Die Dokumentation der Security-Risikobewertung umfasst die Ergebnisse der Bewertung selbst, die zugrunde liegenden Annahmen, Beschränkungen und Anforderungen sowie die Unterlagen, die für Nachvollziehbarkeit, Kommunikation und Umsetzung erforderlich sind. In der Prozesslogik der IEC 62443-3-2 folgt auf die detaillierte Risikobewertung der Schritt ZCR 6 – Document cyber security requirements, assumptions and constraints. Als Ergebnis werden das Residualrisiko und die SL-Ts für jede Zone und jeden Conduit sowie eine Cybersecurity Requirements Specification (CRS) genannt.
Im Rahmen der Dokumentation werden mindestens Schwachstellen und die zugehörige Bedrohung, Zonen und Conduits sowie das ICS beziehungsweise IACS mit Gerätename, Patch-Version und ähnlichen Bestandsdaten erfasst. Diese Inhalte gehören zur vierten Phase des Grundverfahrens der Risikobewertung und dienen dazu, die Risikosituation nachvollziehbar zu machen und offene Schutzmöglichkeiten sichtbar zu halten.
Zusätzlich werden Beispieldokumente und Kommunikationsergebnisse genannt. Dazu gehören eine Übersicht über Zonen, VLANs, Anforderungen und Securityrichtlinien sowie dokumentierte Conduits mit Angaben zu Zone A, Zone B, Bauteil oder Schnittstelle und den jeweiligen Kommunikationsbeziehungen. Als beispielhafte Zonen erscheinen Standard-Steuerungen, Safety-Steuerungen, internetverbundene Komponenten, drahtlos verbundene Komponenten und Zonen für vorübergehend anzuschließende Komponenten. Als beispielhafte Conduits werden unter anderem die Übermittlung safetyrelevanter Prozessdaten oder der Austausch von Informationen für Datenbanken, Diagnose- und Verwaltungsdaten genannt.
Die Dokumentation soll außerdem die Ergebnisse der detaillierten Risikobewertung strukturiert darstellen. Als Beispiel wird eine tabellarische Dokumentation gezeigt, die unter anderem folgende Felder enthält: Zone-ID, HLRA, STRIDE, SR, Vermögen, T-ID, Bedrohung, V-ID, Schwachstelle, Angriffsvektor, Auswirkungen, Konsequenz und daraus resultierende Schritte, Exposition, Ziel, Security-Ebene, Komplexität der Angriffe, zeitliche Exposition, Grund oder Vermutung sowie Konsequenz. Diese Art der Darstellung verknüpft Bedrohung, Schwachstelle, Zielobjekt, Auswirkung und daraus folgende Maßnahme in einer durchgehenden Dokumentationsstruktur.
Ein zentrales Ergebnis der Dokumentation ist die Cybersecurity Requirements Specification (CRS). Sie wird erstellt, um die Cybersecurityanforderungen zu dokumentieren. Genannt werden zwei Hauptbestandteile: erstens das Ergebnis der detaillierten Risikobewertung und zweitens allgemeine Securityanforderungen auf Grundlage von unternehmens- oder standortspezifischen Leitlinien, Normen und einschlägigen Vorschriften. Die CRS ist damit das eigentliche Anforderungsdokument, das die Resultate der Risikobewertung in konkrete und kommunizierbare Cybersecurityanforderungen übersetzt.
Für die CRS werden zusätzliche Anforderungen genannt. Das Ergebnis der Risikobewertung soll als ein einziges Dokument vorliegen, soweit dies möglich ist. Die Cybersecurityanforderungen müssen dokumentiert werden, damit sie allen Beteiligten klar mitgeteilt und ordnungsgemäß umgesetzt werden können. Zusätzlich wird darauf hingewiesen, dass die Mindestinhalte des Dokuments in ZCR-6.2-9 beschrieben sind. Die CRS fungiert damit als verbindliches Übergabedokument zwischen Bewertung und Umsetzung.
Zur Dokumentation gehört auch die Archivierung der Unterlagen, die für die Umsetzung verwendet wurden. Genannt werden Diagramme der Systemarchitektur, Schwachstellenbewertungen, Lückenbewertungen und Informationen über Bedrohungsquellen. Diese Unterlagen müssen zusammen mit der Cybersecurity-Risikobewertung aufgezeichnet und archiviert werden. Zusätzlich wird ausdrücklich gefordert, dass die Vertraulichkeit der Unterlagen gewährleistet sein muss. Dokumentation ist damit nicht nur Inhaltssammlung, sondern zugleich ein geschützter Informationsbestand.
Am Ende des Dokumentationsschritts folgt die Genehmigung des Anlagenbesitzers in ZCR 7. Der Eigentümer der Anlage muss die Ergebnisse der Risikobewertung überprüfen und genehmigen. Dazu wird erläutert, dass Risikobewertungen häufig von Dritten durchgeführt werden, die den Betrieb des industriellen Prozesses und die Funktionalität des IACS und der zugehörigen OT-Systeme genau kennen, in der Regel aber nicht befugt sind, Entscheidungen über die Akzeptanz von Risiken zu treffen. Da ein wesentlicher Teil der Risikobewertung in der Entscheidung besteht, ob Risiken tolerierbar sind oder nicht, müssen die Ergebnisse dem zuständigen Management vorgelegt werden, das über diese Entscheidungskompetenz verfügt.
Die Dokumentation der Security-Risikobewertung erfüllt damit mehrere Funktionen zugleich. Sie hält die Risikosituation fest, übersetzt Ergebnisse in Anforderungen, dokumentiert Zonen, Conduits, Bedrohungen, Schwachstellen und Restrestrisiken, bündelt allgemeine und spezifische Cybersecurityanforderungen in einer CRS, sichert die Nachvollziehbarkeit über Architektur- und Bewertungsunterlagen und schafft die Grundlage für die formale Entscheidung des Anlagenbesitzers über die Akzeptanz der verbleibenden Risiken.