ГОСТ Р 56205-2014
IEC/TS 62443-1-1:2009
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШЛЕННЫЕ
Защищенность (кибербезопасность) сети и системы
Часть 1-1
Терминология, концептуальные положения и модели
Industrial communication networks. Network and system security. Part 1-1. Terminology, concepts and models
ОКС 25.040.40
33.040.40
35.040
Дата введения 2016-01-01
1 ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением "Новая Инженерная Школа" (НОЧУ "НИШ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 306 "Измерение и управление в промышленных процессах*"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2014 г. N 1493-ст
4 Настоящий стандарт идентичен международному документу IEC/TS 62443-1-1:2009* "Промышленные коммуникационные сети. Защищенность сети и системы. Часть 1-1. Терминология, концептуальные положения и модели" (IEC/TS 62443-1-1:2009 "Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Перечень терминов, используемых в настоящем стандарте, приведен в дополнительном приложении ДА.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДБ
5 Некоторые элементы настоящего стандарта могут быть предметом патентных прав
6 ВВЕДЕН ВПЕРВЫЕ
7 ИЗДАНИЕ (февраль 2020 г.) с Поправкой* (ИУС 4-2016)
________________
* См. ярлык "Примечания".
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Международный стандарт МЭК 62443-1-1:2009 разработан Техническим комитетом МЭК 65 "Автоматизация, измерение и управление производственными процессами".
Объектом стандартизации настоящего стандарта является безопасность систем промышленной автоматики и контроля.
Понятие "системы промышленной автоматики и контроля" (IACS) охватывает системы управления, используемые на производственно-технологических предприятиях и установках, системы контроля климата в помещениях, управление в территориально рассредоточенных службах, такие как коммунальные ресурсы (т.е. электроэнергию, газ и воду), трубопроводы и объекты по производству и распределению нефти, и другие отрасли и задачи промышленности, такие как транспортные сети, в которых задействованы автоматизированные или дистанционно управляемые или отслеживаемые объекты имущества.
Под термином "безопасность" в настоящем стандарте понимается предотвращение незаконного или нежелательного проникновения, умышленного или неумышленного вмешательства в штатную и запланированную работу или получения ненадлежащего доступа к конфиденциальной информации в IACS. Кибербезопасность, являющаяся частным объектом настоящего стандарта, распространяется на компьютеры, сети, операционные системы, приложения и другие программируемые конфигурируемые компоненты системы.
Пользователями настоящего стандарта являются: пользователи IACS (включая отделы эксплуатации установок, обслуживания, конструирования и корпоративные компоненты пользовательских организаций), производители, поставщики, правительственные организации, которые занимаются или которых затрагивает кибербезопасность систем управления, специалисты-практики по системам управления и специалисты-практики по безопасности.
Взаимопонимание и взаимодействие между информационно-техническими, эксплуатационными, конструкторскими и производственными организациями важны для общего успеха любой инициативы в сфере безопасности, поэтому настоящий стандарт является также справочным материалом для тех, кто отвечает за интеграцию IACS и корпоративных сетей.
Настоящий стандарт устанавливает:
a) область применения безопасности систем промышленной автоматики и контроля;
b) потребность и требования к системе безопасности, используя единую терминологию;
c) базовые концепции, составляющие основу для дальнейшего анализа процесссов, свойств систем, а также действий, необходимых для создания систем управления, надежных в плане электроники;
d) каким образом можно группировать или классифицировать компоненты системы промышленной автоматики и контроля в целях определения и управления безопасностью;
e) цели кибербезопасности для различных сфер применения систем управления;
f) определение и систематизацию кибербезопасности для различных сфер применения систем управления.
Каждый из этих вопросов подробно рассмотрен в разделах настоящего стандарта.
В наименование настоящего стандарта, в отличие от наименования IEC/TS 62443-1-1:2009, включено слово "кибербезопасность" с целью отражения содержания стандарта, в котором установлены требования к кибербезопасности и, соответственно, используется термин "кибербезопасность".
