработке
CSMS. используются для оценки эффективности CSMS во время процесса анализа выполнения норм. Элемент
«Выполнение норм» предназначен для проверки того, что CSMS функционирует надлежащим образом, в то время
как настоящий элемент предназначен для проверки того, что требования, использованные для разработки CSMS.
соответствуют целям по кибербеэопасности организации.
Методы внутренней проверки, например, аудиты соответствия и расследование инцидентов, позволяют ор
ганизации определить эффективность системы управления и соответствие ее работы ожиданиям. Также важно
определить, выполняет ли система управления цели и задачи, установленные во время процесса планирования.
Если существуют отклонения от первоначальных целей и задач, может понадобиться внесение системных изме
нений всистему управления.
Поскольку угрозы и технологии обеспечения безопасности находятся в постоянном развитии, программа
кибербезопасности организации тоже должна развиваться с учетом новых угроз и доступных возможностей. Орга
низации должны отслеживать, проверять и совершенствовать мероприятия по обеспечению безопасности персо
нала. имущества, продукции, производственной деятельности, данных и информационных систем.
Общей целью является обеспечение того, чтобы CSMS оставалась эффективной при внесении изменений,
основаных на появлении новых угроз, возможностей и регулярных анализов. Непрерывное внимание к безопас
ности является для персонала показателем того, что кибербеэопасностьявляется основной ценностью компании.
А.4.3.2 Анализ соответствия CSMS
Соответствие CSMS рассматривалось в одном из предыдущих элементов. Оно предназначенодля проверки
выполнения организацией политик и процедур, заложенных вCSMS. В рамхах процесса определения соответствия
были установлены ключевые показатели эффективности для измерения эффективности CSMS организации. Не
удовлетворительные значения KPI в одном цикле анализа могут указывать на одиночную проблему, которая мо
жет быть исправлена простыми способами. Неудовлетворительные значения многих KPI или у одного и того же
KPI при повторных проверках могут указывать на системные проблемы в CSMS. Это может указывать также на
необходимость повышения уровня обучения или контроля выполнения, недостаточное количество ресурсов или
нецелесообразность реализованных процедур. Принятие указанных решений входит в процесс управления CSMS.
Для решения указанных вопросов необходимо проконсультироваться с организацией, действия которой контроли
руются вне зависимости от того, оценивается ли KPI входе независимого или внутреннего аудита.
Важно, чтобы CSMS включала в себя требования по улучшению результатов проверки соответствия. Не
обходимо назначить ответственное лицо для разработки долговременной стратегии совершенствования в целях
обеспечения последовательного и экономически целесообразного совершенствования во времени.
108