ГОСТ Р МЭК 62443-2-1—2015
ческих атак или иными внешними угрозами. Организации, которые установили отношения с локальными аварийно-
спасательными службами, расширяют такие связи с тем. чтобы обеспечивать обмен информацией и реагировать
на инциденты, связанные с системой информационной безопасности;
c) обеспечение того, что внешние поставщики, оказывающие влияние на безопасность организации, при
держиваются тех же политик и процедур безопасности, засчетчего поддерживается единый уровеньбезопасности
IACS. Политики и процедуры безопасности поставщиков второго и третьего уровня также должны выполнять тре
бования корпоративных политик и процедур безопасности, если они влияют на безопасность IACS:
- компании должны принимать во внимание повышенный риск безопасности, связанный с аутсорсингом, в
рамках процедуры принятия решения о том. какие ресурсы следует привлекать по схеме аутсорсинга, ипроцедуры
выбора партнера по аутсорсингу;
- контракты с внешними поставщиками, регулирующие как физический, так и логический доступ;
- ожидания в отношении конфиденциальности информации и права на интеллектуальную собственность
должны быть четко определены:
- процедуры управления изменения должны быть четко определены;
d) удаление права доступавнешнего поставщика на этапе заключенияфасторжения контракта. Своевремен
ность таких действий имеет крайне важное значение ичетко прописывается в контакте.
А.3.2.3.5 Использованные ресурсы
Данный элемент частично основан на материалах [23). [26]. [30]. [43].
А.3.2.4 Элемент «Обучение персонала и информированность»
А.3.2.4.1 Описание элемента
Информированность о безопасности всеми членами персонала является важным инструментом для сни
жения рисков информационной безопасности. Информированные и бдительные сотрудники являются одной из
наиболее важных линий защиты вобеспечении безопасности системы. При работе с IACS вопросу кибербезопас
ности необходимо уделять такое же внимание, как и безопасности и эксплуатационной целостности, поскольку
последствия могут быть настолько же тяжелыми. Поэтому весь персонал (сотрудники, подрядчики или сторонние
организации) должен осознавать важность обеспечения надежной работы системы. Программа обучения персо
нала и осознания важности обеспечения безопасности позволяет всем сотрудникам {работникам, подрядчикам и т.
п.) получать информацию, необходимую для идентификации, изучения, рассмотрения и. помере необходимости,
устранения уязвимостей и угроз для IACS, и гарантировать, что их собственные рабочие практики предусматри
вают эффективные контрмеры. Весь персонал должен пройти надлежащее техническое обучение, связанное с
известными угрозами и уязвимостями аппаратного обеспечения. ПО и объектами социального инжиниринга. Про
граммы обучения персонала и осознания важности обеспечения безопасности наиболее эффективны, если они
разработаны с учетом особенностей слушателей, соответствуют требованиям политики компании и на регулярной
основе доводятся до сведения персонала. Через программу обучения персонал своевременно получает важную
информацию. Эффективная программа позволяет сотрудникам понимать, для чего требуются новые или обнов
ленные средства контроля безопасности, и разрабатывать идеи, которые они смогут использовать для снижения
уровней риска и влияния на организацию, если методы контроля не встроены всистему.
А.3.2.4.2 Разработка программы обучения персонала и обеспечение понимания важности
Обучение продолжается практически весь период времени, пока идет разработка и внедрение CSMS. Оно
начинается после того, как определенфронт работ и идентифицирована группа заинтересованных лиц. Целью про-
граммы обучения является обеспечение всего персонала необходимой информацией, чтобы сотрудники знали о
возможных угрозах для системы и их обязанностях по обеспечению надежной работы производственных обьектов.
Организация должна разработать программу обучения вопросам информационной безопасности в соответ
ствии с общей программой обучения организации. Обучение должно проводиться вдва этапа.
1) общее обучение для всего персонала;
2) обучение с учетом роли специалиста в проекте с упором на определенные обязанности ивиды ответствен
ности. Прежде чем приступить кразработке программы обучения, важно определить объем, сроки обучения и роли
специалистов внутри организации.
Общая программа обучения должна разрабатываться для всего персонала. Пользователи пройдут обуче
ние правильным процедурам обеспечения безопасности, правильному применению информации для снижения
рисков. В программу также необходимо включать такие компоненты, как юридическая ответственность, меры кон
троля и индивидуальные обязанности по обеспечению безопасности.
В процессе обучения должны рассматривать риски и обязанности, связанные с ролью сотрудника в органи
зации. Для таких сотрудников потребуется более специализированное и интенсивное обучение. Для проведения
обучения необходимо привлекать профильных специалистов. Обучение можно проводить в аудитории, в сети Ин
тернет или в форме практического обучения. В рамках такого обучения можно предусматривать обучение, предо
ставляемое поставщиками, для детального обсуждения инструментария и связанных рисков.
Программа должна включать в себя инструмент для изучения и изменения программы, когда возникает такая
необходимость, и инструмент оценки эффективности программы. Также, необходимо установить сроки для про
ведения периодического повторного обучения.
Обязательство руководства в отношении проведения обучения и обеспечении понимания важности обеспе чения
безопасности имеет крайне важное значение в создании стабильной и надежной вычислительной среды и
59