ГОСТ Р МЭК 62443-2-1—2015
рисков. Обычно исходная информация включает в себя обзор экономического обоснования и устава, обзор архи
тектуры и функций IACS и обзор конкретных типов инцидентов, произошедших в организации, или обнародован
ных инцидентов, произошедших вдругих организациях.
Для успешного проведения совещания важно также, что участники понимали рабочие определения рисков
и уязвимости. В противном случае, в ходе совещания, вероятно, будут определены уязвимости, но выявление
рисков может пройти безуспешно. Например, ненадежная аутентификация в системе управления HMI является
уязвимостью. Связанной с этой уязвимостью угрозой является риск того, что работник с недостаточным опытом
может работать с HMI без присмотра и установить небезопасные параметры. Последствием может быть остановка
производства всвязи со срабатыванием устройств защиты. Распространенной ошибкой является то. что организа
ция сначала определяет уязвимости информационной безопасности, а затем приступает к их снижению.
А.2.3.3.7 Предварительная оценка рисков — Классификация рисков
А.2.3.3.7.1 Общие положения
Перечень сценариев, являющихся результатом совещания по анализу рисков, описывает ряд различных ри
сков. вызываемых в организациях угрозами для IACS. Одной из обязанностей корпоративного управления являет
ся управление всеми рисками организации. Для облегчения этой работы риски должны быть выявлены ирасполо
жены по приоритетности. В настоящем подразделе описываются три шага по разработке принципов
определения приоритетности отдельных рисков для оправдания соответствующих корректирующих действий.
А.2.3.3.7.2 Уравнение риска
Преждечем описывать принципы определения приоритетностирисков и калибровки, важно понять основную
концепцию анализа рисков (например, уравнение риска).
Вероятность произошедшего события учитывает как вероятность реализации угрозы, которая может при
вести к действию, так и вероятность того, что уязвимость, которая допускает действие, будет действительно ис
пользована угрозой. Например, вирус, повреждающий сети, должен сначала попасть в сеть, а затем победить
антивирусную защиту сети. Если вероятность возникновения выражается аналогично вероятности, то:
Вероятностьнас1уплемиЯ1;о6ы,ия= ВероятностьреализаЦ|1И_угр0;,Ь1* Вероятностьиспользуема4-1_уя,оим():;,и(А.1)
Как упоминалось выше, риск включает вероятность и последствия, где последствием является негативное
воздействие, которое испытывает организация из-за причинения конкретного ущерба имущественным объектам
организации конкретной угрозой или уязвимостью.
Риск =ВерояТНостьиаС1уплеиЯ1| со€ь|ТИЯ* Последствия(А.2)
А.2.3.3.7.3 Калибровка шкал вероятности и последствий
Системы управления рисками были разработаны в большинстве организаций для управления самыми раз
нообразными рисками. В некоторых случаях использование таких систем было предписано нормативными тре
бованиями. Такие системы управления рисками используют одно уравнение риска для установления приоритет
ности рисков для организации по одинаковым типам угроз для различных имущественных объектов (например,
информационная безопасность) или по различным угрозам для одинаковых имущественных объектов (то есть обе
спечения непрерывности бизнеса, промышленной эксплуатационной безопасности, экологической безопасности и
физической безопасности). В большинстве организаций в этих системах управления рисками уже разработаны
шкалы вероятности и последствий.
Типичная шкала вероятности показана в таблице А.1. Эта шкала является только примером. Организация
должна определить фактические значения для этой шкалы с учетом своего случая.
Таблица А.1 — Типичная шкала вероятности
Вероятность возникновения
Категория
Описание
Высокая
Угроза/уязвимость. наступление которой вероятно в следующем году
Средняя
Угроза/уязвимость, наступление которой вероятно в течение следующих 10 лет
Низкая
Угроза/уязвимость. наступление которой ни разу не было зафиксировано и считается
маловероятным
Большинству организаций трудно согласовать вероятность, и в настоящее время существует мало инфор
мации. которая макет вэтом помочь. Вполне очевидно, что различные мнения об этом факторе могут радикально
изменить инвестиции в CSMS. Даже если не все смогут согласиться с окончательной оценкой вероятности, пре
имущество ее использования заключается в том. что предположения, используемые для стимулирования инве
стиций в CSMS, понятны для всех. Поскольку вероятность возникновения является основным фактором риска, о
40