Точный
Статус документа
Статус документа

ГОСТ Р 59506-2021/IEC TR 63074:2019 Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности

Введение


Умышленное нарушение информационной безопасности систем промышленной автоматики может происходить вследствие того, что:

- к системе управления возможен доступ, например перепрограммирование функций машины (включая связанные с безопасностью);

- происходит "сближение" между стандартными ИТ системами и промышленными системами;

- во встроенных системах стали появляться операционные системы, собственные сетевые протоколы заменяются IP протоколами и данные передаются в офисную сеть непосредственно из сети SCADA;

- программное обеспечение разрабатывается путем повторного использования существующих компонентов программного обеспечения сторонних производителей;

- удаленный доступ от поставщиков стал стандартным способом эксплуатации/технического обслуживания с повышенным риском нарушения кибербезопасности, учитывая, например, несанкционированный доступ, нарушение доступности и целостности защищаемых ресурсов.

Связанные с безопасностью системы управления машин являются частью систем промышленной автоматики и могут подвергаться атакам, которые могут привести к потере способности поддерживать безопасное функционирование машины.

Примечание 1 - Возникающий риск, связанный с возможностями атак, является значительным с учетом тенденций и изменений угроз, а также количества известных уязвимостей. Цели защиты информации описываются главным образом с точки зрения конфиденциальности, целостности и доступности, которые необходимо определять в целом и с учетом приоритетов, используя риск-ориентированный подход.

Цели функциональной безопасности учитывают риск, оценивая тяжесть причиненного вреда и вероятность возникновения этого вреда: Последствия любого риска (опасное событие) определяют требования к полноте безопасности (уровень полноты безопасности (SIL) согласно МЭК 62061 или МЭК 61508 или уровень эффективности защиты (PL) согласно ИСО 13849-1).

Что касается функции безопасности, то угрозы нарушения защиты информации (внутренние или внешние) могут влиять на полноту безопасности и общую готовность системы.

Примечание 2 - Чтобы обеспечить достижение целей защиты информации, необходимо использовать содержащиеся в МЭК 62443-3-3 определения и рекомендуемые требования к защите информации ("фундаментальные требования"), которые должны быть выполнены соответствующей системой.

Примечание 3 - В настоящем стандарте не рассматривается общая стратегия защиты информации, так как она представлена, например, в МЭК 62443 (все части) или ИСО/МЭК 27001.

В некоторых стандартах по функциональной безопасности машин [например, МЭК 61496 (все части) и ИСО 14119] рассматривается нецелевое физическое использование.

Примечание 4 - "Нецелевое физическое использование" не связано с физической защитой информации, которая определена в МЭК 62443 (все части), например в 4.3.3.3 МЭК 62443-2-1:2010. С физической защитой информации связано, например, управление (ограничение) доступом посредством физического препятствия.