ГОСТ Р МЭК 62443-2-1—2015
f) определение профиля границ допустимости рисков для организации с точки зрения:
1) безопасности персонала (серьезные травмы или гибель людей);
2) финансовых потерь или последствий, включая штрафы за невыполнение норм;
3) эколотических/нормативных последствий.
4) ущерба для имиджа компании;
5) влияния на инвестиционное сообщество;
6) потери клиентской базы или доверия;
7) влияния на инфраструктуру.
Примечание — Границы допустимости риска варьируются в зависимости от бизнеса, т. е. границы до
пустимости риска для организации являются ее болевым порогом. Границы допустимости риска могут быть очень
низкими (например, когда серьезные травмы являются неприемлемыми и при их возникновении проблемадолжна
разрешаться незамедлительно), когда речь идет о производственной безопасности на предприятии, или могут
быть очень высокими (например, с точки зрения производственных потерь), если организация имеет несколько
производственных площадок для товарной продукции. Финансовые последствия для одного бизнеса могут быть
неактуальными для других предприятий. Организации с несколькими предприятиями должны учитывать взаимное
влияние одного предприятия на другое при определении границ допустимости риска.
Менеджеры по информационной безопасности обычно знакомы с границами допустимости рисков для орга
низации для некоторых, но не всех из перечисленных последствий. Другие менеджеры, несущие ответственность за
управление рисками, связанными с последствиями для охраны труда, техники безопасности и охраны окружа ющей
среды, знакомы с границами допустимости рисков в этих областях. Общий профиль границ допустимости рисков
должен определяться путем объединения информации из этих источников, а также из среды 1ACS.
А.2.2.5.2 Дополнительные методы
Следующие действия относятся к дополнительным методам:
a) выявление и документирование бизнес-целей, важнейших бизнес-процессов и важнейших 1Т-лроцвссов.
Этот процесс целесообразно осуществлять с помощью поперечного разреза организации, на котором показаны
функциональные области, а также подразделения компании. Данными вопросами занимается группа специали
стов под руководством топ-менеджера, который отвечает за организацию ГГ. или команды лидеров, которая вклю
чает всебя высшее руководство всей организации. Эта группа оценивает риск, связанный с IACS:
b
) проведение анализа влияния на бизнес, который описывает проблемы и последствия бездействия и вы
годы от действий. По возможности эти действия следует оценивать количественно с точки зрения финансовых
последствий (т. е. снижения продаж или штрафов), рыночных воздействий (то есть потери доверия или имиджа), а
также влияния с точки зрения охраны труда, техники безопасности и охраны окружающей среды (то есть выбросов
в окружающую среду, повреждения оборудования и гибели людей). Следует принимать во внимание, особенно
при рассмотрении последствий для имиджа, что инцидент в одном конкретном подразделении может повлиять на
организацию в целом;
c) документирование и утверждение (на соответствующем уровне руководства) рисков за пределами CSMS.
А.2.2.6 Используемые ресурсы
Этот элемент частично основан на материалах, приведенных в [24). [26]. [27]. [30]. [42].
А.2.3 Элемент «Выявление, классификация и оценка рисков»
А.2.3.1 Описание элемента
Организации защищают способность выполнять свою миссию путем систематического выявления, опреде
ления приоритетности и анализа потенциальных угроз безопасности, уязвимости и последствий использования
принятых методик. Риск формально определяется, как ожидание убытков, выражаемое как вероятность того, что
конкретная опасность будет включать 8 себя конкретную уязвимость с конкретными последствиями (см. IEC/TS
62443-1-1). Как описано в элементе «Управление рисками и принятие мер» (см. А.3.4.2), организация определяет
свои границы допустимости риска с точки зрения характеристик угроз, уязвимости и выявляемых ею возможных
последствий.
Затем организация реализует решение в отношении границдопустимости рисков, принимая установленные
меры для уменьшения вероятности угрозы безопасности путем снижения уязвимости и>’или уменьшения послед
ствий в случае, если угроза безопасности реализуется.
А.2.3.2 Риск информационной безопасности для системы промышленной автоматики и контроля
Подход к управлению рисками, изложенный вА.2.2, в основном, применяетсядля всех типов рисков инфор
мационной безопасности, а также для других видов рисков. В настоящем подпункте описаны уникальные аспекты
анализа рисков информационной безопасности для IACS.
Несмотря на то. что в различных отраслях определенные виды воздействия на бизнес являются более ак
туальными, а определенные типы угроз — более вероятными, все отрасли, которые используют IACS, должны
учитывать, что они вступают в новую рискованную среду. Одновременно с внедрением в IACS коммерческих опе
рационных ГТ-систем и сетевых технологий и подключением пользователями их взаимосвязанных частных сетей к
сетям IACS. также значительно увеличилось число угроз. Существуют риски, связанные с традиционной инфор
мацией (электронной или бумажной), классическими IT-системами и приложениями, IACS. деловыми партнерами,
совместными предприятиями, сторонними партнерами и г.д.
35