ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели
5.7. Степень завершенности программ безопасности
5.7.1 Обзор
Учитывая рост рисков кибербезопасности, многие организации руководствуются упреждающим подходом при устранении рисков безопасности своих информационно-технических систем и сетей. Организации начинают осознавать, что решение вопросов, связанных с кибербезопасностью, - это непрерывная деятельность или процесс, а не проект с четко обозначенным стартом и финишем.
Изначально организации, создававшие и обслуживавшие информационные системы для бизнеса и системы промышленной автоматики и контроля, функционировали в двух взаимоисключающих областях. Профессиональный опыт, знания, и требования каждой отдельной организации не учитывались или не признавались другими организациями. Проблемы начали возникать по мере того, как организации пытались применить общие технологии IT-безопасности для систем промышленной автоматики и контроля.
В некоторых случаях технологии безопасности противоречили стандартным технологиям производства, запроектированным на обеспечение максимальной безопасности и бесперебойности производства. Сегодняшние информационные технологии общедоступны и широко применяются в системах промышленной автоматики и контроля, поэтому для безопасной реализации таких технологий требуются дополнительные знания. Информационно-техническим и производственно-технологическим организациям следует взаимодействовать между собой и объединять свои знания и опыт для разрешения вопросов, связанных с безопасностью. На промышленных объектах, которые связаны с высоким риском инцидентов, относящихся к охране труда, технике безопасности и охране окружающей среды, необходимо также предусмотреть систему обеспечения техники безопасности (PSM) и задействовать персонал службы физической безопасности.
Цель - полноценная программа безопасности, которая связывает все аспекты кибербезопасности, объединяя настольные и коммерческие вычислительные системы с системами промышленной автоматики и контроля. На рисунке 4 показан процесс слияния кибербезопасности коммерческих систем и IACS, с которым сталкиваются многие хозяйствующие субъекты. Многие организации имеют достаточно детальные и полные программы кибербезопасности, рассчитанные на их компьютерные бизнес-системы, но технологии управления кибербезопасностью IACS разработаны еще не в полной мере.
Рисунок 4 - Слияние кибербезопасности
коммерческих систем и IACS
Типичная ошибка - рассматривать кибербезопасность как проект с начальной датой и датой окончания. В этом случае уровень безопасности зачастую снижается со временем, как показано на рисунке 5. Риски кибербезопасности постоянно меняются, по мере того как проявляются новые угрозы и уязвимости, а также меняются способы реализации технологий. Для сохранения достигнутого уровня безопасности и удержания рисков на приемлемом уровне необходим другой подход.
Рисунок 5 - Изменение уровня кибербезопасности со временем
Желательно разработать и внедрить систему управления кибербезопасностью (CSMS) в масштабе организации, включающую в себя программные элементы для пересмотра риска и совершения корректирующих действий, чтобы устранить тенденцию снижения уровня безопасности со временем. Во втором стандарте серии МЭК 62443 приведено исчерпывающее описание ключевых элементов системы управления кибербезопасностью [8].
Ход реализации системы управления кибербезопасностью для каждой организации будет различен в зависимости от целей организации и уровней допустимости рисков. Включение кибербезопасности в документированную методику обеспечения безопасности организации - это изменение корпоративной культуры организации, которое требует времени и ресурсов. Как показано на рисунках 4 и 5, такого изменения невозможно достичь в один этап. Это эволюционирующий процесс, который соответствует подходу к кибербезопасности. Технологии безопасности, которые предстоит внедрить, должны быть по возможности адекватны уровню риска. Технологии безопасности будут различны для разных организаций и даже могут быть различны для разных процессов внутри одной и той же организации в зависимости от общих необходимостей и требований. Отдельно взятые политика и регламенты могут быть также различны для каждого класса системы в пределах организации, поскольку уровень риска и требования безопасности могут быть различны. Система управления кибербезопасностью устанавливает единую программу, которая устраняет эти несоответствия.
Обучение и повышение осведомленности персонала крайне важны для успешного устранения рисков кибербезопасности IACS, как отмечено выше. Следует рассматривать несколько возможных вариантов:
a) инструктаж персонала, имеющего отношение к IACS, с целью разъяснения актуальных проблем, которые относятся к информационной технике и кибербезопасности;
b) инструктаж IT-персонала с целью разъяснения технологий IACS, а также действий и методов по управлению технологической безопасностью;
c) разработка методик, позволяющих объединять компетенции всех организаций, с целью совместного решения проблем, которые связаны с кибербезопасностью.
Для успешного исхода программы кибербезопасности необходимо собрать команду специалистов для подготовки как проектов по смягчению рисков, так и всеобщей программы CSMS. На рисунке 6 показан типичный спектр знаний и навыков, которые должны быть объединены и получены от различных групп специалистов для доведения программы кибербезопасности до целостного, завершенного вида.
Рисунок 6 - Объединение ресурсов для создания CSMS
5.7.2 Этапы завершенности
Степень относительной завершенности программы кибербезопасности можно описать с помощью жизненного цикла, который состоит из нескольких этапов. Каждый из этих этапов состоит из одной или более стадий.
