ГОСТ Р МЭК 62443-2-1—2015
А.2 Категория «Анализ рисков»
А.2.1 Описание категории
Первой основной категорией CSMS является анализ рисков. В этой категории рассматривается большая
часть основной информации, которая входит во многие другие элементы CSMS. На рисунке А.2 показаны два эле
мента, являющиеся частью этой категории:
- экономическое обоснование;
- выявление, классификация и оценка рисков.
Анализ рисков
1
1
к
г
г
Экономическое
обоснование
Выявление,
классификация
и оценка рисков
РисунокА.2 — Графическое представление категории «Анализ рисков»
А.2.2 Элемент «Экономическое обоснование»
А.2.2.1 Описание элемента
Этот элемент устанавливает, что организация осведомлена и понимает важность информационной безопас
ности для информационной техники, используемой в IACS. Это понимание основано на понимании ролей, которые
такая информационная техника играет в деятельности организации, рисках, связанных с этой деятельностью, и
стоимости и других последствиях смягчения рисков для деятельности.
А.2.2.2 Риск информационной безопасности, экономическое обоснование и экономическая модель
Первым шагом реализации программы информационной безопасности для IACS является разработка убе
дительного экономического обоснования с учетом уникальных потребностей организации для смягчения риска
информационной безопасности. Организация может взять экономическое обоснованиедля своей CSMS IACS и со
путствующих отдельных проектов издействующих политик, относящихся к безопасности, общему управлению ри
сками или выполнению требований нормативных документов. Другим организациям может потребоваться, чтобы
экономическое обоснование имелоформуофициальной или неофициальной экономической моделидля меропри
ятий по управлению кибербеэоласностью, чтобы подтвердить, что стоимость смягчения риска информационной
безопасности оправдывается финансовыми выгодами. Экономическое обоснование или экономическая модель
для начальных действий по созданию CSMS будут зависеть от оценки рисков, обычно предварительной. После
подтверждения рисков организация готова принимать соответствующие действия по их смягчению. Проведение
более систематической и детальной оценхи риска (как описано далее в настоящем стандарте) и отдельные реше
ния в отношении контрмер сами по себе могут потребовать подготовки экономического обоснования, возможно, в
форме экономической модели.
В экономическом обосновании отражаются бизнес-цели высшего руководства, которые основываются на
опытеспециалистов, имеющих дело смножеством аналогичных рисков. В настоящем подпункте рассмотрены клю
чевые компоненты окончательногоэкономического обоснования иключевые ресурсы, помогающие определить эти
компоненты. Экономическое обоснование может включать подтверждение предварительной или детальной оценки
риска, других специальных аспектов всей CSMS. описанных в настоящем стандарте, или реализации контрмеры.
Опыт показывает, что реализация программы информационной безопасности без согласованного экономи
ческого обоснования часто приводит к потере ресурсов программы в пользудругих потребностей бизнеса. Обычно
такие другие потребности бизнеса имеют более очевидные бизнес-выгоды и простое обоснование.
А.2.2.3 Ключевые компоненты экономического обоснования
Существует четыре ключевых компонента экономического обоснования: приоритетные последствия для биз
неса. приоритетные угрозы, ожидаемое годовое влияние на бизнес и стоимость контрмер.
а) Приоритетные последствия для бизнеса
Перечень возможных последствий для бизнеса должен быть сужен до конкретных последствий для бизне
са. которые высшее руководство сочтет наиболее убедительными. Например, компания, производящая продук
ты питания и напитки, которая не использует токсичные или огнеопасные материалы и обычно перерабатывает
свою продукцию при относительно низких температурах и давлении, может не беспокоиться о повреждении обо
рудования или влиянии на окружающую среду, но для нее более актуальным является потеря эксплуатационной
готовности и снижение качества продукции. Понимание здесь основано на истории прошлых инцидентов, а также
на знаниях о фактическом использовании IACS в деятельности и возможном влиянии на бизнес, которое могут
оказать несанкционированные технические изменения. Также необходимо учитывать соблюдение нормативных
документов;
31