Точный
Статус документа
Статус документа

ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели (Издание с Поправкой)

     5.7 Степень завершенности программ безопасности

5.7.1 Обзор

Учитывая рост рисков кибербезопасности, многие организации руководствуются упреждающим подходом при устранении рисков безопасности своих информационно-технических систем и сетей. Организации начинают осознавать, что решение вопросов, связанных с кибербезопасностью, - это непрерывная деятельность или процесс, а не проект с четко обозначенным стартом и финишем.

Изначально организации, создававшие и обслуживавшие информационные системы для бизнеса и системы промышленной автоматики и контроля, функционировали в двух взаимоисключающих областях. Профессиональный опыт, знания, и требования каждой отдельной организации не учитывались или не признавались другими организациями. Проблемы начали возникать по мере того, как организации пытались применить общие технологии IT-безопасности для систем промышленной автоматики и контроля.

В некоторых случаях технологии безопасности противоречили стандартным технологиям производства, запроектированным на обеспечение максимальной безопасности и бесперебойности производства. Сегодняшние информационные технологии общедоступны и широко применяются в системах промышленной автоматики и контроля, поэтому для безопасной реализации таких технологий требуются дополнительные знания. Информационно-техническим и производственно-технологическим организациям следует взаимодействовать между собой и объединять свои знания и опыт для разрешения вопросов, связанных с безопасностью. На промышленных объектах, которые связаны с высоким риском инцидентов, относящихся к охране труда, технике безопасности и охране окружающей среды, необходимо также предусмотреть систему обеспечения техники безопасности (PSM) и задействовать персонал службы физической безопасности.

Цель - полноценная программа безопасности, которая связывает все аспекты кибербезопасности, объединяя настольные и коммерческие вычислительные системы с системами промышленной автоматики и контроля. На рисунке 4 показан процесс слияния кибербезопасности коммерческих систем и IACS, с которым сталкиваются многие хозяйствующие субъекты. Многие организации имеют достаточно детальные и полные программы кибербезопасности, рассчитанные на их компьютерные бизнес-системы, но технологии управления кибербезопасностью IACS разработаны еще не в полной мере.


Рисунок 4 - Слияние кибербезопасности коммерческих систем и IACS

          

Типичная ошибка - рассматривать кибербезопасность как проект с начальной датой и датой окончания. В этом случае уровень безопасности зачастую снижается со временем, как показано на рисунке 5. Риски кибербезопасности постоянно меняются, по мере того как проявляются новые угрозы и уязвимости, а также меняются способы реализации технологий. Для сохранения достигнутого уровня безопасности и удержания рисков на приемлемом уровне необходим другой подход.


Рисунок 5 - Изменение уровня кибербезопасности со временем

          

Желательно разработать и внедрить систему управления кибербезопасностью (CSMS) в масштабе организации, включающую в себя программные элементы для пересмотра риска и совершения корректирующих действий, чтобы устранить тенденцию снижения уровня безопасности со временем. Во втором стандарте серии МЭК 62443 приведено исчерпывающее описание ключевых элементов системы управления кибербезопасностью [8].

Ход реализации системы управления кибербезопасностью для каждой организации будет различен в зависимости от целей организации и уровней допустимости рисков. Включение кибербезопасности в документированную методику обеспечения безопасности организации - это изменение корпоративной культуры организации, которое требует времени и ресурсов. Как показано на рисунках 4 и 5, такого изменения невозможно достичь в один этап. Это эволюционирующий процесс, который соответствует подходу к кибербезопасности. Технологии безопасности, которые предстоит внедрить, должны быть по возможности адекватны уровню риска. Технологии безопасности будут различны для разных организаций и даже могут быть различны для разных процессов внутри одной и той же организации в зависимости от общих необходимостей и требований. Отдельно взятые политика и регламенты могут быть также различны для каждого класса системы в пределах организации, поскольку уровень риска и требования безопасности могут быть различны. Система управления кибербезопасностью устанавливает единую программу, которая устраняет эти несоответствия.

Обучение и повышение осведомленности персонала крайне важны для успешного устранения рисков кибербезопасности IACS, как отмечено выше. Следует рассматривать несколько возможных вариантов:

a) инструктаж персонала, имеющего отношение к IACS, с целью разъяснения актуальных проблем, которые относятся к информационной технике и кибербезопасности;

b) инструктаж IT-персонала с целью разъяснения технологий IACS, а также действий и методов по управлению технологической безопасностью;

c) разработка методик, позволяющих объединять компетенции всех организаций, с целью совместного решения проблем, которые связаны с кибербезопасностью.

Для успешного исхода программы кибербезопасности необходимо собрать команду специалистов для подготовки как проектов по смягчению рисков, так и всеобщей программы CSMS. На рисунке 6 показан типичный спектр знаний и навыков, которые должны быть объединены и получены от различных групп специалистов для доведения программы кибербезопасности до целостного, завершенного вида.


Рисунок 6 - Объединение ресурсов для создания CSMS

5.7.2 Этапы завершенности

Степень относительной завершенности программы кибербезопасности можно описать с помощью жизненного цикла, который состоит из нескольких этапов. Каждый из этих этапов состоит из одной или более стадий.

Отдельные части системы промышленной автоматики и контроля, или зоны управления внутри системы управления, могут находиться на разных этапах завершенности. Такая ситуация может быть вызвана несколькими причинами, такими как бюджетные ограничения, процессом оценки уязвимостей и угроз, результатами анализа рисков, модернизация автоматики, планы относительно утилизации или замены, наличие планов относительно продажи сегмента производственного объекта или хозяйствующего субъекта, или доступность других ресурсов для модернизации систем безопасности до более высокого уровня.