Точный
Статус документа
Статус документа

ГОСТ Р МЭК 62443-2-1-2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики

     4.1 Обзор


В настоящем подразделе описаны элементы, составляющие CSMS для IACS. Эти элементы являются тем, что включается и должно быть включено в CSMS в целях обеспечения защиты IACS от кибератак.

Элементы представлены в трех основных категориях:

- анализ рисков;

- устранение риска при помощи CSMS;

- контроль и усовершенствование CSMS.

Каждая из указанных категорий подразделяется на группы элементов и/или элементы. На рисунке 1 показана связь между категориями, группами элементов и элементами.


Рисунок 1 - Графическое изображение элементов системы управления кибербезопасностью


В каждом элементе в настоящем разделе показаны цель элемента, базовое описание элемента, обоснование включения данного элемента и соответствующие требования к элементу.

В приложении А приведена та же самая структура вместе с категориями, группами элементов и элементами. Но в нем описано, каким образом необходимо разрабатывать элементы CSMS. Пользователям необходимо ознакомиться с приложением А, чтобы понять особые требования и вопросы, возникающие при разработке CSMS для IACS. Руководство, приведенное в приложении А, должно составляться в зависимости от особых требований каждой организации.

В настоящем стандарте определены элементы, требуемые для CSMS. Настоящий стандарт не предназначен для того, чтобы описывать конкретный последовательный процесс определения и устранения риска, включающего такие элементы. Поэтому организации следует создавать такой процесс в соответствии со своей культурой, устройством и действующим состоянием работ по обеспечению кибербезопасности. В целях облегчения работы организации по применению настоящего стандарта в А.3.4.2 (приложение А) приведен пример процесса по выявлению и устранению риска. Кроме того, в приложении В приведены рекомендации по эффективному управлению работой в отношении всех элементов, описанных в настоящем стандарте.

Несмотря на то, что CSMS является превосходным инструментом для управления рисками в крупной компании, она также может применяться и в отношении небольших организаций. В больших компаниях CSMS может быть организована на более формальном уровне и поэтому может применяться в различных ситуациях и странах. Когда речь идет о небольшой организации, необходимо принимать аналогичные меры CSMS, но уже с меньшей долей формальности. В разделе 4 и приложении А описаны действия, предприняв которые пользователи смогут лучше понять элементы и работу в рамках CSMS.