ГОСТ Р МЭК 62443-2-1-2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики
4.2 Категория "Анализ рисков"
4.2.1 Описание категории
Первой главной категорией CSMS является "Анализ рисков". В категории описан большой объем исходной информации, из которой составляются многие другие элементы CSMS. На рисунке 2 показаны два элемента, являющиеся частью категории:
- экономическое обоснование;
- выявление, классификация и оценка рисков.
|
Рисунок 2 - Графическое представление категории "Анализ рисков"
4.2.2 Элемент "Экономическое обоснование"
Цель:
Идентифицировать и документально описать уникальные потребности организации для устранения рисков кибератак в отношении IACS.
Описание:
Экономическое обоснование зависит от характера и масштаба последствий в финансовой сфере и в сфере охраны труда, промышленной безопасности и охраны окружающей среды, а также прочих потенциальных последствий, возникающих в результате инцидентов в отношении IACS.
Обоснование:
Разработка экономического обоснования играет важную роль для того, чтобы организация смогла убедить руководство выделить необходимое финансирование для реализации программы по обеспечению кибербезопасности IACS.
Требования:
Таблица 1 - Экономическое обоснование: Требования
Описание работ | Требование |
4.2.2.1 Разработка экономического обоснования | Организация должна разработать укрупненное экономическое обоснование в качестве основы для своей работы по управлению кибербезопасностью IACS, в котором бы рассматривался такой аспект, как уникальная зависимость организации от IACS |
4.2.3 Элемент "Выявление, классификация и оценка рисков"
Цель:
Определить комплекс кибер-рисков IACS, которые угрожают организации, и оценить вероятность и уровень серьезности таких рисков.
Описание:
Организации отстаивают свою способность выполнять миссию путем систематического определения, выставления приоритетов и анализа потенциальных угроз, уязвимостей и последствий, применяя проверенные методы. Первая группа требований включает в себя действия, предпринимаемые организацией для составления как укрупненного, так и детального анализа рисков, в том числе оценку уязвимости, в стандартном хронологическом порядке. К таким требованиям, связанным с подготовкой укрупненного и детального анализа рисков, относятся требования 4.2.3.1, 4.2.3.2 и 4.2.3.8. Требования 4.2.3.10-4.2.3.14 представляют собой общие требования, применяемые к процессу оценки рисков в целом. Процесс принятия мер, основанных на такой оценке, представлен в 4.3.4.2.
Обоснование:
Поскольку целью инвестирования в обеспечение кибербезопасности является снижение уровня риска, она обуславливается пониманием уровня риска и возможностей его снижения.