ГОСТ Р МЭК 62443-2-1—2015
Все предприятие (например, корпорация) или отдельные подорганизации могут работать над достижением
целей настоящегостандарта. Если работа ведется всем предприятием, оценка рисков проводится на всехуровнях
предприятия. В таком случае, например, отдельные заводы, входящие всостав корпорации, могут проводить оцен ки
рисков, но при этом будут применять общую методику оценки рисков, позволяющую сводить эти оценки воедино на
корпоративном уровне. Такимобразом, если все предприятие ставит целью достижение соответствия, для этого
понадобится задать соответствующие основные направления, даже если отдельные подорганизации, например,
заводы, делают большую часть работы.
В других ситуациях само предприятие не стремится выполнять требования стандарта, но требует от своих
подорганизаций на определенном уровне в индивидуальном порядке добиться соответствия, или некоторые по
дорганизации работают над достижением соответствия по собственной инициативе. При любом раскладе предпри
ятию потребуется оказывать содействие своим подорганиэациям в процессе выполнения определенных требова
ний стандарта, работа с которыми ведется на уровне предприятия, например, обеспечивать защиту корпоративной
архитектуры, отбор сотрудников и формулирование текстов договоров с поставщиками услуг. В соответствии с та
кими сценариями на отдельной площадке завода может применяться собственная методика оценки рисков, могут
определяться собственные приоритеты мер по снижению рисков и может быть поддержка руководства на уровне
завода в проведении подобной работы. В этих случаях предприятие не проводит оценку своего общего соответ
ствия требованиям стандарта, хотя потенциально может оценивать степень соответствия у отдельных заводов.
Такая стратегия имеет наибольший смысл, когда она реализуется в диверсифицированной корпорации или на
ином предприятии с высоким уровнем децентрализации.
А.3.2.3.3 Начало работы и получение поддержки
Чтобы старшие менеджеры могли оказывать эффективную поддержку программы обеспечения информа
ционной безопасности, их необходимо убедить в том. что затраты по программе, которые они будут оплачивать из
своих бюджетов, будут меньше последствий угрозы, реализовавшейся в их сферах ответственности. Может
потребоваться разработка экономического обоснования для управления кибер-рисками, чтобы убедить руковод
ство в необходимости поддержки программы. Руководителям старшего звена потребуется разъяснить бюджетные
обязанности и обьем ответственности.
Из-за ограниченности по времени многие старшие менеджеры прибегают к помощи консультантов, помогаю
щих им отделять важные вопросы от вопросов, которыми должны заниматься другиелюди. Таких людей называют
консультантами безопасности. В крупных организациях часто присутствуют организации управленческого аппара
та. которые старшие менеджеры используют для составления рекомендаций для решения технически сложных во
просов. Возможно, работу с такими организациями потребуется вести с самого начала в целях сбора достаточных
данных, на основании которых будут разрабатываться бизнес-модели. Такие организации могут дать
представле ние о том. какие старшие менеджеры обычно ведут работу со специфическими рисками.
Вполне вероятно, что высшее руководство может выбрать руководителя проекта, в задачи которого будет
входить подбор необходимых специалистов для проведения работы по обеспечению безопасности. Такой чело
век должен иметь широкое представление о действующем состоянии процедур информационной безопасности в
компании. Важно понимать, что по-настоящему интегрированная CSMS включает в себя традиционные каме
ральные и коммерческие компьютерные системы. IACS и системы создания ценности, которые взаимодействуют с
заказчиками, поставщиками и организациями, оказывающими услуги по транспортировке. Концепция и сфера
применения, о которых говорилось ранее, позволяют понять, кто должен быть привлечен к работе для достижения
целей инициативы.
Руководитель проектадолжен определить области, которые могут пострадать в результате инцидентов в от
ношении информационной безопасности IACS, и ключевых специалистов, которые несут ответственность за такие
области. Особое внимание следует уделять распределению ролей между специалистами независимо оторганиза
ции, вкоторой они работают.
Важно отметить, что при различных организационных структурах такие специалисты могут работать в раз
личных организациях. Целью является разработка экономичной CSMS. сопоставимой с существующими бизнес-
процессами и организациями, а не создание полностью новой организации. По возможности, должны отбираться
люди, уже выполняющие нужные задачи и имеющие надлежащий опыт. Разделение подконтрольных вопросов
может стать важным заданием для такой группы заинтересованных лиц.
Ключевая группа заинтересованных лицдолжна быть многофункциональной по своему характеру и объеди
нять в себе квалификации, которыми один отдельный специалист обычно не обладает. Группа должна включать в
себя следующих специалистов:
- лицо(а) IACS. которые могут внедрять и обслуживать устройства IACS:
- операционный персонал, отвечающий за создание продукта и выполнение заказов;
- лицо(а). занимающееся управлением технологической безопасностью, в чьи задачи входит обеспечение
отсутствия инцидентов в сфере HSE;
- ГГ-специалист(ы), который может отвечать за проектирование и эксплуатацию сети, обслуживание пультов
управления и серверов и т. п.;
- специалист(ы) по безопасности, связанный(е) с физической и информационной безопасностью на
площадке;
57