ГОСТ Р 56498—2015
7.3.7События и сообщения аварийной сигнализации должны своевременно актироваться в
соответствии с планами действий в непредвиденных ситуациях, идолжен выполняться их критический
анализ.
Это обосновано тем. что при наступлении инцидента безопасности очень важно свести ущерб к
минимуму и продолжать эксплуатацию ICS, как можно быстрее полностью восстановив надежную экс
плуатацию с обычной производительностью.
Правила реализации политик приведены в 7.3.7.1—7.3.7.10.
7.3.7.1 Должны быть установлены планы действий в непредвиденных ситуациях. Они должны
периодически обновляться.
7.3.7.2 Сообщения аварийной сигнализации, имеющие отношение к безопасности в критических
условиях, и события производственного управления должны актироваться администрацией службы
безопасности и. если возможно, совместно с администрацией, отвечающей за эксплуатационную
безопасность.
7.3.7.3 Для инцидентов различного рода и критичности, связанных с безопасностью, должны
быть установлены планы реагирования на инцидент, включающие продолжение эксплуатации завода
и восстановление повременного оборудования.
7.3.7.4 Для быстрого и эффективного разрешения проблемы для критичного оборудования долж
нодокументироваться его закрепление за техником, пользователем, администратором иоборудовани
ем мониторинга.
7.3.7.5 Критичный инцидент безопасности должен быть исследован быстро и сразу после его
возникновения.
П р и м е ч а н и е 1 — В некоторых старых приложениях для доступа к устройствам ICS или удаленным кли
ентам используется протокол с открытым текстом сертификата (например. Telnet. FTP). В этом случае доступ дол жен
использовать надежный протокол туннеллирования во избежание раскрытия сертификатов на любой части
маршрута, раскрываемой общедоступными внешними сетями EN.
П р и м е ч а н и е 2 — Должно осуществляться управление исключениями и их документирование.
П р и м е ч а н и е 3 — Когда устройство безопасности выдает сообщение аварийной сигнализации, извеща
ющее об инциденте безопасности, оно должно без задержки поступать на сервер управпения безопасностью ме
неджеру по безопасности. Менеджер по безопасности должен задействовать план противодействия ущербу, то есть
определить уровень поражения и очевидные меры безопасности, которые необходимо принять.
7.3.7.6 Планы должны быть опубликованы и доведены до сведения соответствующего персона
ла. одновременно с распределением ответственности и связанных с нею имущественных объектов
организации.
7.3.7.7 Должны проводиться ознакомительные занятия и технические тренинги, поддерживаю
щие персонал в форме, необходимой для действий в непредвиденной ситуации.
7.3.7.8 Периодически и внезапно должны проводиться практические занятия по отработке
действий при разнообразных сценариях атак, позволяющие оценить способность завода справляться с
реальными атаками должным образом.
7.3.7.9 При обнаружении несанкционированного проникновения, реагировать необходимо
немедленно. Это предполагает существование адекватных и обновляемых планов для инцидентов
безопасности, влияющих на функции и имущественные объекты, на которые распространяются эти
политики.
7.3.7.10 Вызванные инцидентами безопасности катастрофы требуют планов восстановления
после катастроф и аварий, а также соответствующей контактной информации и информации по вос
становлению.
П р и м е ч а н и е — Об использовании и мониторинге системы доступа см. ИСО/МЭК 27002.
8 Политика безопасности промышленной системы управления — меры
Цель указанной политики — снизить риск электронных атак на ICS путем установления мер безо
пасности для хостов, устройств, а также мер по ограничению способности периферийных устройств
подключаться к внутренней сети ICN. к подчиненным ICN сетям любого уровня и к внешним сетям.
П р и м е ч а н и е — Намеченное снижение риска может быть достигнуто только в том случае, если учитыва
ются все способы связи, включая традиционные средства связи (телефон, радиосвязь), беспроводные частные и
общедоступные сети.
27