ГОСТ Р МЭК 62443-2-1—2015
А.4.3.3 Оценка и анализ эффективности CSMS
Оценка эффективности CSMS включает в себя анализ информации об инцидентах. Чем больше у органи
зации возможностей выявления успешных и неудачных попыток нарушения кибербезопасности и фиксирования
таких инцидентов, тем больше возможность оценки эффективности CSMS при снижении риска. Информация об
инциденте включает количество инцидентов, тип или класс инцидентов и экономические последствия инцидентов.
Такая информация является чрезвычайно важной для понимания текущего экономического воздействия угроз ки
бербезопасности и для оценки эффективности конкретных применяемых контрмер.
В то время, как анализ информации об инциденте позволяет оценить эффективность CSMS в прошлом,
управление системой также предназначенодля поддержанияэффективности системы вбудущем. Для достижения
этого необходимо контролировать изменение факторов, которые могут повысить или уменьшить эффективность в
перспективе. Ключевыми факторами контроля являются:
- уровень риска, который может измениться в связи с изменением угроз, уязвимости, последствий или
вероятности;
- границы допустимости рисков организации;
- внедрение новых или измененных систем или производственной деятельности;
- отраслевые практики;
- доступные технические и нетехнические контрмеры;
- правовые и нормативные требования.
CSMS организации должна регулярно проверяться с целью оценки ее эффективности в прошлом и буду
щих перспектив. Такая проверка должна включать периодическую оценку политик и процедур кибербезопасности
для подтверждения того, что такие политики и процедуры существуют, функционируют и соответствуют правовым,
нормативным и внутренним требованиям безопасности. В соответствующих обстоятельствах также выполняется
оценка политик и процедур бизнес-партнеров организации, например, поставщиков продукции и услуг, совместных
предприятий или заказчиков.
Помимо регулярных проверок, проверки соответствующих аспектов CSMS могут вызвать значительные из
менения перечисленных выше факторов. Организация должна определить набор тригерров и пороговых значений
изменений, приводящих к проверкам. Триггеры могут включать следующие факторы:
- внутренние: исходя из эффективности CSMS и значений KPI и других подходящих внутренних показателей
(например, допустимости рисков, изменений в управлении и т. д.);
- внешние: изменения в среде угроз, передовых отраслевых практиках, имеющихся решениях и правовых
требованиях могут указывать на необходимость или возможность совершенствования CSMS.
Организация, назначенная для управления изменениями в CSMS, должна нести ответственность за анализ
триггеров и пороговых значений для изменений и использования их для начала процесса проверки.
А.4.3.4 Правовые и нормативные последствия для CSMS
Нормативные и правовые требования, под которые подпадает организация, могут изменяться со временем.
Организация может выполнять первоначальные требования к CSMS. но CSMS может не соответствовать действу
ющим нормативным и правовым требованиям.
Организация должна периодически анализировать действующие нормативные и правовые требования и
определять области, которые могут оказывать влияние на CSMS. Также при внесении значительных изменений в
нормативные и правовые требования необходимо проводить проверку CSMS на соответствие новым требованиям.
А.4.3.5 Управление изменениями в CSMS
Для того, чтобы создать скоординированную систему, необходимо назначить организацию/группу специали
стов для управления и координирования оптимизации и реализации изменений CSMS. Такая организация/группа
специалистов, вероятно, будет организацией матричного типа, привлекающей ключевых специалистов из различ
ных деловых организаций. Для внесения и реализации изменений такая группа специалистов должна использо
вать определенный метод.
Необходимость изменений CSMS обусловливается рядом внутренних и внешних факторов. Управление эти
ми изменениями требует координирования действий с различными заинтересованными сторонами. При внесении
изменений в систему управления необходимо оценить возможные побочные последствия, относящиеся к работе
и безопасности системы. При совершенствовании безопасности IACS также необходимо учитывать различные
организации, практики и требования реагирования на инциденты.
Для управления изменениями CSMS необходимо разработать письменные процедуры. Этот процесс может
включать следующие действия:
a) Изучение существующей системы управления
До улучшения CSMS необходимо изучить и понять существующую систему управления. Все политики, отно
сящиеся к кибербезопасности, должны быть проанализированы, чтобы все заинтересованные стороны четко пони
мали действующую политику и способ ее реализации. Кроме того, должны быть определены все имущественные
объекты и процедуры, относящиеся к CSMS:
b
) Определение процедур внесения предложений и оценки изменений CSMS
После рассмотрения существующей системы управления она должна быть проверена на соответствие и
эффективность, как указано выше. Должны быть выявлены слабые стороны или разрывы в системе управле ния
и предложены корректирующие действия. Оценка системы управления должна выявлять области, где могут
109