ГОСТ Р МЭК 62443-2-1—2015
А.3.3.3 Элемент «Физическая безопасность и защита от внешних воздействий»
А.3.3.3.1 Описание элемента
Физическая безопасность и защита от внешних воздействий относятся к созданию безопасной среды для
защиты материальных или физических имущественных объектов (т. е. компьютеров, сетей, информационного или
производственного оборудования) от повреждения, утраты, несанкционированного доступа или ненадлежащего
использования. Физическая безопасность и защита от внешних воздействий информационной системы является
общей дисциплиной, заимствующей знания и опыт из других областей физической безопасности или безопас
ности оборудования. Меры обеспечения физической безопасности и защиты от внешних воздействий должны
быть разработаны для дополнения мер по кибербезопасности, предпринятых для защиты этих имущественных
объектов.
Меры по обеспечению физической безопасности и защиты от внешних воздействий отличаются друг от дру
га. но они взаимоувязаны, поскольку созданы для защиты имущественных объектов организации от угроз. Меры
по обеспечению физической безопасности предпринимаютсядля физической защиты имущественных активов ор
ганизации от несанкционированного доступа, утери, повреждения, ненадлежащего использования и т. д. Меры по
обеспечению защиты от внешних воздействий предпринимаются для защиты имущественных объектов организа
ции от условий среды, которые могут сделать их непригодными для использования или повредить информацию,
которую они содержат.
Несмотря на то, что политики и процедуры по кибербезопасности имеют большое значение для надлежащей
защиты информации и систем управления, для действительно эффективной защиты они должны дополняться
соответствующим уровнем физической безопасности. Например, даже использование такого жесткого контроля,
как аутентификация и контроль доступа, не достаточно хорошо защищает систему, если существует возможность
войти в объект и физически удалить или повредить электронные носители данных.
А.3.3.3.2 Основания для физической безопасности и защиты от внешних воздействий
А.3.3.3.2.1 Общие положения
Во многих организациях требования безопасности среды и защиты от внешних воздействий по периметру
относятся только к физическим имущественным объектам организации и могут не соответствовать требованиям по
кибербезопасности. Из-за объединения нескольких организаций на площадке (т. е. бизнес-партнеров, подрядчиков и
третьих сторон) может потребоваться дополнительная физическая защита имущественных объектов IACS. На
объектах IACS физическая безопасность ориентирована больше на защиту имущественных объектов системы,
чем на саму производственную информацию. Проблема заключается не столько в фактической краже или по
вреждении вычислительных и управляющих устройств, сколько в воздействии, которое они могут оказать на под
держание безопасности производства.
При разработке программы физической безопасности имущественных объектов важно включить в нее все
системы, а не ограничиваться традиционным оборудованием компьютерного зала. В IEOTS 62443-1-1 рассма
триваются критерии, которые могут использоваться для определения имущественных объектов, которые должны
учитываться в составе CSMS.
Компьютеры, входящие в IACS. являются инструментами продуктивного и безопасного управления объек
том. Они являются средством, как и защищаемый имущественный объект. В некоторых случаях установка обору
дования в закрытом помещении угрожает безопасности и/или производительности, поскольку время реагирования
при получении доступа коборудованию может увеличиться.
При определении процедур физической безопасности для защищаемого имущественного обьекта необхо
димо исходить из практических инженерных соображений, уравнивающих все риски. Несмотря на то. что обычной
практикой является расположение маршрутизаторов и другого сетевого оборудования в закрытой среде, приме
нение этой практики для другого оборудования может быть нецелесообразным. Полевые устройства (т. е. испол
нительные механизмы клапанов, пускатели двигателей и реле) обычно приводятся вдействие напрямую на месте
установки без передачи сигналов управления через сеть IACS. Защита всех полевых устройств по отдельности
может быть очень дорогостоящей, поэтому процедуры контроля доступа при физическом ограждении периметра
обычно требуются на объектах, связанных с высоким риском.
В А.3.3.3.2.2—А.3.3.3.2.14 описаны процедуры, которые необходимо учитывать при создании безопасной
среды для защиты материальных имущественных объектов от физического повреждения из-за физического про
никновения или условий среды.
А.3.3.3.2.2 Политика безопасности
Письменная политика безопасности содержит инструкции в отношении того, что организация должна пони
мать под безопасностью, какона должна реализовывать и анализировать программу безопасностидлядальнейше
го совершенствования. Эти письменные политики позволяют персоналу четко понимать свою роль и обязанности
в сохранении имущественных объектов организации. Организации необходимо установить политику физической
безопасности и защиты от внешних воздействий, которая будетдополнять политику кибербезопасности и политику
физической безопасности. Основной целью является ликвидация любых разрывов, которые могут существовать
между этими двумя политиками. Политика физической безопасности и защиты от внешних воздействий должна
соответствовать и выполнять политики, указанные выше, а также друлте политики безопасности, относящиеся к
безопасности системы управления. Для определения необходимых процедур физической безопасности использу
ется детальная оценка рисков физической безопасности.
68