ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели (Издание с Поправкой)

     5.8 Политики безопасности

5.8.1 Общие положения

Политики безопасности дают возможность организации придерживаться последовательной программы по обеспечению допустимого уровня безопасности. Политики безопасности определяют в организации на различных уровнях, при этом они могут принимать самую разную форму, начиная от политики управления или администрирования, устанавливаемых на уровне предприятия, заканчивая политикой эксплуатации, определяющей подробные данные управления безопасностью. Политики безопасности, относящиеся к особому уровню - это документы организации, относительно которых можно определять соответствие установленным требованиям в рамках аудитов безопасности.

Политики безопасности - это правила, которые определяют или регулируют способ защиты организацией уязвимых и особо важных системных ресурсов. Политики безопасности однозначно формулируют, что обязательно для исполнения. Поскольку политики безопасности обязательны для соблюдения и однозначны, они допускают их использование для аудитов. Политики безопасности организации учитывают также нормативно-правовые и контрактные обязательства, относительно которых осуществляется проверка фактической деятельности организации в рамках аудитов.

Дополняют политики безопасности регламенты. Регламенты безопасности определяют детальную последовательность действий, необходимых для осуществления той или иной меры безопасности. По уровню применения регламенты используют для решения конкретной проблемы. Регламенты могут относиться к конкретной технологии. Политики безопасности ссылаются на регламенты и уполномочивают их применение.

Противоположностью политикам безопасности и регламентам являются директивы. Директивы не обязательны для выполнения. Они предназначены для описания способа выполнения чего-либо, что желательно, но не обязательно. Поскольку директивы не обязательны для выполнения и могут быть неоднозначны, практические действия не могут подвергаться аудитам с опорой на директивы. Директивы иногда разрабатывает группа специалистов, которая неправомочна требовать их выполнения. Директивы не содержат описания практических действий, которые подлежат обязательному выполнению.

Политики и регламенты безопасности в основном различны для разных частей организации, поэтому важно их правильное координирование. В частности, политику безопасности систем промышленной автоматики и контроля следует координировать с аналогичной политикой безопасности информационной техники общего назначения. Программа безопасности будет реализована успешнее, если в команде установлены хорошие деловые взаимоотношения, и правильно скоординированные методики действий могут им поспособствовать.

Некоторое единообразие структуры для разных политик безопасности и регламентов повышает согласованность между универсальными наборами политик безопасности и регламентов. Каждый документ, описывающий политику или регламент, содержит краткую, но точную формулировку своего назначения. Документ содержит также формулировку границ применимости документа. Кроме того, он содержит описание рисков, которые предполагается снизить, и ключевых принципов, на которых строится документ.

Разным этапам жизненного цикла системы соответствуют разные профили проблем безопасности. Политики и регламенты безопасности могут затрагивать лишь конкретные этапы жизненного цикла. В некоторых политике и регламенте может быть указано, что они относятся только к определенным этапам жизненного цикла. В наборе политик и регламентов безопасности все вопросы безопасности, относящиеся к разным этапам жизненного цикла, рассматриваются в соответствующих пунктах.

Политики и регламенты безопасности содержат инструкции относительно того, каким образом организация должна определять степень соответствия политики нормативам и как обновлять их. При проведении или оценке аудитов организации часто обнаруживают, что политика требует пересмотра. Аудиты могут выявить неясности в политике и регламенте в целом или в их частях, ведущие к неоднозначной трактовке требуемой операции или результата. Аудиты могут выявить проблемы, которые следует учесть при разработке политики и регламента. Аудиты могут выявить и требования, которые следует пересмотреть и скорректировать или даже исключить в случае необходимости.

Политики и регламенты безопасности должны по возможности учитывать непредвиденные обстоятельства, которые делают невозможным их применение. Политика должна по возможности устанавливать порядок документирования и утверждения исключений к политике и регламентам. Если утвержденные исключения документировать, это обеспечит более совершенную безопасность, чем если оставлять в политике и регламентах неточности и неясности.

Кроме того, организации должны обеспечивать четкость понимания того, что в политике является требованием, а что - пожеланием. Такая четкость обеспечивается использованием глаголов вроде "должен", "следует", "может" и "является". Эти слова могут быть уточнены во вступительных разделах текста политики. "Должен" используется в контексте требований; "следует" используется в контексте рекомендаций. "Может" используется в контексте пожелания, которое является необязательным. Может быть целесообразно предусмотреть варианты изложения требования. Фразы типа "там, где возможно" или "при необходимости" вносят неясность, если только при этом не описано, как отличить контекст возможности от контекста необходимости.

Политики и регламенты безопасности устанавливают, кто и за что отвечает: отвечает ли технологический персонал за управляющую сеть, отвечает ли он за DMZ, расположенную между управляющей сетью и корпоративной сетью. В случае, если отдел корпоративных информационных систем отвечает за условия, требующие от технологического персонала выполнения тех или иных действий, то эти действия должны быть по возможности прописаны.

Для организации, которая только начинает создавать свою программу безопасности, политики и регламенты - это хорошая отправная точка. Будучи составлены, они могут сначала охватывать набор норм безопасности, которые организация способна соблюсти в ближайшей перспективе благодаря наличию необходимого оборудования. Со временем они могут быть пересмотрены и ужесточены по мере роста возможностей организации. Они могут быть введены в действие без задержки на приобретение и установку систем и устройств.

5.8.2 Политика уровня предприятия

Политика уровня предприятия санкционирует программу безопасности и обозначает курс. Она устанавливает общие цели безопасности организации.

Формулировка основных положений политики, определяемая высшим руководством, должна быть достаточно продуманна и оставаться и адекватной и точной при изменениях в структуре организации, в системе и технологиях безопасности, а также изменений характера угроз безопасности. Будучи продуманной, политика может оставаться неизменной и будет нуждаться в переработке только в случае кардинального изменения позиции организации в отношении безопасности. Однако формулировка политики должна быть однозначной, четко устанавливать, что требуется.

Политика уровня предприятия определяет участки ответственности и устанавливает подотчетность для таких участков. Политика может определять взаимосвязи между работой IT-отдела и работой завода и устанавливать сферы их компетенций. Политика может дифференцировать цели безопасности системы управления от целей безопасности корпоративной сети. Например, важнейшим аспектом безопасности корпоративной сети может быть обеспечение конфиденциальности в ней, а важнейшим аспектом безопасности системы управления может быть обеспечение ее бесперебойной работы.

Кроме того, политика устанавливает конкретные стандарты и нормы, применимые для организации. Она может определять инструктаж как важную составляющую программы безопасности. Политика может также устанавливать санкции за ее нарушения.

Руководству следует доводить политику до сведения сотрудников всей организации так, чтобы все сотрудники понимали ее.

5.8.3 Операционные политики и регламенты

Операционные политики и регламенты безопасности разрабатывают на более низких уровнях организации и определяют способ реализации политики уровня предприятия в конкретной совокупности обстоятельств. Регламенты безопасности претворяют политику в действие. Регламенты устанавливают, что должна предпринять организация для достижения целей политики и выполнения ее требований. Регламенты определяют процессы, которые позволят устранить все проблемы, обозначенные политикой.

Регламенты отражают все обязательные составляющие программы безопасности, которые включают в себя:

a) конструирование системы;

b) материально-техническое обеспечение;

c) монтаж;

d) технологический процесс;

e) техническое обслуживание систем;

f) персонал;