Отдельные части системы промышленной автоматики и контроля, или зоны управления внутри системы управления, могут находиться на разных этапах завершенности. Такая ситуация может быть вызвана несколькими причинами, такими как бюджетные ограничения, процессом оценки уязвимостей и угроз, результатами анализа рисков, модернизация автоматики, планы относительно утилизации или замены, наличие планов относительно продажи сегмента производственного объекта или хозяйствующего субъекта, или доступность других ресурсов для модернизации систем безопасности до более высокого уровня.
Организации могут получить более подробную информацию о степени завершенности программы безопасности, оценивая результаты в пределах отдельных частей системы промышленной автоматики и контроля по этапам и стадиям, представленным в таблице 2.
Таблица 2
Этапы завершенности программы безопасности
Этап | Стадия |
Концепция | Идентификация Составление концепции |
Функциональный анализ | Техническая проработка |
Реализация | Функциональный проект Рабочий проект Конструирование |
Применение | Технологические операции Контроль за соблюдением установленных требований |
Прекращение действия и утилизация | Снятие с эксплуатации Прекращение действия |
В таблицах 3 - 7 представлены общие описания каждого из этапов и стадий завершенности жизненного цикла.
Таблица 3
Стадия составления концепции
Стадия | Описание |
Идентификация | Обоснование необходимости защиты имущественных объектов, сервисов или персонала Начало разработки программы безопасности |
Составление концепции | Продолжение разработки программы безопасности Документирование имущественных объектов, сервисов и данных о персонале, для которых требуется та или иная степень защиты Документирование потенциальных внутренних и внешних угроз для предприятия Утверждение целей, концепций и шкалы ценностей безопасности Разработка политики безопасности для систем промышленной автоматики и контроля, а также оборудования, информационных систем и персонала |
Таблица 4
Этап функционального анализа
Стадия | Описание |
Техническая проработка | Продолжение разработки программы безопасности Установление функциональных требований к безопасности систем промышленной автоматики и контроля, а также оборудования, производственных систем, информационных систем и персонала Выполнение оценки уязвимостей технических средств и соответствующих сервисов согласно списку потенциальных угроз Выявление и установление законодательных требований к системам промышленной автоматики и контроля Выполнение анализа рисков в отношении потенциальных уязвимостей и угроз Ранжирование рисков, потенциальных последствий для предприятия и потенциальных мер их смягчения Разбиение задач по обеспечению безопасности на управляемые задания и модули для создания функциональных проектов Создание определений сетевой функциональности для участков, безопасности систем промышленной автоматики и контроля |
Таблица 5
Этап реализации
Стадия | Описание |
Функциональный проект | На данном этапе завершается разработка программы безопасности Определение функциональных требований к зонам безопасности предприятия, завода и управления. Определение и документирование потенциальных процессов и событий для оформления функциональных требований и воплощения планов относительно создания защищенного предприятия Определение функциональной организации и структуры безопасности Определение функций как требуемых в плане реализации Определение и обнародование зон и границ безопасности, а также порталы управления доступом Завершение работы над политикой и регламентами безопасности и ввод их в действие |
Рабочий проект | Проектирование физических и логических систем, реализующих функциональные требования, определенные ранее применительно к безопасности Осуществление программ инструктажа |
Рабочий проект | Полная разработка плана реализации Инициирование программ по управлению имущественными объектами и изменениями Проектирование границ и портала управления доступом для защищенных зон |
Конструирование | Претворение плана реализации. Ввод в действие оборудования физической безопасности, логических приложений, конфигураций, регламентов для персонала для оформления зон и границ безопасности в пределах предприятия Ввод в действие и обслуживание атрибутов портала управления доступом Завершение программ инструктажа Программы управления имущественными объектами и изменениями находятся в рабочем состоянии и действуют Комплекты документации по сдаче-приемке системы безопасности оформлены и готовы для принятия эксплуатационным и обслуживающим персоналом |
Таблица 6
Этап применения
Стадия | Описание |
Действия | Оборудование безопасности, сервисы, приложения и конфигурации реализованы и приняты на эксплуатацию и обслуживание Персонал обучен, и ведется непрерывный инструктаж по вопросам безопасности Проводимое техническое обслуживание позволяет контролировать узлы безопасности предприятия, завода или зон управления, обеспечивая их исправное функционирование Действует и поддерживается управление имущественными объектами и изменениями |
Контроль за соблюдением установленных требований | Внутренние аудиты Пересмотры рисков Внешние аудиты |
Таблица 7
Этап прекращения действия и утилизации
Стадия | Операция |
Снятие с эксплуатации | Устаревшие системы безопасности надлежащим образом демонтируются и утилизируются Границы безопасности корректируются или воссоздаются для защиты зон Портал управления доступом создаются, переопределяются, перекомпоновываются или закрываются Персонал информируется об изменениях в системах и компонентах безопасности, и о влиянии этих изменений на соответствующие системы безопасности |
Прекращение действия | Интеллектуальная собственность надлежащим образом собирается, документируется и надежно архивируется или уничтожается Портал управления доступом и соответствующие связующие звенья перекрываются Персонал информируется о прекращении действия систем и компонентов безопасности и о влиянии этого на оставшиеся системы безопасности |
Подписаться на обновления