ГОСТ Р МЭК 62443-2-1-2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики
4.4 Категория "Контроль и совершенствование системы управления кибербезопасностью"
4.4.1 Описание категории
Третья основная категория CSMS называется "Контроль и совершенствование CSMS". Данная категория включает в себя обеспечение использования CSMS, а также контроль эффективности CSMS. На рисунке 6 графически показаны два элемента категории:
- соответствие стандарту;
- анализ, совершенствование и поддержание CSMS.
|
Рисунок 6 - Графическое изображение категории "Контроль и совершенствование CSMS"
4.4.2 Элемент "Выполнение норм и требований"
Цель:
Обеспечение соответствия CSMS, разработанной для организации.
Описание:
Соответствие CSMS означает, что организация придерживается официальной политики, своевременно выполняет процедуры и составляет отчеты для последующего анализа.
Обоснование:
Вне зависимости от качества CSMS при неиспользовании системы она не увеличивает эффективность организации и не способствует смягчению рисков.
Требования:
Таблица 18 - Требования к выполнению норм
Описание работ | Требование |
4.4.2.1 Определение методики процесса аудита | В программе аудита должна быть указана методика проведения аудита |
4.4.2.2 Проведение периодических аудитов IACS | Подтверждение соответствия IACS CSMS. CSMS должна включать периодические аудиты системы IACS для подтверждения того, что политика и процедуры безопасности выполняются в надлежащем порядке, и для выполнения целей по безопасности для конкретной зоны |
4.4.2.3 Определение показателей соответствия | Организация должна определить показатели эффективности и критерии успешности, которые используются для контроля соответствия CSMS. Результаты всех периодических аудитов должны быть выражены, как степень выполнения этих показателей, для отражения эффективности и тенденций безопасности |
4.4.2.4 Создание документального контрольного журнала | Должен быть указан перечень документации и отчетов, требуемых для создания контрольного журнала |
4.4.2.5 Определение штрафных санкций за несоответствие | Организация должна определить, что означает несоответствие CSMS, и установить соответствующие штрафные санкции |
4.4.2.6 Обеспечение компетентности аудиторов | Должна быть указана требуемая компетентность для аудита конкретных систем, входящих в область аудита. Также должен быть определен уровень независимости в рамках управления |
4.4.3 Элемент "Анализ, совершенствование и поддержание системы управления кибербезопасностью"
Цель:
Обеспечение выполнения целей CSMS во времени.
Описание:
Анализ, совершенствование и поддержание CSMS обеспечивает непрерывный надзор над системой для контроля ее эффективного функционирования и управления изменениями, которые требуется вносить в систему, во времени.
Обоснование:
Анализ и мониторинг требуются для поддержания эффективности CSMS, поскольку система должна реагировать на изменения во внутренних и внешних угрозах, уязвимости и последствиях, а также на изменения в границах допустимости рисков, требованиях законодательства и развивающихся технических и нетехнических подходах к смягчению рисков.