ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШЛЕННЫЕ
Защищенность (кибербезопасность) сети и системы
Часть 3
Защищенность (кибербезопасность) промышленного процесса измерения и управления
Industrial communication networks. Network and system security. Part 3. Security for industrial process measurement and control
ОКС 25.040.40
35.110
Дата введения 2016-01-01
1 ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением "Новая Инженерная Школа" (НОЧУ "НИШ") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 документа, который выполнен Российской комиссией экспертов МЭК/ТК 65, и Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ВНИИНМАШ)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 306 "Измерения и управление в промышленных процессах"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 июня 2015 г. N 775-ст
4 Настоящий стандарт идентичен международному документу IEC/PAS 62443-3:2008* "Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления" (IEC/PAS 62443-3:2008, "Industrial communication networks - Network and system security - Part 3: Security for industrial process measurement and control", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Алфавитный указатель терминов, используемых в настоящем стандарте, приведен в дополнительном приложении ДА.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДБ
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
7 В настоящем стандарте часть его содержания может быть объектом патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии (www.gost.ru)
Ранее изолированные автоматизированные системы все больше объединяются в сети общего пользования и, следовательно, растет уязвимость таких систем перед атаками. Стандартные механизмы обеспечения IT-безопасности имеют цели и стратегии защиты, которые могут быть неприменимы для автоматизированных систем. Настоящий стандарт описывает концепцию обеспечения безопасности доступа к промышленным системам и внутри них, чтобы при этом гарантировалось своевременное срабатывание, которое может быть крайне важно для функционирования производственного объекта.
Для прикладных систем безопасности и систем в фармацевтических или других узкоспециализированных отраслях промышленности могут быть применимы дополнительные стандарты, директивы, определения и условия. Например, МЭК 61508, GAMP (ISPE), правило 21 CFR (FDA) для соответствия GMP и Стандартный регламент Европейского агентства лекарственных средств (SOP/INSP/2003).
Настоящий стандарт устанавливает концепцию обеспечения безопасности аспектов информационно-коммуникационных технологий систем измерений и управления в производственных процессах, включая сети таких систем и устройства в составе таких сетей, на этапе эксплуатации жизненного цикла производственного объекта.
Настоящий стандарт устанавливает методологическую основу для формулирования требований к безопасности эксплуатации производственного объекта и предназначен прежде всего для владельцев/операторов автоматизированных систем, отвечающих за эксплуатацию систем управления, используемых в промышленности (ICS).
Кроме того, эксплуатационные требования, установленные в настоящем стандарте, могут быть использованы теми, кто имеет отношение к ICS, в том числе:
a) разработчики автоматизированных систем;
b) изготовители (поставщики) устройств, подсистем и систем;
c) сборщики подсистем и систем.
PAS учитывает следующие вопросы:
- постепенный перенос/эволюция существующих систем;
- достижение целей безопасности с помощью существующих коммерческих технологий и продуктов;
- гарантия надежности/доступности защищенных коммуникационных сервисов;
- применимость к системам любых размеров и с любыми рисками (универсальность);
- совместимость требований защиты, нормативно-правового соответствия и функциональности автоматики с требованиями безопасности.
Примечание 1 - Производственные объекты и системы могут содержать компоненты и устройства, крайне важные для безопасности. Любые компоненты, относящиеся к безопасности, могут быть сертифицированы в рамках МЭК 61508 и в соответствии с его уровнями целостности безопасности (SIL). Настоящий стандарт не гарантирует, что ее технические требования полностью или частично соответствуют или достаточны для безопасности таких компонентов и устройств, важных для безопасности.
Примечание 2 - Настоящий стандарт не включает в себя требований к оценке и проверке обеспечения безопасности.
Примечание 3 - Меры, предусматриваемые настоящим стандартом, скорее привязаны к процессам и носят общий характер, в отличие от специальных, или носят характер директив, определяя технические контрмеры и конфигурации.
Примечание 4 - Положения настоящего стандарта описаны языком, привычным для владельца/оператора производственного объекта.
Примечание 5 - Настоящий стандарт не распространяется на процессы жизненного цикла формулирования концепции, проектирования и реализации, т.е. устанавливает требования к разработке будущего продукта изготовителя управляющего оборудования.
Примечание 6 - Настоящий стандарт не распространяется на интеграцию компонентов и подсистем в систему.
Примечание 7 - Настоящий стандарт не распространяется на материально-техническое снабжение для интеграции в существующую систему, то есть требования к материально-техническому снабжению для владельца/операторов производственного объекта.
