ГОСТ Р МЭК 62443-2-1—2015
- дополнительные кадровые ресурсы, которые могут включать специалистов по правовым, кадровым вопро
сам и по вопросам поддержки клиентов или выполнения заказов.
С течением времени состав группы заинтересованных лиц может изменяться, или же отдельные лица могут
переходить на роли более высокого уровня на различных этапах или во время выполнения различных действий
при разработке CSMS. Не имеет значения, какая организация руководит данной работой, скорее имеет значение
то. что руководитель демонстрирует правильные основополагающие принципы, способствующие совместной ра
боте в качестве группы, стремящейся к единой цели. У каждой из исходных компаний, к которым относятся ука
занные выше специалисты, есть что предложить, и каждая из них выполняет свою роль при принятии решений и
выведении результатов вотношении CSMS.
Как правило, требуется убедить старшего менеджера провести тестирование новых программ в небольшом
географическом регионе или на конкретной площадке, чтобы доказать, что новые процедуры/программы работо
способны. прежде чем потратить на это огромное количество ресурсов. Это может стать еще одним эффективным
подходом к тому, чтобы получить возможность общения с руководством высшего звена, или же на деле довести до
сведения руководителей информацию о бизнес-модели.
Как только будут выбраны соответствующие старшие менеджеры, важно определить, каким образом делать
для них презентацию CSMS: в качестве группы или в индивидуальном порядке. Большей эффективности можно
добиться, если убеждать их всех одновременно, но они все могут быть не предрасположены к тому, чтобы одно
временно участвовать в обсуждениях. Если необходимо убедить фуппу руководителей, можно попытаться найти
«союзника», чтобы тот изучил презентацию, и изложить свои идеи всей группе до презентации. Принимая во вни
мание большое количество различных областей, подверженных риску, довольно часто приходится убеждать более
одной группы руководителей.
Если затраты по программе обеспечения информационной безопасности нельзя определить изначально из-
за отсутствия компьютерной инвентарной ведомости или отсутствия стандартных контрмер, может потребоваться
провести повторное представление презентаций, когда такие затраты будут определены точнее. На таком раннем
этапе следует уделять внимание введению системы для уравнивания затрат, связанных с контрмерами, и с затра
тами. относимых на счет рисков. В этот период характерно получение неадекватных данных, на основе которых
формируется запрос на определенный бюджет для внедрения контрмер.
А.3.2.3.4 Вспомогательные практические методы
А.3.2.3.4.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) получение поддержки исполнительных руководителей для определения организационной основы реше
ния вопросов безопасности:
b
)определение ответственности за информационную и физическую безопасность для персонала с соответ
ствующим уровнем финансирования для внедрения политик безопасности;
c) создание общекорпоративной труппыбезопасности (или организации), отвечающей за четкое руководство,
определение обязательств иконтроль. Такая группа может быть неформальной сетевой, организационной или ие
рархической структурой, под контроль которой подпадают различные подразделения или организации компании.
Эта группа назначает уровни ответственности и подтверждает, что внедрены бизнес-процессы, позволяющие за
щитить обьекты компании и информацию;
d) создание или изменение контрактов, в которых рассматриваются вопросы политик и процедур информа
ционной и физической безопасности бизнес-партнеров, сторонних подрядчиков, партнеров по аутсорсингу и т. л.,
когда такие политики и процедуры безопасности внешних партнеров влияют на безопасность IACS;
e) координирование или интегрирование организации по физической безопасности, когда между рисками
для физической и информационной безопасности возникает наложение друг на друга и’или синергия.
А.3.2.3.4.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
a) определение ответственности за информационную безопасность IACS:
- отдельное лицо, выполняющее любую функцию, несет ответственность за информационную безопасность
всей организации. Такое лицо возглавляет многофункциональную команду, представляющую различные подразде
ления и функциональные отделы. Группа демонстрирует свою ответственность за обеспечение информационной
безопасности и определяет направления деятельности для организации. Это включает в себя участив в объектах
и промышленных операциях, а также выделение соответствующих ресурсов для решения вопросов безопасности:
- отдельная группа отвечает забезопасность IACS либо в производственной организации, либо в проектной
организации. Несмофя на то. что такой подход имеет свои преимущества благодаря тому, что руководство владеет
информацией о рисках, связанных с IACS. они могут быть утрачены, если эта группа не взаимодействует вплотную
с людьми, отвечающими за фадиционные IT-объекты и физическую безопасность;
- вся группа безопасности отвечает за физические илогические обьекты Вданной иерархической структуре
безопасностью занимается отдельная организация с отдельными группами, отвечающими за системы физической и
информационной безопасности. Такой подход гложет пригодиться в небольших организациях с ограниченными
ресурсами:
b
) координирование работы с правоохранительными органами, регулятивными органами и поставщиками
интернет-услуг вместе сдругими соответствующими организациями, поскольку это связано с угрозами террористи-
58