ГОСТ Р МЭК 62443-2-1—2015
Результаты такой предварительной оценки являются важными входными данными для принятия решения о
проведении детальной оценки уязвимости конкретной IACS. Планирование полной оценки уязвимости проводится,
если:
- установлено, что IACS в данный момент соединена с корпоративной сетью или внешними сетями (напри
мер. Интернет, модемы). После проведения детальной оценки риска можно будетлучше понять уязвимости исоот
ветствующую стратегию снижения рисков;
- установлено, что поддержка системы вданный момент осуществляется дистанционно;
- ожидается, что любой издвух вышеупомянутых критериев будет выполнен вближайшем будущем. Втаком
случае оценку уязвимости необходимо провести до принятия действий, приводящих к созданию такой опасной
ситуации.
А.2.3.3.8.6 Определение приоритетов систем
В А.2.3.3.8.5 предлагалось присваивать рейтинг уязвимости/риска для каждой идентифицированной логи
ческой системы IACS. Процесс расстановки вполне можно начинать с такой оценочной шкалы. Однако, принимая
решение о том. с чего необходимо начинать детальный анализ, важно учитывать несколько дополнительных мо
ментов. например:
- рискдля компании (например, для финансовой сферы или HSE);
- области, в которых процесс оценки гложетбыть наиболее успешным:
- стоимость потенциально необходимых контрмер:
- сравнение капитальных и некапитальных издержек;
- наличие квалифицированного вспомогательного персонала для работы с конкретной системой:
- географический регион;
- директивы или конфиденциальные данные торговой организации-участника;
- государственные или локальные политические требования;
- внешний или собственный вспомогательный персонал:
- поддержка сайта для проведения работы:
- история известных проблем с обеспечением информационной безопасности.
Не существует правильного или неправильного подхода. Значения будут отличаться для каждой компании.
Важно применять одинаковые принципы определения приоритетов для всех площадок. Необходимо вести записи
присвоенных приоритетов и соответствующих оснований.
А.2.3.3.8.7 Определение уязвимостей и приоритетов рисков
Следующим этапом в процессе оценки риска является собственно детальная оценка риска для приоритет
ных систем. В большинстве методик реализуется подход, при котором систему разбивают на мелкие компоненты и
анализируют риски, связанные с такими мелкими компонентами, из которых формируется вся система.
При детальной оценке риска физические угрозы и угрозы для информационной безопасности, внутренние
и внешние угрозы, а также аппаратное и ПО и данные необходимо рассматривать в качестве источников для воз
никновения уязвимостей.
Обязательным условием является то. что группа специалистов должна применять комплексный подход к
оценке. В состав группы должен входить, как минимум, один руководитель по управлению работами на площадке,
специалист no IACS. IT-специалист и специалист по сетям. Кдругим членам группы относятся специалисты в об
ласти физической безопасности, безопасности информационных систем, вопросов права, бизнеса (операционная
деятельность, техобслуживание, инжиниринг и т. д.). человеческих ресурсов. HSE и поставщиков аппаратного обе
спечения. Такие специалисты лучше всего справятся с задачей идентификации уязвимостей и последствий реали
зации рисков, относящихся к их компетенции.
Несмотря на то. что работа ведется в целях определения угроз и последствий, связанных с конкретной си
стемой. с большой долей вероятности можно утверждать, что главной задачей является получение возможности
сравнивать результаты оценки одной системы/плошадки с другой внутри организации. Такая способность будет
зависеть от того, насколько последовательно применяется методика. К проверенным методам относятся:
- использование ведущего лица для руководства работами на каждой площадке;
- использование небольшой группы специалистов, которые работали вместе над другими проектами, для
управления работами по проведению анализа с учетом географических особенностей, хозяйственного подразде
ления и т. п. факторов;
- использование качественных учебных материалов с описанием процедур и упражнений для подготовки
группы профессионалов, которые будут проводить оценку на каждой площадке;
- использование обычной формы или базы данных для регистрации результатов анализа;
- централизованный анализ всех результатов, позволяющий понять, насколько результаты реалистичны и
сопоставимы с похожими системами.
При проведении анализа важно учитывать все аспекты IACS. включая непреднамеренные изменения в кон
фигурации системы, возникшие в результате проведения ремонтных работ, временного подсоединения поставщи ка
к системе для ее наладки, или даже незначительные изменения в проекте поставщика, из-за которых могут по
явиться новые уязвимости, реализуемые через запасные части или обновления, которые необходимо принимать во
внимание и’или проверять таким же способом, что и оригинальные компоненты системы.
49