ГОСТ Р МЭК 62443-2-1—2015
Предварительная оценка необходима, т. к. опыт показывает, если организации начинают с подробного рас
смотрения уязвимостей, они упускают общую картину рисков информационной безопасности и затрудняются опре
делить. в каких местах следует сосредоточить свои усилия, направленные на информационную безопасность.
Предварительное изучение рисков гложет помочь сосредоточить усилия при детальной оценке уязвимости. Пред
варительная оценка, как правило, охватывает все сети управления, принадлежащие организации, с возможным
разделением их на группы с общими характеристиками. Для детальною рассмотрения всей 1ACS ресурсов гложет
быть недостаточно.
Детальная оценка рисков, указанная в настоящем стандарте, дополняется детальной оценкой уязвимости,
которая включает в себя изучение такой информации, как существующие технические контрмеры, соблюдение
процедур управления учетными записями, патчами и статусами открытых портов отдельных компьютеров в опре
деленной сети, и характеристик подключения системы, например, разделения с помощью брандмауэра, и конфи
гурации. Таким образом, примерами результата детальной оценки рисков являются:
- прямое подключение инженерных рабочих станций к корпоративной сети и сети системы управления на
южном обьекте. минуя внутренний брандмауэр сети управления, влияющий на риск заражения сети управления
вредоносным программным обеспечением (далее — ПО). В сочетании с отсутствием антивирусной защиты на 50
% компьютеров в сети управления южного обьекта это приводит к средней вероятности перегрузки сети, вы
званной вирусом, приводящей к отсутствию информации о статусе производственного процесса вдиспетчерской и
возможному аварийному отключению и связанным с ним расходам;
- все сетевые средства системы управления (например, адреса 192.168.3.x) и соединения с другими сетями
физически защищены стенами, потолком или полом или расположены в закрытых помещениях, доступных для
трех уполномоченных сетевых администраторов системы управления. Поэтому рискуспешной попытки подключе
ния кэтим средствам является низким.
Результатыдетальной оценки рисков подтверждают соответствующие результаты предварительной оценки в
соответствии с указанными примерами. Тем не менее, во время детальной оценки рисков во многих случаях можно
определить, что уровень риска ниже или выше, чем предполагалось в предварительной оценке. Детальная оценка
рисков может также выявить риски, которые не учитывались в предварительной оценке. И, наконец, учитывая, что
детальная оценка выявляет конкретные уязвимости, она обеспечивает направление деятельности организации в
отношении рисков, которые считаются неприемлемыми.
А.2.3.3.4 Типы методик оценки рисков
А.2.3.3.4.1 Общие положения
Существуют различные методы оценки рисков, разработанные и продаваемые различными организациями.
В общем случае, их можно классифицировать в соответствии с двумя факторами: как они характеризуют отдель
ные риски (качественно или количественно) и как они структурируют процесс выявления рисков (на основе сцена
риев или имущественных объектов).
А.2.3.3.4.2 Качественная и количественная характеристика
Качественная оценка рисков обычно опирается на информацию от опытных сотрудников и/или экспертов
о вероятности и степени воздействия конкретных угроз на конкретные имущественные объекты. Кроме того, раз
личные уровни вероятности и степени воздействия разделяются на общие классы, например, высокая, средняя
и низкая вероятность или степень, а не на конкретные вероятности или экономические последствия.
Качественная оценка рисков является предпочтительной, когда существует недостаток достоверной информации
о вероятности конкретных угроз, влияющих на конкретные имущественные объекты, или об оценке общих
последствий ущерба для конкретных имущественных объектов.
Количественная оценка риска обычно основывается на обширных массивах данных, которые фиксируют
скорость причинения ущерба имущественным объектам на основе воздействия определенных комбинаций угроз и
уязвимостей. Если эта информация доступна, она может обеспечить более точную оценку риска, чем методы
качественной оценки рисков. В связи с недавним воздействием угроз информационной безопасности на IACS, от
носительно низкой частотой, с которой происходят инциденты, и быстро развивающимся характером угроз, еще не
созданы обширные массивы данных, помогающих оценить угрозы информационной безопасностидля IACS. На
данном этапе качественная оценка рисков является предпочтительным методом для оценки этих рисков.
А.2.3.3.4.3 Оценка на основе сценариев и оценка на основе имущественных объектов
При проведении оценки рисков обычно следует сосредоточиться на одном из двух аспектов: сценариях, в
соответствии с которыми угрозы используют уязвимости для воздействия на имущественные объекты, или на са
мих имущественных объектах. При подходе, основанном на сценариях, может быть использован опыт реальных
инцидентов или ситуаций, практически приведших к инциденту. Однако данный подход может не выявить угрозы
или уязвимости для критичных имущественных объектов, которые ранее не были под угрозой. При подходе, осно
ванном на имущественных объектах, можнобудет использовать знанияо системах организации, методах работы и
конкретных имущественных объектах, воздействие угроз на которые может привести к серьезным экономическим
последствиям. Данный подход может не выявить типы угроз или уязвимостей, которые ставят эти имущественные
объекты в опасность или сценарии, связанные с несколькими имущественными объектами. Какой бы общий под
ход ни использовался, рекомендуется включать какой-либо аспект второго подхода для обеспечения более тща
тельной оценки рисков.
37