Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт ГОСТ Р МЭК 62443-2-1-2015 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 22 июня 2015 г. N 774-ст)
- Приложение В (справочное). Процесс разработки системы управления кибербезопасностью
Приложение В (справочное). Процесс разработки системы управления кибербезопасностью
Приложение В
(справочное)
Процесс разработки системы управления кибербезопасностью
В.1 Обзор
В разделе 4 и приложении А настоящего стандарта рассмотрены отдельные элементы, связанные с комплексной CSMS. Разработка функционирующей CSMS представляет собой процесс, который может занять месяцы или даже годы. Настоящее приложение описывает упорядочивающий и повторяющейся характер мероприятий, связанных с разработкой элементов CSMS. Целями настоящего приложения являются:
- обеспечение понимания того, как успешные организации определяют последовательность таких мероприятий и рассмотрение наиболее распространенных заблуждений, относящихся к порядку создания элементов CSMS;
- предоставление пошагового руководства, которым организация может пользоваться в начале процесса создания CSMS.
- предоставление пошагового руководства по использованию настоящего стандарта.
В.2 Описание процесса
На рисунке В.1 показано шесть мероприятий верхнего уровня CSMS и взаимосвязь между ними. На рисунках, представленных далее в настоящем приложении, эти элементы будут показаны более подробно. В то время, как на рисунке В.1 показаны взаимосвязи между всеми мероприятиями, не все из этих взаимосвязей будут подробно показаны далее в настоящем приложении. Это было сделано для сбалансирования краткости изложения с полнотой рассматриваемых тем
Рисунок В.1 - Мероприятия верхнего уровня для создания CSMS
Мероприятие "Инициация программы создания CSMS" создает прочную основу для программы путем определения цели, организационной поддержки, ресурсов и масштабов системы. Первоочередная реализация данного мероприятия максимизирует эффективность работ аналогично любой программе с широким влиянием. Начальный масштаб может быть меньше, чем необходимо, но он может увеличиваться по мере развития программы.
Содержание CSMS определяется оценкой рисков Мероприятие "Предварительная оценка рисков" включает описание угроз, вероятности их материализации, общих типов уязвимостей и последствий Детальная оценка рисков добавляет подробную техническую оценку уязвимости в общую картину рисков. Распространенным заблуждением является использование ресурсов на ранней стадии для проведения детальной оценки уязвимости и последующее получение апатичной реакции на эти результаты, поскольку не был определен общий контекст общей укрупненной оценки рисков.
Мероприятия "Создание политики, структуры и информированности" и "Выбор и реализация контрмер" напрямую снижают риск для организации. Эти мероприятия применяют как решения, принятые на нижнем уровне, так и решения, принятые на высшем уровне, и зависят от предварительной и детальной оценки рисков. Мероприятие "Создание политики, структуры и информированности" включает в себя создание политик и процедур, распределение организационных обязанностей, а также планирование и проведение обучения. Мероприятие "Выбор и реализация контрмер" определяет и внедряет технические и нетехнические средства защиты кибербезопасности организации. Реализация этих двух основных мероприятий должна быть скоординирована, поскольку в большинстве случаев для эффективности контрмер существенными являются соответствующие политики и процедуры, обучение и распределение ответственности.
Мероприятие "Поддержание CSMS" включает задачи определения выполнения организацией политик и процедур CSMS, эффективности системы управления кибербезопасностью при выполнении целей организации в сфере кибербезопасности, а также необходимости изменения таких целей с учетом внутренних или внешних событий. Это мероприятие определяет, когда требуется провести пересмотр предварительной или детальной оценки рисков, или может ускорить изменение первоначальных параметров программы. Оно также может предоставить информацию для задействования политик, процедур, организационных решений или обучения в максимизации эффективности контрмер или выявлении слабых сторон, которые должны быть усилены при реализации выбранных контрмер. По сообщениям организаций реализация мероприятия "Поддержание CSMS" является очень трудоемкой, поскольку первоначальный энтузиазм в отношении программы может угаснуть и могут появиться другие приоритеты. Однако, без уделения достаточного внимания этому мероприятию положительные результаты программы будут в конечном итоге утеряны, поскольку среда, в которой функционирует программа, не является статичной.
Оставшаяся часть настоящего приложения дает читателю более четкое представление о шести мероприятиях CSMS верхнего уровня. Номер элемента или подэлемента указывается для помощи пользователю настоящего стандарта при поиске более подробной информации по конкретной теме.
В.3 Мероприятие "Инициация программы создания CSMS"
На рисунке В.2 показаны шаги по реализации мероприятия "Инициация программы создания CSMS".
Рисунок В.2 - Действия и взаимосвязи мероприятия "Инициация программы создания CSMS"
Желательным результатом мероприятия "Инициация программы создания CSMS" является обеспечение участия, поддержки и финансирования создания CSMS со стороны руководства. Для достижения этого первыми шагами, как показано на рисунке В.2, является разработка экономического обоснования, которое будет оправдывать создание программы для руководства, и предполагаемой сферы применения программы. Одновременно с этими шагами на основе обоснования и сферы применения программы определяются и привлекаются лица, являющиеся заинтересованными сторонами. Наиболее эффективным является необходимость заранее определить эти заинтересованные стороны при появлении такой возможности и вовлечь их в работу по обеспечению участия в программе руководства. Затем может быть построена организационная структура безопасности. Распространенным заблуждением является попытка инициировать создание CSMS даже без предварительного обоснования, соотносящего кибербезопасность с конкретной организацией и ее миссией. Мероприятия по обеспечению кибербезопасности требуют получения ресурсов от организации, и, несмотря на то. что программа может быть начата при всеобщем мнении о том, что кибербезопасность необходима, в отсутствие экономического обоснования движущая сила может быть быстро потеряна перед более насущными потребностями.
