ГОСТ Р МЭК 62443-2-1—2015
Для действующей IACS, по которой никогда не проводилась процедура оценки риска и в которой еще не
была принята зональная модель, работа начинается с компонента под названием «Оценить последствие/риск для
процесса».
Целью оценки является понимание влияния риска на бизнес в случае появления угрозы для IACS в форме
кибер-инцидента, в результате чего она будет неспособна выполнять назначенные функции управления или не
предусмотренные функции. После того, как будет оформлена документация по риску, связанному с IACS. необхо
димо выполнить работы по управлению и смягчению риска.
По результатам анализа риска составляется таблица, в которой указывается рейтинг последствия и рейтинг
вероятности для каждого объекта IACS или определенного комплекса объектов. В таблицеА.5 приводится пример
результатов, полученных входе детальной оценки риска, и результатов, полученных путем объединения данных из
таблиц А.1. А.2 иА.З. Рейтинг вероятности назначается с учетом оценки уязвимости каждого указанного объекта, а
также вероятности реализуемых связанных угроз.
Таблица А.5 — Пример таблицы для объекта IACS с результатами оценки
Объект IACS
Рейтим
1
последствия
Рейтинг вероятности
Панель управления в операторской
А
Средний
Дистанционная панель управления
С
Высокий
Инженерная станция конфигурации
А
Высокий
Сервер архивных данных
В
Средний
Контроллер
А
Средний
Шлюз
В
Средний
Прочие устройства
С
Низкий
А.3.4.2.3.2 Определение уровня риска IACS
В таблицеА.З показана упрощенная примерная модельдля перевода чувствительности организации к риску
в качественные уровни риска IACS. Модель должна подготавливаться ответственными руководителями организа
ции предварительно, до проведения анализа риска.
Точки пересечения рейтингов «Последствия» и «Вероятность» представляют собой уровни риска.
Пример — Устройство IACS с последующим рейтингом В и вероятностью яВысокая» представ
ляет собой устройство высокого риска.
Концепции определения риска, приведенные в таблицеА.З. могут применяться к объектам 1ACS. приведен
ным в таблицеА.5. вкоторой сводятся общие рейтинги для IACS. как показано в таблицеА.6. Вэтой таблице опре
деленные уязвимости упорядочены по приоритетам.
У каждого устройства имеется уровень риска информационной безопасности, связанный с ним. В хорошо
интегрированной IACS функции контроля, предусмотренные для каждого устройства, в значительной степени за
висят от целостности прочих устройств в IACS. На функциональную целостность системы контроля будет влиять
целостность самого слабого устройства.
Упрощающее допущение заключается в том. что устройство с наиболее высоким уровнем риска определяет
внутренне присущий уровень риска для всей IACS. На примере, приведенном втаблицеА.6. видно, что внутренне
присущий уровень риска для IACS является высоким риском, поскольку несколько устройств IACS имеют уровень
риска, идентифицированный как высокий риск.
Таблица А.6 — Пример объектной таблицы 1ACSс результатами оценки и уровнями риска
О б ъ е кт IA C S
Р е й т и н г п о с л е д с тв и я
Р е й ти н г в е р о я тн о с ти
У р о в е н ь р и с ка д л я
у с т р о й с т в а IA C S
Панель управления в операторской
А
Средний
Высокий риск
Дистанционная панель управления
С
Высокий
Средний риск
Инженерная станция конфигурации
А
Высокий
Высокий риск
Сервер архивных данных
В
Средний
Средний риск
Контроллер
А
Средний
Высокий риск
88