ГОСТ Р МЭК 62443-2-1—2015
При наличии поддержки и участия высшего руководства необходимо идентифицировать заинтересованные
лица и выделить им время для улучшения работы системы безопасности. Заинтересованные лица несут ответ
ственность за продвижение и реализацию инициативы в области безопасности. Имея поддержку высшего руко
водства. заинтересованные лица предпринимают следующие шаги и привлекают свои ресурсы для выполнения
задач. Необходимо сформировать интегрированную группу, которая включает в себя традиционные камеральные и
экономические вычислительные системы. IACS и системы, взаимодействующие с заказчиками. поставшикам.и и
организациями, обеспечивающими транспортировку. Концепция и сфера применения, о которых говорилось выше,
помогают понять, кого нужно привлекать к данному процессу, чтобы достичь цели инициативы.
Высшее руководство может назначить руководителя проекта, чья работа будет заключаться вобъединении
нужных людей для выполнения задач безопасности. Такой человек должен иметь широкое представление о дей
ствующем состоянии процедур информационной безопасности в компании. Допуская, что целью является улучше
ние политики и процедур кибербезопасности для IACS. руководитель проекта должен определить области, которые
могут пострадать в результате инцидентов, связанных с безопасностью IACS. и назначить ключевых специалистов,
отвечающих за такие области. Основной задачейдолжно быть определение специалистов, действующих в нужных
ролях, независимо от организации, к которой они относятся.
Особо следует отметить, что при различных организационных структурах такие специалисты могут рабо
тать в различных организациях. Необходимо разрабатывать экономичную CSMS, сопоставимую с существующими
бизнес-процессами и организациями, а не создавать полностью новую организацию. По возможности должны от
бираться люди, уже выполняющие правильные задачи и имеющие надлежащий опыт. Разделение подконтрольных
вопросов может стать важным заданием такой группы заинтересованных лиц.
Ключевая группа заинтересованных лицдолжна быть многофункциональной по своему характеру и объеди
нять в себе квалификации, которыми один отдельный специалист обычно не обладает. Группа должна включать в
себя следующих специалистов:
- лицо(а) IACS. которые могут внедрять и обслуживать устройства IACS:
- операционный персонал, отвечающий за создание продукта и выполнение заказов:
- лицо(а), занимающееся управлением технологической безопасностью, в чьи задачи входит обеспечение
отсутствия инцидентов всфере HSE:
- 1Т-специапист(ы). который(е) может отвечать за проектирование и эксплуатацию сети, обслуживание пуль
тов управления и серверов и т. л.;
- специалисты)по безопасности, связанный с физической и информационной безопасностью на площадке:
- дополнительные кадровые ресурсы, которые могут включать специалистов по правовым, кадровым вопро
сам и по вопросам поддержки клиентов или выполнения заказов.
С течением времени состав группы заинтересованных лиц может изменяться, или же отдельные лица могут
переходить на выполнение функции более высокого уровня на различных этапах или во время выполнения раз
личных действий при разработке CSMS. Не имеет значение, какая организация руководит данной работой, скорее
имеет значение то. что руководитель демонстрирует правильные основополагающие принципы, способствующие
совместной работе в качестве группы, стремящейся к одной цели. У каждой из исходных компаний, к которым
относятся указанные выше специалисты, есть что предложить, и каждая из них играет свою роль при принятии
решений и выведении результатов в отношении CSMS.
А.3.2.2.3 Предлагаемые практические методы
А.3.2.2.3.1 Основные практические методы
Косновным практическим методам относятся следующих действия.
а)описание организации(й), отвечающей(их) за создание, доведение до сведения и контроль системы ин
формационной безопасности внутри компании.
Ь>определение области действия CSMS. в том числе:
- информационные системы— включая все операционные системы, базыданных, приложения, совместные
предприятия и деятельность сторонних организаций;
- IACS — включая все системы технологического контроля, системы SCADA. PLC, рабочие станции кон
фигурирования и заводские или лабораторные информационные системы и для данных, поступающих в режиме
реального времени, идля исторических данных:
- сети. LANs, WANs — включая аппаратное обеспечение, приложения, файерволлы. системы обнаружения
вторжений и т. п.;
- точки интеграции с организациями, предоставляющими техническую поддержку или услуги;
- обязанности пользователя — включая политики, направленные на аутентификацию и возможность про
ведения аудитов;
- защита информации — включая требования к доступу и подотчетность лиц с правом доступа;
- управление рисками — включая процессы идентификации и снижения рисков и остаточных рисков, связан
ных с документами;
- восстановление после чрезвычайных происшествий — включая идентификацию важнейшего программно
го обеспечения’Услуг.
- требования к обучению;
- соответствие и аудит;
55