ГОСТ Р МЭК 62443-2-1—2015
0 Введение
0.1 Обзор
Кибербезопасность приобретает все большее значение для современных компаний. Многие орга
низации. работающие в сфере информационных технологий, много лет занимаются вопросами кибер-
безопасности и за это время внедрили зарекомендовавшие себя системы управления кибербеэоласно-
стыо (CSMS), которые приведены в стандартах Международной организации по стандартизации (ISO) и
Международной электротехнической комиссии (МЭК) (см. ИСО/МЭК 17799 [23] и ИСО/МЭК 27001 [24]).
Такие системы управления обеспечивают хорошо отлаженный метод защиты объектов организации от
кибератак.
Организации, применяющие IACS (системы промышленной автоматики и контроля), начали при
менять готовые коммерческие технологии (COTS), разработанные для бизнес-систем, используемых в
их повседневных процессах, в результате чего возрос риск кибератак, направленных на оборудование
IACS. Как правило, такие системы в среде IACS по многим причинам не настолько робастны, как систе мы.
специально спроектированные как IACS для подавления кибератак. Подобные недостатки могут
привести к последствиям, которые отразятся на уровне охраны труда, промышленной безопасности и
охраны окружающей среды (HSE).
Организации могут попытаться использовать существовавшие ранее решения в сфере информа
ционных технологий и кибербезопасности бизнеса для обеспечения безопасности IACS, при этом не
осознавая последствий своих действий. И хотя многие такие решения можно применять в отношении
IACS, реализовывать их необходимо правильным способом, чтобы избежать неблагоприятных послед
ствий.
0.2 Система управления кибербезопасностью для IACS
Система управления описывает компоненты, которые должны быть включены в систему управле
ния. но при этом не определяет, каким образом она должна разрабатываться. В настоящем стандарте
рассмотрены аспекты компонентов, включенных в CSMS для IACS. и приводятся указания по разработ
ке CSMS для IACS.
Для решения сложной задачи в качестве общего проектного подхода проблема разбивается на
мелкие компоненты, каждый из которых рассматривается в определенном порядке. Такой основатель
ный подход позволяет изучить риски, связанные с кибербезопасностью для IACS. Однако частой ошиб
кой при этом является то. что работа одновременно осуществляется с одной системой. Обеспечение
информационной безопасности представляет собой гораздо более сложную задачу, которая требует
решений для всего набора IACS. включая политики, процедуры, практики и персонал, в работе которого
применяются такие IACS. Возможно, для внедрения масштабной системы управления потребуется из
менение культуры внутри организации.
Постановка вопроса кибербезопасности на уровне всей организации может выглядеть устраша
юще. К сожалению, решить подобную задачу простым способом не представляется возможным. Это
объясняется разумной причиной, не имеется комплекса практик безопасности, подходящих для всего
и всех. Может быть, и реально достичь абсолютной безопасности, но навряд ли рекомендуется, ведь
это чревато потерей функциональности, которая требуется для достижения этого почти идеального
состояния. Безопасность на деле является балансом между риском и затратами. Все ситуации будут
отличаться друг от друга. В некоторых случаях риск может быть скорее связан с факторами HSE, неже
ли чем с чисто экономическим воздействием. Реализация риска скорее закончится непоправимыми по
следствиями. чем небольшим финансовыми трудностями. Поэтому готовый набор обязательных прак
тик в области обеспечения безопасности будет либо слишком жестким и. скорее всего, дорогостоящим,
либо недостаточным для того, чтобы решить проблему риска.
0.3 Связь между настоящим стандартом и ИСО/МЭК 17799 и ИСО/МЭК 27001
ИСО/МЭК 17799 (23) и ИСО/МЭК 27001 (24] — это очень хорошие стандарты, в которых описана
система управления кибербезопасностью для бизнес-систем и систем информационных технологий.
Многие положения этих стандартов также применяются и в отношении IACS. В настоящем стандарте
сделан акцент на необходимость соответствия практик управления кибербезопасностью IACS и прак тик
управления кибербезопасностью бизнес-систем и систем информационных технологий. Экономи
ческий эффект появится когда, будет достигнуто соответствие между этими программами. Пользовате-
IV