ГОСТ Р МЭК 62443-2-1—2015
- идентификация объектов:
с) характеристика организации, отвечающей за CSMS, включая:
- организационную структуру:
- местоположение:
- бюджет;
- роли и обязанности, связанные с процессами CSMS.
А.3.2.2.3.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
a) получение от руководства подтверждения сферы применения и задач CSMS:
b
) четкое понимание ролей и обязанностей организации(й). ответственных зааспекты CSMS:
c) документальное оформление информации о сфере действия CSMS с отдельными положениями, в кото
рых рассматриваются специфические компоненты;
d) учеткоммерческих, правовых (например, секретностьданных) и регулятивных требований иобязанностей:
e) идентификация идокументальное оформление зависимости безопасности процесса от информационной
безопасности, а также практик и процедур обеспечения физической безопасности, включая основу организацион
ного взаимодействия.
А.3.2.2.4 Использованные ресурсы
Данный элемент частично основан на материалах [24J, [26].
А.3.2.3 Элемент «Организация безопасности»
А.3.2.3.1 Описание элемента
Компании должны определить организацию, структуру или труппу людей, отвечающих за безопасность в
целом, принимая во внимание, что необходимо учитывать как физические, так и информационные компоненты.
Важно установить индивидуальную ответственность с тем. чтобы можно было управлять и контролировать
работу по обеспечению информационной безопасности организации. Информационная безопасность в самом ши
роком понимании охватывает не только данные, но и системы (аппаратное и ПО) для генерации или хранения та кой
информации, и включает всебя элементы физической безопасности. IACS. партнеры постоимостной цепочке,
сторонние подрядчики, партнеры по совместному предприятию (СП), партнеры по аутсорсингу и специалисты в об
ласти физической безопасности должны рассматриваться организацией как часть общей структуры безопасности
и. соответственно, включаться вобьем ответственности.
А.3.2.3.2 Построение организационной основы безопасности
Ответственность за реализацию программы безопасности начинается с верхнего уровня организации. Ру
ководство должно продемонстрировать четкую заинтересовать в обеспечении информационной безопасности.
Информационная безопасность — это ответственность, которую делят все участники предприятия и особенно
руководители, возглавляющие группы по управлению бизнесом, производством IT и рисками. Программы обеспе
чения информационной безопасности с ощутимой поддержкой высшего руководства и участием руководителей
организации с большей долей вероятности будут отвечать заявленным требованиям, функционировать более эф
фективно и быстрее дадут положительные результаты.
Для начала иконтроля внедрения общей системы безопасности необходимо определить основу управления.
Сфера применения и задачи информационной безопасности для организаций должны включать в себя физиче
скую безопасность и информационную безопасность для IT-систем, поставщиков IACS. сторонних подрядчиков,
партнеров по аутсорсингу и компонентов стоимостной цепочки организации. Общая система безопасности должна
быть расширена таким образом, чтобы распространяться также и на деятельность СП.
Организации должны определить основу управления для одобрения политики информационной безопасно
сти. присвоения ролей и координирования работы по внедрению информационной безопасности на всех уровнях
организации. При такой структуре гложет потребоваться необходимость решить несколько интересных организа
ционных задач. Структура многих компаний представляет собой трехмерную матрицу, в которой одно измерение
представлено направлением деятельности, второе измерение — функцией или дисциплиной, а третье — геогра
фическим регионом. Как правило, отдельные менеджеры обладают кругом обязанностей в отношении части или
всей такой структуры. Поскольку система настолько же надежна, как и ее самое слабое звено, в конечном итоге
потребуется развивать систему информационной безопасности таким образом, чтобы она охватывала всю гео
графию деятельности организации.
Вопрос информационной безопасности затрагивает большое количество различных рисков, которые в це
лом можно классифицировать на проблемы, связанные сдоступностью, целостностью или конфиденциальностью.
Проблемыдоступности, как правило, решаются при помощи программы планирования бизнес-непрерывности или
программой обеспечения сетевой безопасности. Проблемы целостности в контексте производственного процесса
обычно решаются программой обеспечения безопасности технологического процесса или обеспечения качества.
Проблемы конфиденциальности обычно решаются с помощью программы информационной безопасности. По
скольку информационная безопасность затрагивает так много различных областей риска, что возможно, что ни
один менеджер, действующий индивидуально, не будет иметь необходимый обьем ответственности для утвержде
ния программы информационной безопасности для всех IACS. Вбудущем часто придется собирать и убеждать не
большую труппу старших менеджеров, которые, вполне вероятно, до этого никогда настолько плотнодруг с другом
не работали, когда требовалось принять согласованное решение.
56