ГОСТ Р МЭК 62443-2-1—2015
I)определение частоты и способа проведения тестирования, аттестации и оценки плана бизнес-непрерыв
ности и использование этих результатов для усовершенствования и актуализации плана в целях повышения его
эффективности;
т) детальное описание рисков, связанных с работой по плану бизнес-непрерывности, также способы их
устранения и/или смягчения;
п) определение данных, для которых требуется особый подход к обработке и защите, а тахже информации,
имеющей крайне важное значение для обеспечения непрерывной деятельности;
0) установление промежуточных процедур для обеспечения возможности осуществления минимального на
бора операций. Наданном промежуточном этапе будет уместным сокращение ассортимента продукции;
р) определение и хранение резервных систем (апларатное/программное обеспечение, документация) в без
опасном месте;
q) тестирование резервных систем всоответствии с заранее определенным графиком на предмет надлежа
щей работы систем и правильного восстановления данных;
г) идентификация и/или хранение запасов для использования группой реагирования в чрезвычайных ситу
ациях и помощи при проведении восстановительных работ (например, вода в бутылках, детоксикационные души,
аварийный запас сжатого воздуха или респираторы);
s) определение процесса возобновления нормальной деятельности.
А.3.2.5.4.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия;
a) определение приоритетов IT-систем и систем IACS по типу их воздействия на бизнес или операционную
деятельность с учетом границ допустимости риска ворганизации. IACS могут влиять на IT-системы, которые выпа ли
из поля зрения, поскольку не проводились совместная проверка и определение приоритетов систем вкачестве
единого целого. Планирование действий на случай чрезвычайных происшествий и планов восстановлениядолжно
предусматривать взаимосвязь этих систем;
b
) распределение важнейших резервированных систем в различных географических регионах. Если это не
осуществимо. резервныеданные и оборудование должны храниться в месте, не подверженном риску наступления
аналогичного происшествия, который характерен для главной системы (т. е. возвышение на случай наводнения
или бетонный бункер на случай торнадо);
с) тестирование и актуализация планов бизнес-непрерывности на периодической основе или по мере
необходимости;
d) привязка планов бизнес-непрерывности к системе управления изменениями, за счет чего обеспечивается
актуальное состояние плана бизнес-непрерывности в случае существенных изменений;
e) тестирование планов информирования на периодической основе или по мере необходимости и назначе
ние ответственных лиц за ведение актуального списка телефонов сотрудников;
f) предоставление важной контактной информации ключевой группе (карта, имеющаяся у каждого члена
группы);
д) хранение письменных копий плана каждым членом группы на дому;
h)введение процедур/или контрактов для приобретения дополнительного аппаратного обеспечения. ПО и
запасов, если вних существует необходимость. Следует иметь в виду, чтобы в плане бизнес-непрерывности время
на замену оборудования/программ для IACS было сопоставимо со временем замены оборудования, находящегося
под контролем. В некоторых случаях на реыонт/замену такого оборудования уходит большое количество времени,
существенно превышающее время замены систем управления;
1)заключение предварительныхсоглашений о гарантированном уровне обслуживания с поставщиками услуг
по восстановлению после чрезвычайных происшествий.
А.3.2.5.5 Использованные ресурсы
Данный элемент частично основан на материалах [23). [37]. [48]. [51].
А.3.2.6 Элемент «Политика и процедуры безопасности»
А.3.2.6.1 Описание элемента
В каждой системе управления существуют наборы общих требований, которые должны выполняться систе
мой. и перечни организаций, которые подпадают под эти требования. В настоящем стандарте эти требования име
нуются политиками. Также существуют описания того, как физические лица и организации выполняют требования
в системе управления. В настоящем стандарте эти описания именуются процедурами.
Для CSMS политика является общим руководством по требованиям к кибербезопасности ворганизации. Она
содержит инструкции вотношении того, что организация должна понимать под кибербезопасностью. как она долж на
выполнять программу кибербеэопасности иопределять границы допустимости рисков. Политика для CSMS соз
дается на основе корпоративной политики более высокого уровня, которая разрешает ее составление. Политика
содержит негативные последствия невыполнения, включающие возможный разрыв трудового договора или даже
уголовное преследование.
В процедурах подробно описано, каким образом политики для CSMS реализуются ворганизации. Они могут
быть менее строгими по сравнению с политиками и могут включать положения, оговаривающие исключения, по
скольку очень сложно создать процедуры для каждой возможной ситуации или события.
63