В.4 Мероприятие "Предварительная оценка рисков"
На рисунке В.3 показаны шаги по реализации мероприятия "Предварительная оценка рисков"
Рисунок В.3 - Действия и взаимосвязи для мероприятия "Предварительная оценка рисков"
Мероприятие "Предварительная оценка рисков" включает в себя выбор методик выявления и определения приоритетности рисков и последующее применение этих методик. Необходимо определить такие методики заранее, чтобы они образовали структуру для дальнейшей оценки рисков. На рисунке В.3 показана важность привлечения заинтересованных сторон, определенных во время проведения мероприятия "Инициация создания CSMS", к процессу выявления и оценки приоритета рисков. Последний шаг, заключающийся в документировании результатов и обоснования, имеет большое значение, поскольку эти записи являются бесценными при подтверждении или актуализации оценки рисков в будущем.
В.5 Мероприятие "Детальная оценка рисков"
Как показано на рисунке В.4, мероприятие "Детальная оценка рисков" обеспечивает более детальную оценку рисков путем, в первую очередь, проведения инвентаризации конкретных систем, сетей и устройств IACS. Ограничения ресурсов или временные ограничения могут не позволить провести подробное изучение всех этих имущественных объектов. В этом случае угрозы, последствия и типы уязвимостей, определенные при предварительной оценке рисков, используются при определении приоритетности конкретных систем, сетей и устройств, на которых необходимо сфокусироваться. Другие факторы, например, непосредственная поддержка или история проблем, также способствуют определению ориентиров для детальной оценки рисков. Детальное определение уязвимостей зависит от типов уязвимостей, определенных при предварительной оценке рисков, но не ограничивается этими типами. Таким образом, при детальной оценке уязвимости можно обнаружить не только новые типы уязвимостей, но также, возможно, новые угрозы и соответствующие последствия, которые не были выявлены при предварительной оценке рисков, т.е. новые риски. В этом случае необходимо актуализировать предварительную оценку рисков для их включения. Все обнаруженные уязвимости связываются с конкретным риском (угроза, вероятность и последствия) и их приоритет определяется в соответствии с методом, использованным при предварительной оценке рисков.
Рисунок В.4 - Действия и взаимосвязи для мероприятия "Детальная оценка рисков"
В.6 Мероприятие "Создание политики, организация и информированность в сфере безопасности"
Соответствующие политики для организации являются функциональным толкованием границ допустимости рисков для организации. Организация, создающая политику до определения своих рисков или границ допустимости рисков, может потратить ненужные усилия на выполнение и приведение в действие нецелесообразной политики или обнаружить, что ее политики не обеспечивают необходимый уровень снижения рисков. На рисунке В.5 показаны шаги по реализации мероприятия "Создание политики, организация и информированность".
Рисунок В.5 - Действия и взаимосвязи для мероприятия "Создание политики, организация и информированность в сфере безопасности"
Реализация политики включает в себя предоставление политики организации, проведение обучения персонала в организации и распределение обязанностей по выполнению политики. Политики и процедуры могут оказывать влияние на любые мероприятия в CSMS. Например, могут существовать политики в отношении обычных используемых контрмер, требующие разработки конкретных систем и процессов обслуживания или определения рисков, подлежащих повторной оценке. Таким образом, на рисунке В.5 показаны не все возможные типы воздействия политик и процедур на CSMS.
На рисунке В.6 показана более подробная разбивка мероприятий "Разработка мероприятий по обучению" и "Распределение организационных обязанностей". На нем показаны различные мероприятия по обучению, составляющие учебную программу, организационные обязанности, связанные с такими мероприятиями по обучению, и соответствующие мероприятия, относящиеся к частям программы создания CSMS. На этом рисунке не показаны все организационные обязанности или темы обучения, которые могут относиться к CSMS, а только основные аспекты, которые должны быть рассмотрены.
Рисунок В.6 - Обучение и распределение организационных обязанностей
В.7. Мероприятие "Выбор и реализация контрмер"
На рисунке В.7 показаны шаги по реализации мероприятия "Выбор и реализация контрмер"
Рисунок В.7 - Действия и взаимосвязи для мероприятия "Выбор и реализация контрмер"
Выбор контрмер является техническим процессом управления рисками. Границы допустимости рисков организации, заранее выбранные общепринятые контрмеры и результаты предварительной и детальной оценок рисков определяют подход управления рисками к выбору контрмер. Если организация внедряет новую систему или изменяет существующую систему, это приводит к необходимости предварительной актуализации и детальной оценки рисков для сценария внедрения такой новой системы. Затем проводится выбор контрмер, относящихся к новой или измененной системе на основе обновленной информации о рисках. Разработка или модификация систем требует актуализации планов непрерывности бизнеса и реагирования на инциденты.
В.8 Мероприятие "Поддержание CSMS"
Как показано на рисунке В.8, мероприятие "Поддержание CSMS" требует проведения периодических проверок и улучшений системы на основе результатов анализа. Исходной информацией для такой проверки являются результаты мер повышения эффективности и аудитов соответствия при внутреннем контроле самой CSMS. Также исходной информацией является внешняя информация о доступных контрмерах, развивающихся отраслевых практиках и новых или измененных законах или нормах.
При проверке CSMS выявляются недостатки и предлагаются улучшения, что в свою очередь приводит к совершенствованию системы. Некоторые из этих изменений могут принимать форму контрмер или улучшения реализации контрмер. В других случаях это могут быть изменения политики и процедур или улучшение их реализации. Анализ результатов несоответствия может указывать на необходимость совершенствования обучения или распределения организационных обязанностей.
Рисунок В.8 - Действия и взаимосвязи для мероприятия "Поддержание CSMS"