ГОСТ Р МЭК 62443-2-1-2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики

     
Приложение А
(справочное)

     
Руководство по разработке элементов системы управления кибербезопасностью

А.1 Обзор

В настоящем приложении приведено справочное руководство для пользователей по разработке CSMS, удовлетворяющей требованиям, указанным в разделе 4 настоящего стандарта. Руководство, приведенное в настоящем приложении, описывает общую концепцию системы управления, что позволяет организациям, внедряющим CSMS, адаптировать ее к конкретным потребностям. Данное руководство необходимо считать отправной точкой или основой для разработки CSMS. Не все требования руководства могут быть применимыми, и в зависимости от применения организации может потребоваться более высокий уровень безопасности по сравнению с указанным. Как уже было указано в 4.1 настоящего стандарта, описанный процесс не является пошаговым.

Настоящее приложение разбито на категории, группы элементов и элементы, указанные в разделе 4 настоящего стандарта (см. рисунок А.1). Каждый элемент в настоящем приложении имеет следующую структуру:

- описание элемента: базовое описание темы;

- информация об элементе: в одном или нескольких подпунктах приведено подробное руководство по элементу. Их структура и содержание зависят от конкретных элементов;

- вспомогательные практические методы:

- основные методы: рекомендации для организаций по достижению базового уровня информационной безопасности. Эти методы являются строительными блоками требований по каждому элементу;

- дополнительные методы: инновационные методы обеспечения безопасности, используемые некоторыми организациями для дальнейшего повышения информационной безопасности;

- используемые ресурсы: источники дополнительной информации, а также опорные документы (в дополнение к настоящему стандарту).

Рисунок А.1 - Графическое изображение элементов системы управления кибербезопасностью

А.2 Категория "Анализ рисков"

А.2.1 Описание категории

Первой основной категорией CSMS является анализ рисков. В этой категории рассматривается большая часть основной информации, которая входит во многие другие элементы CSMS. На рисунке А.2 показаны два элемента, являющиеся частью этой категории:

- экономическое обоснование;

- выявление, классификация и оценка рисков.

Рисунок А.2 - Графическое представление категории "Анализ рисков"

А.2.2 Элемент "Экономическое обоснование"

А.2.2.1 Описание элемента

Этот элемент устанавливает, что организация осведомлена и понимает важность информационной безопасности для информационной техники, используемой в IACS. Это понимание основано на понимании ролей, которые такая информационная техника играет в деятельности организации, рисках, связанных с этой деятельностью, и стоимости и других последствиях смягчения рисков для деятельности.