ГОСТ Р МЭК 62443-2-1—2015
Устранение риска при помощи CSMS
РисунокА.7 — Графическое представление группы эпеыенгов
«Избранные контрмеры по обеспечению безопасности»
CSMS — это система, посредством которой отбираются и выполняются избранные контрмеры по безопас
ности организации. Таким образом, конкретные контрмеры считаются скорее результатом этой системы, чем ча
стью самой системы. Однако, контрмеры, рассматриваемые в настоящем подпункте, были включены в настоящий
стандарт, поскольку их применение является основополагающим для разработки политики и архитектуры безопас
ности. По этой причине они должны быть рассмотрены до создания CSMS.
А.3.3.2 Элемент*Безопасность персонала»
А.3.3.2.1 Описание элемента
Безопасность персонала подразумевает анализ существующего и будущего персонала для определения
того, будет ли он выполнять свои обязанности по безопасности IACS, а также для определения и обучения таким
обязанностям. Работники, подрядчики и временный персонал, которые имеют доступ к секретной информации о
производственной деятельности или сетям IACS. аппаратному и ПО создают потенциальный риск при обнаруже
нии или изменении секретной информации или предоставлении несанкционированного доступа к IT-системам.
А.3.3.2.2 Требования к безопасности персонала
Во многих организациях требования кбезопасности персонала основаны на обеспокоенности по поводу ин
сайдерских угрози возможности аварий, вызванных невнимательным отношением кдеталям или несоответствием
персонала занимаемой должности из-за отсутствия должной подготовки или применения веществ, затуманиваю
щих сознание. Реализация политики по безопасности персонала позволяет уменьшить число таких проблем.
При разработке программы по безопасности персонала в нее необходимо включить весь персонал, имею
щий доступ к рассматриваемым системам, не ограничиваясь исключительно персоналом, пользующимся оборудо
ванием традиционного компьютерного зала.
Компьютеры в работе IACS являются инструментами, используемыми для продуктивной и безопасной ра
боты оборудования. Персонал управляет ключевыми для деятельности системами, поэтому необходимо предпри
нять все возможные меры для того, чтобы он был квалифицированным и соответствовал занимаемой должности.
Этот процесс начинается при найме и продолжаетсядо расторжения трудового договора. Для того, чтобы система
работала вбезопасном режиме, требуется постоянное внимание со стороны руководства и сотрудников.
В политике по безопасности персонала должно быть четко указано обязательство организации и обязанно
сти персонала по безопасности. В ней должны быть рассмотрены обязанности по безопасности всего персонала
(отдельных работников и организации в целом) от найма до окончания работы, особенно для должностей, связан
ных с секретностью (включающих работников, перспективных и контрактных работников, сторонних подрядчиков и
подразделения компании, например, по связям с общественностью).
Весь персонал, включая вновь нанятых работников или работников, переведенных с других должностей
на должности, связанные с секретностью (например, требующие привилегированного доступа), должен тщатель
но отбираться на стадии подачи заявления на трудоустройство. Отбор должен включать установление личности,
личных и трудовых референций и уровня образования и подготовки. Проверка биографии также может включать
кредитную историю, участия в криминальной деятельности и связи с наркотиками, поскольку эта информация
может быть полезной при определении пригодности кандидата (с учетом выполнения местных законов о защите
частной жизни). Третьи стороны, подрядчики и аналогичные лица должны проходить не менее жесткую проверку,
чем работники на сравнимых должностях. Работники и подрядчики также могут проходить непрерывную проверку.
66