ГОСТ Р МЭК 62443-2-1—2015
Пример— Организация, которая определила имущественные объекты какустройства, приложе
ния и данные, является примером организации, объединяющей методы, основанные на сценариях и на
имущественных объектах. На следующем этапе организациярассматривает возможные сценарии, от
носящиеся к этим имущественным объектам, и определяет последствия, как указано ниже. Сценарии
для приложений очень схожи с приведенными сценариями для устройств.
a) Сценарии для устройств
1) Неавторизованный пользователь, получающий локальный доступ к устройству IACS
Определить, что является следствием того, что кто-то подходит к устройству и выполняет задачи, разре
шенные данным устройством:
2) Удаленныйдоступ кустройству IACS. полученный неавториэованным пользователем
Определить, что является следствием получения неавгоризованным пользователем удаленного доступа к
этому устройству и выполнения какой-либо из задач, разрешенных на этом устройстве;
3) Устройство IACS отключено или уничтожено
Определить, что является следствием инцидента в системе информационной безопасности, который бло
кирует выполнение устройством всех или части его обычных функций;
b
) Сценарии для данных
1) Кража данных IACS
Определить, что является следствием кражи такого массиваданных;
- и тлеет ли массивданных высокую стоимость как объект интеллектуальной собственности;
- имеет ли массив бизнес-ценность для конкурентов;
- будет ли массив данных после обнародования являться порочащим для организации; -
является ли массивданных необходимым для соблюдения нормативных требований; -
являются ли данные предметом судебного приказа о хранении;
2) Повреждениеданных IACS
Определить, каковы возможные последствия, если:
- массив данных будет перехвачен и изменен между источником и местом назначения;
- массив данных будет поврежден у источника;
- является ли массивданных необходимым для соблюдения нормативных требований:
- являются пи данные предметом судебного приказа о хранении;
3) Отказ в обслуживании данных IACS
Определить, каковы последствия того, что пользователю будет отказано вдоступе кмассиву данных IACS.
Примечание — Группа гложет осуществить основанную на сценариях оценку рисков, начав с описаний
сценариев инцидентов, а затем определить последствия сценария, как показано вданном примере, или начать с
создания списке нежелательных последствий, а затем действовать в обратном направлении для разработки воз
можных сценариев инцидента, которые могли бы привести ктаким последствиям. Допускается также использовать
комбинацию указанных подходов.
А.2.3.3.5 Выбор методики оценки рисков
Вьбор правильной методики оценки рисков для организации очень субъективен и зависит от ряда вопро
сов. Многие из этих методик имеются на рынке. Некоторые предоставляются бесплатно, для других требуются
лицензии на использование. Выбор методики оценки рисков наиболее применимой для организации, может быть
сложной задачей. Общим для большинства методик является предположение о том, что риск представляет собой
комбинацию вероятности события и последствий такого события.
Сложность заключается в количественной оценке вероятности возникновения, которая обычно выражается
аналогично вероятности. Отраслевой опыт, связанный с технологической безопасностью и аварийностью, предо
ставляет большое число исторических количественных данных, на которых основываются значения вероятности.
Однако, определениесоответствующих значений вероятности конкретного инцидента в системе информаци
онной безопасности является непростым не только из-за отсутствия исторических данных, но ипотому, что наосно ве
прошлого опыта нельзя предсказать, что произойдет, когда уязвимость станет известна потенциальным наруши
телям. Из-за этого осложнения многие компании и торговые ассоциации выбирают разработку своих собственных
методик для устранения угроз и уязвимостей, имеющих особую важность для них. в соответствии с их корпоратив
ной культурой. Также по этой причине в настоящем стандарте используется термин «вероятность возникновения»,
которая относится к оценке человеческих способностей и намерений, вместо ожидаемого термина «вероятность»,
который относится к возникновению природных явлений, свободных от человеческого вмешательства.
Использование некоторых методик позволяет провести предварительную оценку рисков. Использованиедру
гих методик — детальную оценку рисков, давая возможность использовать результаты оценки уязвимости, а также
методики могут служить непосредственно руководством для соответствующей детальной оценки уязвимости. Для
организации эффективным является использование методики, позволяющей провести как предварительную, так и
детальную оценку рисков.
Пример — Пример торговой ассоциации, помогающий решить задачу выбора правильной мето
дики «Химический центр информационных технологий Американского химического совета» (ChemITC,)
38