ГОСТ Р МЭК 62443-2-1—2015
котором организация имеет наименьшее количество информации и который она не гложет контролировать, важно
отслеживать улучшения в отраслевых показателях для уточнения этого фактора.
Для решения проблемы с согласованием некоторые организации используют следующие методы:
- использование 100 %-ной вероятности и. следовательно, рассмотрение только последствий или исполь
зование этого метода для некоторых видов последствий, таких как охрана труда, техника безопасности и охрана
окружающей среды:
- согласование диапазона или категорий вероятности, а затем определение их приоритетности на основе
диапазонов:
- попытка увеличения точности, используя отраслевые данные об атаках на IACS;
- попытка увеличения точности путем сбора внутренних данных об инцидентах;
- разделение вероятности возникновения на два фактора: вероятность того, что противник попытается
провести атаку, и вероятность того, что атака будет успешной. Разделение этих факторов может помочь прояс
нить реальный источник разногласий. Если все согласятся, что попытка увенчается успехом, и аргумент в пользу
низкого уровня риска основан на надежде, что попытка не будет предпринята, направленность дискуссии может
измениться.
Последствия обычно измеряются по-разному для разных видов рисков. Типичная шкапа последствий пока
зана в таблице А.2. Этот пример иллюстрирует, как оценка риска информационной безопасности может учитывать
безопасность технологического процесса и другие организационные риски. Как уже упоминалось, эта шкала явля
ется только примером идолжна быть откалибрована для организации.
Важно проводить оценку последствий с высоким уровнем честности. Во время оценки следует выявить
предположения, которые влияют на уровень последствий. Например, было бы разумно предположить, что были
установлены все блокировки безопасности и системы отключения для минимизации влияния любого события, по
скольку вероятность события в информационной системе в сочетании с несвязанной аварией, которая отключает
системы безопасности, очень мала. Тем не менее, делая такое предположение, необходимо рассмотреть, суще
ствует ли риск преднамеренной кибератаки, использующей случайную неисправность систем безопасности, или
физической скоординированной или информационной атаки, вызывающей такие неисправности. Кдругим возмож
ным предположениям, на которые можно указать, относится предположение о том. что технологические режимы
выполняются как при обычной работе, а также выполняются основные процедуры блокировки. Для предприятий
важно четко оценить риск, учитывая сложность и состояние системы управления и соответствующих операций и
зависимость работы обьекта от этой системы.
Калибровка последствий обязательноосуществляется с учетом интересов и политики организации, осущест
вляющей оценку риска. Несмотря на то. что рискдля IACS гложет быть очень сильно подвержен влиянию опасно
стей. связанных с производственной деятельностью, управляемой IACS. важно не путать риски для организации с
рисками для общества.
В ходе производственной деятельности могут не использоваться какие-либо опасные материалы, но может
производиться очень ценная и востребованная продукция, приносящая высокие доходы компании. Инцидент с без
опасностью IACS. вызвавший нарушение производственнойдеятельности, в результате чего в течение нескольких
дней производилась не соответствующая требованиям продукция, которая не может быть продана, может иметь
очень серьезные финансовые последствия для компании. Для этой компании IACS имеет высокий уровень риска,
несмотря на то. что для общества уровень риска может быть низким, поскольку отсутствует какое-либо влияние на
здоровье, безопасность общества или окружающую среду. Аналогично эта же организация может считать, что
уровень риска последствий нарушения производственной деятельности на промышленном предприятии, исполь
зующем вредные материалы, является высоким, даже если такое нарушение не влияет на производство, из-за
внутренней политики и/или внешних норм, касающихся общественной безопасности.
Перед сбором группы для проверки производственных рисков следует составить четкие шкалы вероятности
и последствий, которыми будет руководствоваться указанная группа.
41