Примечание 8 - В рамках МЭК 62443 предусмотрена разработка трех частей, которые включают в себя большинство положений, изложенных в примечаниях 1-7. В приложении А приведен планируемый объем и содержание разрабатываемых стандартов.
Стандарты, ссылки на которые приведены в настоящем разделе, обязательны при применении настоящего стандарта. Для датированных ссылок применяют только указанное издание. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая любые изменения).
________________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.
ISO/IEC 15408 (all parts), Information technology - Security techniques - Evaluation criteria for IT security (Информационная техника. Технологии безопасности. Критерии оценки для безопасности IТ)
ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for IT security management (Информационная техника. Технологии безопасности. Свод правил для управления IТ-безопасностью)
ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards (Управление риском. Терминология. Директивы к использованию в стандартах)
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1 управление доступом (access control): Предупреждение о несанкционированном использовании служебного ресурса, в том числе о его использовании без авторизации.
[ИСО/МЭК 18028-2:2006, изменен]
3.1.2 источник угрозы (adversary): Логический объект, совершающий атаку на систему или представляющий для нее угрозу.
[RFC 2828]
3.1.3 сигнал тревоги (alert): Текущая индикация, указывающая на то, что информационная система и сеть могут подвергнуться атаке или находиться в опасности вследствие аварии, сбоя или ошибки людей.
[ИСО/МЭК 18028-1:2006]
3.1.4 имущественный объект (asset): Что-либо, представляющее ценность для организации.
[ИСО/МЭК 13335-1:2004]
3.1.5 надежность (assurance): Характеристика соответствующих действий или процессов, дающая уверенность в том, что результат удовлетворяет требованиям безопасности.
[ИСО/МЭК/ТО 15443-1]
3.1.6 атака (attack): Попытки уничтожить, подвергнуть опасности, преобразовать или вывести из строя информационную систему и/или содержащуюся в ней информацию, или иным образом затронуть политику безопасности.
[ИСО/МЭК 18043]
3.1.7 поверхность атаки (attack surface): Совокупность ресурсов системы, которые напрямую или косвенно подвержены потенциальному риску атаки.
3.1.8 аудит (audit): Официальные запрос, исследование или сравнение фактических результатов с ожидаемыми в целях подтверждения соответствия их установленным требованиям и совместимости между стандартами.
[ИСО/МЭК 18028-1]
3.1.9 проведение аутентификации, аутентификация (authenticate, authentication): Проверка заявляемой идентичности логического объекта.
[ИСО/МЭК 19792]
3.1.10 доступность (availability): Свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта.
[ИСО 7498-2]
3.1.11 коммерчески доступные продукты (Commercial off the shelf, COTS): Продукты, изготовленные и распределенные в промышленном масштабе для многократного применения и/или множества потребителей; могут быть изготовлены на заказ для специального применения.
Примечание - COTS следует отличать от продуктов, которые разрабатываются исключительно для специального применения.
3.1.12 утечка информации (compromise): Несанкционированное использование, рассекречивание, преобразование или замена в каждом из случаев - данных, программ или конфигурации системы, то есть в результате и после несанкционированного проникновения.
3.1.13 конфиденциальность (confidentiality): Свойство, указывающее на то, что информация не была доступна или раскрыта неавторизованным лицам, логическим объектам или процессам.
[ИСО/МЭК 13335-3]
3.1.14 регистрационные данные (credentials): Средство подтверждения того, что нечто или некто является тем, за кого себя выдает, причем такое абстрактное средство может представлять собой учетные IT-данные доступа к информационному сервису или ресурсу.
[ИСО/МЭК 24760]
3.1.15 демилитаризованная зона (demilitarized zone, DMZ): Хост безопасности или небольшая сеть (называемая также защищенной подсетью), располагаемые между сетями в качестве "нейтральной зоны".
[ИСО/МЭК 18028-3]
Примечание - Данная зона образует буферную зону безопасности (ИСО/МЭК 18028-3).
3.1.16 отказ в обслуживании (атака) [denial of service (attack)]: Атака на систему, направленная на ограничение ее доступности.
[ИСО/МЭК 18028-4]
3.1.17 событие (event): Событие в системе, относящееся к ее безопасности.
[RFC 2828, изменен]
3.1.18 незащищенный, незащищенность (exposed, exposure): Состояние уязвимости и отсутствия защиты против атаки.