ГОСТ Р МЭК 62443-2-1—2015
опубликовал документ под названием «Доклад о методиках оценки уязвимости информационной без
опасности. версия 2.0». [27] В нем рассматриваются различные элементы одиннадцати методик, ко
торые сравниваются с набором критериев, имеющих значение для универсальных методик оценки
рисков информационной безопасности для оценки коммерческих ГГ-систем, IACS и цепочек создания
стоимости. В докладе предложены руководства по выбору методики. Часть руководства включена в
следующие пункты с разрешения CSCSP.
a) шаг 1— Фильтр
Первый шаг заключается врассмотрении обзора выбранных методик. Целью этого шагаявляется выявление
интересующих методик на основе таких критериев, как простота использования, сложность, объем, потребность в
ресурсах и тип методики [см. [27] (приложение IV)]:
b
) шаг 2 — Выбор
После определения методики следует выбрать методики, которые соответствуют потребностям организации
[см. [27] (приложение II)]. В[27] (приложение II) определены конкретныекритерии, которые были использованы для
оценки методики. Критерии, перечисленные в нем. относятся к более обширному IT-пространству за пределами
IACS. Вполне возможно, что необходимой является методика, учитывающая только подгруппу критериев, исполь
зуемых в исследовании «ChemlTC». Понимание разницы между потребностями организации и критериями оценки
будет полезно при рассмотрении кратких обзоров различных методик. Затем следует ознакомиться с соответству
ющим кратким обзором для того, чтобы получить более подробную информацию для принятия обоснованного
решения о выборе методики [см. [27] (приложение V)].
В кратком обзоре каждой методики рассматривается следующее:
- методика оценки уязвимости информационной безопасности:
- рецензенты:
- дата;
- веб-адрес;
- общие замечания:
- сильные стороны по сравнению с общими критериями оценки:
- пробелы по сравнению с общими критериями оценки:
- каким образом методика может быть использована:
- ограничения использования методики;
- предлагаемые изменения;
c) шаг 3 — Подтверждение решения (необязательно)
Если есть неопределенность или трудности в выборе методики, см. сводную таблицу технических критериев,
приведенную в [27] (приложение II) по конкретной методике для подтверждения выбора организацией). Сводная
таблица технических критериев существует для каждой методики. Этот шаг является необязательным, т. к. он про
сто предоставляет еще более конкретные данные для оценки;
d) шаг 4 — Приобретение выбранной методики
После сужения круга методик до одной методики ее следует приобрести у поставщика. Веб-адреса, указан
ные в элементе настоящего стандарта «Библиография», являются хорошей отправной точкой.
А.2.3.3.6 Предварительная оценка рисков — выявление рисков
После того, как был определен набор ключевых заинтересованных сторон, прошедших обучение по основ
ным свойствам IACS. они будут выполнять предварительную оценку рисков в соответствии с выбранной орга
низацией методикой. В ходе процесса оценки уточняется характер отдельных рисков для организации, которые
возникают в результате использования IACS. Это необходимо для окончательного выбора наиболее экономиче
ски эффективных контрмер, которые должны быть разработаны или применены, и для оправдания затрат на их
применение. Поскольку эта задача является первым этапом оценки рисков, она не является детальной оценкой
уязвимости или угроз. Она обычно включает в себя совещание по анализу рисков для сбора информации от всех
заинтересованных сторон и использует предварительно определенные последствия для бизнеса, которые могут
быть выявлены в экономическом обосновании.
Документом, являющимся результатом совещания по анализу рисков, является перечень сценариев, кото
рые описывают, каким образом конкретная угроза может включать в себя конкретный тип уязвимости и нанести
повреждения конкретным имущественным объектам, что приведет к выявленным негативным последствиям для
бизнеса. На таком совещании также может быть точно определен уровень последствий и приоритетов по границам
допустимости рисков.
Заинтересованные стороны, которые имеют опыт работы с LACS в коммерческих организациях, и лица, от
ветственные за управление соответствующими рисками, должны участвовать в работе по оценке рисков, чтобы
использовать свои знания и опыт.
Для наиболее эффективного использования времени участников, проведению совещания по анализу рисков
с участием всех заинтересованных сторон, как правило, необходимо посвятить полтора дня. Совещание поанали
зу рисков разбивается на две фазы: предоставление исходной информация и выявление рисков.
Независимо от того, какой методоценки рисков используется в конечном итоге, важно обеспечить участников
совещания по анализу рисков соответствующей исходной информацией перед тем. как приступать к выявлению
39