ГОСТ Р МЭК 62443-2-1—2015
b
)Приоритетные угрозы
Перечень возможных угроз необходимо сузить по возможности до угроз, которые считаются убедительными.
Например, компания, производящая еду и напитки, может не счесть терроризм убедительной угрозой, для нее
будут более актуальными угрозы вирусов, «червей» и недовольства персонала. Понимание вданном случае бази
руется. в основном, на истории прошлых инцидентов:
c) Ожидаемое годовое влияние на бизнес
Наиболее важные пункты перечня приоритетных последствий для бизнеса должны быть тщательно изучены
для получения оценки годового влияния на бизнес предпочтительно, но не обязательно, в финансовом плане. В
примере скомпанией, производящей продукты питания и напитки, компания пережила инцидент с вирусом в своей
внутренней сети, который по оценке организации информационной безопасности привел к определенным финан
совым затратам. Поскольку внутренняя сеть и сеть управления соединены между собой, можно предположить, что
вирус, появившийся из сети управления, может мазать такое же влияние на бизнес.
Понимание здесь основывается, прежде всего, на историях прошлых инцидентов. Соблюдение установлен
ных норм может повлечь за собой конкретные финансовые или деловые штрафы за несоблюдение:
d) Стоимость
Ожидаемая стоимость человеческой работы и технических контрмер должна быть подтверждена вэкономи
ческом обосновании.
Примечание — Для подготовки экономической модели требуется оценка влияния на бизнес в финан
совом плане и сметы расходов на контрмеры, но успешное экономическое обоснование не всегда включает эту
информацию.
Есть целый ряд информационных ресурсов, помогающих составить такое экономическое обоснование:
внешние ресурсы в торговых организациях и внутренние ресурсы в соответствующих программах управления ри
сками или технологии и эксплуатации.
Внешние ресурсы в торговых организациях часто предоставляют ценную информацию о факторах, которые
оказывают наиболее сильное влияние на их руководство, для поддержки их деятельности ио ресурсах вих органи
зациях. которые зарекомендовали себя, как наиболее полезные. Для различных отраслей эти факторы могут быть
разными, но может существовать сходство в функциях, которые могут выполнять другие специалисты управления
рисками.
Внутренние ресурсы, связанные с соответствующей деятельностью по управлению рисками (а именно ин
формационной безопасностью, охраной труда, техникой безопасности и охраной окружающей среды, физической
безопасностью и непрерывностью бизнеса), могут оказать неизмеримую помощь на основе своего опыта соответ
ствующих инцидентов в организации. Это информация полезна с точки зрения выделения приоритетных угроз и
оценки влияния на бизнес. Эти ресурсы могут также дать представление о том. на работу с какими рисками ори
ентированы менеджеры, и. таким образом, о том. какие менеджеры могут оказаться наиболее подходящими или
готовыми выступать в качестве лидеров.
Внутренние ресурсы, связанные с инженерно-эксплуатационными аспектами систем управления, могут обе
спечить детальное понимание того, как системы управления фактически используются в организации. Как сети
обычно разделяются? Какую конструкцию обычно имеют высокоопасные системы сгорания или автоматические
системы безопасности? Какие контрмеры безопасности уже повсеместно используются? С учетом истории ор
ганизации по слияниям и поглощениям, также важно понять, насколько репрезентативной является конкретная
площадка по отношению ко всему предприятию, региону или всей организации.
Следует иметь в виду, что на ранней стадии промышленной эксплуатации, основной упор будет сделан на
определении одного или двух приоритетных вопросов, которые оправдывают дальнейшие работы. При дальней
шей разработке программы информационной безопасностидля IACS в перечне могут появиться другие элементы, и
приоритеты могут сместиться по мере того как организация будет применять более строгие методы анализа
рисков. Однако эти изменения не должны отвлекать от результата первоначальных действий, оправдывающего
запуск программы.
А.2.2.4 Содержание предложений для экономического обоснования IACS
В каждой организации путь разработки эффективной программы информационной безопасности для IACS
начинается с людей, которые выявляют риски, которые несет организация, и начинают четко формулировать эти
риски внутри организации не только с технической точки зрения, но и с точки зрения бизнеса. Экономическое обо
снование не является детальной оценкой рисков, это скорее предварительное описание рисков, достаточное для
оправдания последующих запланированных шагов по построению CSMS. Обоснование может быть как деталь
ным. так и кратким в зависимости от требований процесса принятия решений в конкретной организации.
Негативные последствия кибератак против IACS для бизнеса могут включать в себя:
- снижение производства или производственные потери на одной или нескольких площадках одновременно:
- травмы или смерть работников;
- травмы или смерть людей в обществе;
- повреждения оборудования;
- экологический ущерб:
- нарушение нормативных требований;
32