ГОСТ Р МЭК 62443-2-1—2015
в) периодическое изучение иутверждение программы обучения и оценка ее эффективности;
f)своевременное доведение важной информации до сведения всего персонала через реализацию програм
мы информирования и формирования осведомленности;
д) первоначальное обучение всего персонала и периодическое последующее обучение (например, на еже
годной основе).
Несмотря на то. что ни один из этих основных практических методов не характерен для обучения по вопро
сам безопасности IACS. задачи и содержание программы обучения должны отражать взаимосвязь между безопас
ностью IACS и последствиями для сферы HSE.
А.3.2.4.3.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия;
a) определение обучения по вопросам информационной безопасности в качестве составляющей общей ра
боты компании в области обучения для всего персонала;
b
) индивидуальное составление учебного курса по вопросам информационной безопасности с последова
тельным изложением материаловдля конкретной роли в организации.
c) регулярное ведение и изучение журналов с результатами обучения персонала и графиков актуализации,
в зависимости отдолжностей/ролей сотрудников;
d) организация обучения информационной безопасности, предоставляемого поставщиками;
е) определение сроков, периодичности и содержания программы информирования и формирования осве
домленности и документальное оформление программы в целях повышения осведомленности организаций в об
ласти средств контроля информационной безопасности;
f)включение компонента обзора основных положений программы информирования и формирования осве
домленности для всего персонала в цепях обеспечения их осведомленности о практиках безопасности вих первый
день работы;
д) ежегодное изучение программы обучения и программы информирования и формирования осведомлен
ности на предмет их эффективности, приемлемости, содержания и соответствия используемым инструментам и
корпоративным практикам.
А.3.2.4.4 Использованные ресурсы
Данный элемент частично основан на материалах [2). [23]. [24]. [26].
А.3.2.5 Элемент «План непрерывности бизнеса»
А.3.2.5.1 Описание элемента
План непрерывности бизнеса определяет процедуры поддержания на устойчивом уровне или возобновле
ния важных бизнес-операций в процессе восстановления после существенного сбоя. План непрерывности бизнеса
разрабатывается для целей принятия мер реагирования на последствия после чрезвычайных происшествий, на
рушений безопасности и не предоставление обслуживания. Разработка детального плана позволит гарантировать
возможность восстановления и использования важнейших систем IACS в максимально возможные короткие сроки
после наступления существенного сбоя.
А.3.2.5.2 Область применения плана непрерывности бизнеса
Прежде чем приступить к разработке плана бизнес-непрерывности, важно понять, когда и в каких ситуациях
такой пландолжен применяться. Незапланированное вмешательство может быть в виде стихийного бедствия (т.е.
торнадо, ураган, землетрясение или наводнение), непреднамеренного происшествия, вызванного воздействием
человека (например, случайное повреждение оборудования, пожар, взрыв или ошибка оператора), преднамерен
ного происшествия, вызванного воздействием человека (например, бомбовая атака, применение огнестрельного
оружия, вандализм, хакерские или вирусные атаки) или отказа оборудования. Если рассматривать потенциальные
отказы оборудования, на восстановление после отключения механического оборудования может уйти стандартное
время в размере нескольких минут или часов и несколько дней, недель или месяцев после стихийного бедствия.
Поскольку зачастую управление надежностью и обслуживанием электрического/механическош оборудования ре
гулируется отдельной дисциплиной, некоторые организации предпочитают определять бизнес-непрерывность та
ким образом, который бы исключал подобные источники отказов. Всвязи с тем. что бизнес-непрерывность в основ
ном связана с продолжительными последствиями технологических отказов, часть организаций также определяют
минимальный предел прерывания в отношении рассматриваемых рисков. Для целей информационной безопас
ности IACS не рекомендуется применять любые такие ограничения. Необходимо принимать во внимание как про
должительные перерывы (восстановление после стихийного бедствия), так и короткие перерывы
(восстановление работы). План также включает всебя и другие аспекты восстановления после чрезвычайных
происшествий, напри мер. управление в чрезвычайных обстоятельствах, человеческие ресурсы и взаимодействие
со СМИ или прессой.
Поскольку некоторые такие потенциальные нарушения включают в себя происшествия, вызванные воздей
ствием человека, важно организовывать работу с учетом физической безопасности, что позволить понять риски,
связанные с такими происшествиями, и контрмеры по обеспечению физической безопасности для их предупреж
дения. Для организации физической безопасности также важно понимать, на каких участках производственной
площадки установлены IACS. которые могут привести к рискам более высокого уровня.
А.3.2.5.3 Процесс планирования непрерывности бизнеса
Прежде чем приступить к разработке плана действий при наступлении потенциальных перебоев, важно
определить специфические целидля различных систем и подсистем, участвующих в процессе, с учетом стандарт-
61