ГОСТ Р МЭК 62443-2-1-2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики

0 Введение

0.1 Обзор

Кибербезопасность приобретает все большее значение для современных компаний. Многие организации, работающие в сфере информационных технологий, много лет занимаются вопросами кибербезопасности и за это время внедрили зарекомендовавшие себя системы управления кибербезопасностью (CSMS), которые приведены в стандартах Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (МЭК) (см. ИСО/МЭК 17799 [23] и ИСО/МЭК 27001 [24]). Такие системы управления обеспечивают хорошо отлаженный метод защиты объектов организации от кибератак.

Организации, применяющие IACS (системы промышленной автоматики и контроля), начали применять готовые коммерческие технологии (COTS), разработанные для бизнес-систем, используемых в их повседневных процессах, в результате чего возрос риск кибератак, направленных на оборудование IACS. Как правило, такие системы в среде IACS по многим причинам не настолько робастны, как системы, специально спроектированные как IACS для подавления кибератак. Подобные недостатки могут привести к последствиям, которые отразятся на уровне охраны труда, промышленной безопасности и охраны окружающей среды (HSE).

Организации могут попытаться использовать существовавшие ранее решения в сфере информационных технологий и кибербезопасности бизнеса для обеспечения безопасности IACS, при этом не осознавая последствий своих действий. И хотя многие такие решения можно применять в отношении IACS, реализовывать их необходимо правильным способом, чтобы избежать неблагоприятных последствий.

0.2 Система управления кибербезопасностью для IACS

Система управления описывает компоненты, которые должны быть включены в систему управления, но при этом не определяет, каким образом она должна разрабатываться. В настоящем стандарте рассмотрены аспекты компонентов, включенных в CSMS для IACS, и приводятся указания по разработке CSMS для IACS.

Для решения сложной задачи в качестве общего проектного подхода проблема разбивается на мелкие компоненты, каждый из которых рассматривается в определенном порядке. Такой основательный подход позволяет изучить риски, связанные с кибербезопасностью для IACS. Однако частой ошибкой при этом является то, что работа одновременно осуществляется с одной системой. Обеспечение информационной безопасности представляет собой гораздо более сложную задачу, которая требует решений для всего набора IACS, включая политики, процедуры, практики и персонал, в работе которого применяются такие IACS. Возможно, для внедрения масштабной системы управления потребуется изменение культуры внутри организации.

Постановка вопроса кибербезопасности на уровне всей организации может выглядеть устрашающе. К сожалению, решить подобную задачу простым способом не представляется возможным. Это объясняется разумной причиной: не имеется комплекса практик безопасности, подходящих для всего и всех. Может быть, и реально достичь абсолютной безопасности, но навряд ли рекомендуется, ведь это чревато потерей функциональности, которая требуется для достижения этого почти идеального состояния. Безопасность на деле является балансом между риском и затратами. Все ситуации будут отличаться друг от друга. В некоторых случаях риск может быть скорее связан с факторами HSE, нежели чем с чисто экономическим воздействием. Реализация риска скорее закончится непоправимыми последствиями, чем небольшим финансовыми трудностями. Поэтому готовый набор обязательных практик в области обеспечения безопасности будет либо слишком жестким и, скорее всего, дорогостоящим, либо недостаточным для того, чтобы решить проблему риска.

0.3 Связь между настоящим стандартом и ИСО/МЭК 17799 и ИСО/МЭК 27001

ИСО/МЭК 17799 [23] и ИСО/МЭК 27001 [24] - это очень хорошие стандарты, в которых описана система управления кибербезопасностью для бизнес-систем и систем информационных технологий. Многие положения этих стандартов также применяются и в отношении IACS. В настоящем стандарте сделан акцент на необходимость соответствия практик управления кибербезопасностью IACS и практик управления кибербезопасностью бизнес-систем и систем информационных технологий. Экономический эффект появится когда, будет достигнуто соответствие между этими программами. Пользователям настоящего стандарта предлагается ознакомиться с ИСО/МЭК 17799 и ИСО/МЭК 27001, в которых представлена дополнительная информация. Настоящий стандарт разработан на основе указаний, приведенных в указанных стандартах ИСО/МЭК. В нем рассматриваются некоторые существенные различия между IACS и общими бизнес-системами и системами информационных технологий, а также раскрывается важная концепция, суть которой заключается в том, что риски кибербезопасности для IACS могут негативным образом отразиться на охране труда, промышленной безопасности и охране окружающей среды и должны быть объединены с прочими существующими практиками по управлению такими рисками.