ГОСТ Р МЭК 62443-2-1—2015
А.2.3.3.7.4 Уровень риска
Результатом качественной оценки рисков является перечень имущественных объектов или сценариев с ран
жированием общего уровня рисков. Обычно такой перечень оформляют в форме таблицы, аналогичной таблице
А.З, в которой определены три уровня риска на основе трех уровней вероятности и последствий. Таким образом,
каждому риску при оценке присваивается уровень риска. Указанная таблица является примером и требует даль
нейшего анализа со стороны организации.
Таблица А.З — Типичная таблица уровня риска
Вероятность
возникновения
Категория последствии
А
А
А
Высокая
Высокий уровень риска
Высокий уровень риска
Средний уровень риска
Средняя
Высокий уровень риска
Средний уровень риска
Низкий уровень риска
Низкая
Средний уровень риска
Низкий уровень риска
Низкий уровень риска
Каждый уровень риска в каждом блоке (высокий, средний и низкий) соответствует конкретной комбинации
вероятности и последствий. Организация вырабатывает политику определения границ допустимости рисков для
каждого уровня риска, которая будет соответствовать конкретному уровню реакции компании. Фактический подход к
снижению риска может быть связан с использованием определенных контрмер. Первоначальная версия при
веденной таблицы должна быть составлена ответственным руководством компании до анализа рисков. Данный
метод рекомендуется для обеспечения того, что оценка рисков даст результаты, непосредственно помогающие
принимать решения идающие организации основания для принятия мер.
Для получения дополнительной информации о выработке политики определения границ допустимости ри
сков. а также о том. каким образом политика определения границдопустимости рисков и результаты оценки рисков
используются для управления рисками (см. А.3.4.2).
А.2.3.3.8 Детальная оценка рисков
А.2.3.3.8.1 Общие положения
Детальная оценка рисков ориентирована на отдельные сети и устройства IACS иучитывает детальную оцен
ку технической уязвимости этих имущественных объектов и эффективность существующих контрмер. Не для всех
организаций целесообразно проведение детальной оценки рисков сразудля всех имущественных объектов IACS.
В этом случае организация соберет достаточно информации о своих IACS. позволяющей ей определить приоритет
ность этих систем и принять решение о том, какие системы должны быть проанализированы в первую очередь при
детальной оценке уязвимости и рисков.
В ходе детальной оценки рисков выявляются риски и определяется их приоритетность. Риски выявляются
для каждой IACS. После выявления рисков организация может определить приоритетность всех рисков, выяв
ленных во всех системах, или рисков отдельно для каждой системы, либо определить приоритетность рисков,
выявленных в подгруппах изученных IACS. например, всех IACS на конкретной площадке. Поскольку определение
приоритетности в конечном итоге приводит к принятию решений о том, какие действия будут предприняты, а также
решений об инвестициях для совершенствования информационной безопасности, объем приоритезации должен
соответствовать объему бюджета и решениям полномочного органа организации для осуществления инвестиций.
Например, если управление и финансирование всех 1ACS конкретной производственной линии выполняется как
для группы, определение приоритетности выполняется совокупно для рисков этих IACS в целях облегчения
при нятия решений руководством.
А.2.3.3.8.2 Определение характеристик ключевых систем промышленной автоматики и контроля
Для выявления и приоритезации рисков IACS необходимо,чтобы организация определила местонахождение
и выявила ключевые IACS ихарактеристики этих систем, которые создают риски. Без инвентаризации устройств и
сетей IACS сложно оценить и определить приоритет мест, где требуется принятие мер по безопасности и где они
будут оказывать наибольшее влияние.
Группа специалистов должна совместно с персоналом 1ACS выявить различные системы, используемые на
площадке и управляющих удаленными объектами. Акцент должен быть сделан на системах, а не на устройствах,
включая без ограничения системы управления, системы измерения и системы мониторинга, которые используют
центральное устройство HMI. Необходимо учитывать как производственные зоны, так и инженерные зоны, напри
мер, электростанции и оборудование переработки отходов.
Как было указано выше, целью является определение основных устройств и типов устройств, которые ис
пользуются и функционируют совместно для управления оборудованием. На этой стадии разработки программы
безопасности нет необходимости в полной инвентаризации всех устройств IACS, поскольку инвентаризация по
требует принятия субъективных решений о риске, который устройства управления привносят в производственную
деятельность. Например, важно понимать:
43