ГОСТ Р 56498-2015 (IEC/PAS 62443-3:2008) Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

     5.4 Политика

5.4.1 Обзор

Политика - это свод основополагающих принципов и мер безопасности. Меры группируются по аспектам безопасности, которые привязаны к общепризнанным концепциям безопасности.

Меры, предлагаемые в соответствии с настоящей политикой, остаются базовыми и допускают масштабируемость, свободу выбора соответствующих доступных технологий и будущие усовершенствования.

Политика имеет иерархическую структуру в виде четырех уровней, как показано на рисунке 3. В центре внимания настоящего стандарта оперативная политика, которая в общем случае имеет характер методик. Оперативную политику следует понимать в рамках полной политики.

    
Рисунок 3 - Уровни политики

5.4.2 Руководящая политика безопасности

Политика на самом верхнем уровне организации санкционирует программу безопасности и обозначает направление. Она устанавливает общие цели безопасности организации.

Формулировка политики высшим руководством должна быть достаточно продумана и оставаться актуальной и точной при изменениях в структуре организации, в технологии системы и безопасности и в характере угроз безопасности. Будучи продуманной, политика может быть стабильной и будет нуждаться в переработке только в случае изменения исходной позиции организации в отношении безопасности. Однако формулировка политики является однозначной. Она четко определяет, что требуется.

Политика безопасности верхнего уровня организации определяет общие сферы ответственности и подотчетности для организационных сфер.

Примечание - Например, политика может определять взаимоотношения между руководством корпоративным IT-отделом и ICS и их соответствующие обязанности. Политика может разграничивать цели безопасности системы управления от целей безопасности корпоративной сети. Например, важнейшим аспектом безопасности корпоративной сети может быть сохранение конфиденциальности, в то время как важнейшим аспектом безопасности системы управления может быть обеспечение бесперебойной работы.

Кроме того, организационная политика безопасности может определять конкретные стандарты и нормы, применимые к организации в целом.

Руководству следует доводить политику безопасности до сведения всей организации, чтобы все сотрудники понимали эту политику, а также могли регистрировать последствия ее нарушений.

Политику безопасности этого уровня периодически пересматривают. Периодичность пересмотра может варьироваться в соответствии с требованиями руководства и быть чаще на первых этапах после внедрения.

Данный уровень политики безопасности ICS приведен в разделе 7.

5.4.3 Оперативная политика

Оперативные политики разрабатывают на нижних уровнях организации для определения того, как необходимо реализовывать положения корпоративной политики безопасности в соответствующих организационных сферах.

Эти политики определяют, что необходимо предпринять в отдельно взятой организационной сфере для достижения целей корпоративной политики. Они подчиняют себе регламенты безопасности, расположенные уровнем ниже.

Регламенты должны по возможности затрагивать все необходимые этапы жизненного цикла программы безопасности с точки зрения отдельно взятой организационной единицы:

- разработку системы;

- материально-техническое снабжение;

- технологический процесс;

- сопровождение системы;

- персонал;

- аудит.

В типичном случае политику на этом уровне пересматривают периодически и по определенным поводам, например, каждый раз при внедрении нового, корректировке существующего бизнес-процесса или его ликвидации.