ГОСТ Р МЭК 62443-2-1—2015
Описание:
Организации должны внедрять комплексные политики управления информацией и документа
цией для информационных объектов в рамках IACS и CSMS. Необходимо уделять большое внимание
вопросу защиты такой информации и гарантии сохранения соответствующих версий. Системы класси
фикации информации, позволяющие достигать нужных уровней защиты информационных объектов,
являются ключевым условием для выполнения этой цели.
Обоснование:
Большая часть информации о IACS может храниться в электронном или бумажном виде за преде
лами IACS и быть не защищенными средствами контроля авторизации IACS. Несанкционированный
доступ и использование этой информации представляют собой угрозу для безопасности IACS.
Для такой информации необходимо предусмотреть надлежащий контроль и управление.
Требования.
Таблица 16 — Управление информацией идокументами: требования
Описание рабог
Требование
4.3.4.4.1 Разработка процессов
управления на протяжении жиз
ненного цикла для информации
IACS
Для информации IACS должен быть разработан и поддерживаться про
цесс управления документацией в течение жизненного цикла
4.3.4.4.2 Определение уровней
классификации информации
Должны быть определены уровни классификации информации (например,
конфиденциальная информация, информация ограниченного доступа, для
широкого пользования) для доступа и управления, включая обмен, копиро
вание. передачу и распространение, соответствующие требуемому уровню
защиты
4.3.4.4.3 Классификация всех ин
формационных объектов CSMS
Все логические объекты в рамках CSMS (т. е. информация о проектиро
вании системы, оценки уязвимости, сетевые схемы и программы для про
мышленной эксплуатации) должны быть классифицированы с указанием
требуемого уровня защиты, сопоставимого с последствием несанкциони
рованного раскрытия или изменения
4.3.4.4.4 Обеспечение надлежа
щего контроля записей
Должны разрабатываться политики и процедуры, детально описывающие
процессы сохранения, физической защиты и защиты целостности, унич
тожения и ликвидации всех объектов в зависимости от их классификации,
включая письменные и электронные записи, оборудование и прочие сред
ства. содержащие данные, с учетом юридических или правовых требова
ний
4.3.4.4.5 Обеспечение возможно
сти извлечения многолетних за
писей
Должны быть приняты соответствующие меры, обеспечивающие возмож
ность извлечения многолетних записей (т. е. преобразование данных в но
вый формат или сохранение старого оборудования, которое может быть
использовано для считывания данных)
4.3.4.4.6 Ведение классификации
информации
Информация, для которой требуется особый контроль или обработка,
должна периодически проверяться и подтверждаться на предмет того, что
все еще есть необходимость в специальной обработке
4.3.4.4.7Проверкапроцесса
управления информацией и доку
ментацией
Должны выполняться периодические проверки на предмет соответствия
информации и политики управления документацией
4.3.4.5 Элемент «Планирование и реагирование на инциденты»
Цель:
Определить, каким образом организация будет выявлять инциденты в системе кибербоэопасно-
сти и реагировать на них.
Описание:
При разработке программы планирования и реагирования на инциденты необходимо включать
в нее все системы, не ограничиваясь исключительно традиционным оборудованием компьютерного
зала. Часть плана реагирования на инциденты должна быть посвящена процедурам реагирования ор-
25