ГОСТ Р М ЭК 62443-2-1— 2015
l
потребоваться изменения. Кролю того, необходимо рассмотреть передовые отраслевые практики и требования,
описанные в настоящем стандарте, при определении изменений, усиливающих CSMS. Выбор новых контрмер
должен проводиться в соответствии с принципами, указанными в элементе «Управление рисками и реализация»
настоящего стандарта (см. А.3.4.2). После определения предлагаемых изменений они должны быть кратко задо
кументированы для предоставления другим заинтересованным сторонам;
c) Выдвижение предложений и оценка изменений CSMS
После выявления идокументирования изменений они должны быть предоставлены заинтересованным сто
ронам. Необходимо провести анализ предлагаемых изменений, чтобы определить, оказывают ли они какое-либо
негативное или непредвиденное побочное воздействие. Они также должны быть оценены для определения, име
ется ли необходимость во внесении каких-либо изменений в CSMS по сравнению с первоначальными требова
ниями и сериями испытаний. По мере появления новых возможностей многие организации внедряют новейшие
технологии в систему. В среде IACS необходимо проверить технологию или решение кибербезопасности перед
внедрением:
d) Реализация изменений a CSMS
После согласования изменения заинтересованными сторонами изменения они должны быть реализованы в
CSMS. Изменения в политики должны вноситься в соответствии с процедурой компании, относящейся к внесению
изменений в политики, и такие изменения должны быть, как минимум, задокументированы с получением письмен
ного одобрения ключевых заинтересованных сторон. Особое внимание необходимо уделять испытанию и провер ке
системы, а также участию поставщика средств управления;
e) Контроль изменений в CSMS
После внедрения новой или пересмотренной CSMS необходимо контролировать и оценивать ее эффектив
ность. Необходимо проводить проверку системы управления на регулярной основе, а также при внесении любых
изменений в систему.
А.4.3.6 Вспомогательные практические методы
А.4.3.6.1 Основные практические методы
Косновным практическим методам относятся следующие действия;
a) использование метода инициации проверки уровня остаточного риска и допустимости риска при возник
новении изменений в организации, технологии, целях бизнеса, производственной деятельности или внешних со
бытиях. включая выявленные угрозы и изменения в социальном климате;
b
)анализ, фиксирование и сообщение информации о функционировании для оценки эффективности CSMS;
c) анализ результатов периодических проверок и аудитов CSMS для определения необходимости в
изменениях;
d) выявление неэффективных политик и процедур CSMS для определения ключевых причин системных про
блем. Необходимо определить мероприятия не только для решения проблемы, но и для минимизации и предот
вращения повторений;
e) анализ потенциальных угроз и последствий на регулярной основе для определения требуемых контрмер;
f) выявление действующих и измененных норм и законодательства, а также контрактных обязательств и
требований по кибербезопасности:
д) участие ключевых заинтересованных сторон в организации определения областей дальнейшего иссле
дования и планирования. К ключевым заинтересованным сторонам относится персонал из всех групп, на которые
оказывает влияние CSMS (т. е. IT, IACS и безопасность);
h) определение уместных корректирующих и превентивных мероприятий длядальнейшего совершенствова
ния функционирования;
i) определение приоритета улучшений CSMS и разработка планов для реализации таких улучшений (т. е.
планирование бюджетов и проекта);
j) реализация всех изменений с помощью процесса управления изменениями ворганизации. Особое внима
ние необходимо уделять испытанию и проверке систем и участию поставщика средств управления в связи с по
следствиями. связанными с охраной труда, техникой безопасности иохраной окружающей среды, для среды IACS;
k) проверка реализации согласованных действий, определенных предыдущими аудитами и проверками;
) предоставлению планов действий и областей совершенствования всем заинтересованным сторонам и со
ответствующему персоналу.
А.4.3.6.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
а) построение программы количественных показателей кибербезопасности на основе ключевых действий,
описанных ниже:
1) определение цели (целей) программы количественных показателей:
2) принятие решения о том, какие количественные показателидолжны быть пересмотрены для измерения
степени внедрения и выполнения политик и процедур, определенных в CSMS.
Примечание — Рекомендуется провести ретроспективную оценку готовности системы безопасности,
отслеживая количество и серьезность прошлых инцидентов системы безопасности, включая шаблонные незначи
тельные события;
110