(Поправка)
Настоящий стандарт устанавливает терминологию, определяет концептуальные положения и модели применительно к безопасности систем промышленной автоматики и контроля (далее - IACS) и является основой для остальных стандартов серии МЭК 62443.
Чтобы четко сформулировать наименования всех систем и компонентов, рассматриваемых в стандартах серии МЭК 62443, область применения может быть определена и представлена на основе нескольких аспектов, в числе которых:
a) диапазон включенной функциональности;
b) специальные системы и интерфейсы;
c) критерии отбора включенных действий;
d) критерии отбора включенных имущественных объектов.
Каждый из этих аспектов рассмотрен в подразделах 1.2-1.5.
Предметная область применения настоящего стандарта может быть описана с позиции диапазона функциональности в пределах информационных и автоматизированных систем организации. Такую функциональность обычно описывают в контексте одной или более моделей.
Объектом настоящего стандарта является в первую очередь промышленная автоматика и контроль, как описано в базовой модели (см.раздел 6). В рамках настоящего стандарта системы бизнес-планирования и материально-технического обеспечения не рассматриваются, но определено понятие целостности данных, пересылаемых от бизнессистем к промышленным системам и наоборот.
Промышленная автоматика и контроль включают в себя элементы диспетчерского контроля, которые, как правило, встречаются в перерабатывающих отраслях промышленности. Они включают в себя и системы SCADA (системы диспетчерского контроля и сбора данных), которые обычно используются организациями, занятыми в отраслях инфраструктуры жизнеобеспечения. Такие отрасли включают в себя:
a) передачу и распределение электроэнергии;
b) сети распределения газа и воды;
c) добычу нефти и газа;
d) трубопроводы газа и жидкости.
Данный список неполный. Системы SCADA могут встречаться также в других критических и некритических отраслях инфраструктуры.
Настоящий стандарт применяется к IACS, которые могут влиять или воздействовать на безопасное, защищенное и надежное функционирование промышленных процессов. Такие системы включают в себя, как правило:
a) системы управления, используемые в промышленности, и ассоциированные с ними коммуникационные сети, включая распределенные системы управления (DCS), программируемые логические контроллеры (PLC), пульты дистанционного управления (RTU), интеллектуальные электронные устройства, системы SCADA, объединенные системы электронного детектирования и контроля, системы учета и сдачи-приемки, а также системы мониторинга и диагностики. (В данном контексте промышленные системы управления наделены базовыми функциями систем управления процессами и автоматизированных систем безопасности (SIS), которые могут быть как физически отделены друг от друга, так и объединены друг с другом);
_______________
Понятие "коммуникационные сети" включает в себя все типы средств коммуникации, в том числе разного рода беспроводной коммуникации. Подробное описание использования беспроводной коммуникации в системах промышленной автоматики выходит за рамки настоящего стандарта. Технологии беспроводной коммуникации упоминаются особо лишь в случаях, если их использование или задействование может изменить характер действующей или требуемой безопасности.
b) ассоциированные системы уровня 3 или ниже базовой модели, описанной в разделе 6. Например, системы упреждающего или многосвязного регулирования, оптимизаторы реального времени, специальные мониторы к оборудованию, графические интерфейсы, серверы-архиваторы, автоматизированные системы управления производственными процессами, системы обнаружения утечек из трубопроводов, системы управления производством работ, системы управления отключениями и системы управления электроэнергией;
c) ассоциированные внутренние, пользовательские, сетевые, программные, машинные или приборные интерфейсы, используемые для обеспечения управления, защиты и функциональности производственных или дистанционных операций в ходе непрерывных, периодических, дискретных и прочих процессов.
Критерии для определения действий, относящихся к производственным операциям, установлены в МЭК 62443-2-1, аналогичный перечень критериев определен для настоящего стандарта. Систему следует считать подпадающей под область применения стандартов серии МЭК 62443, если действия, выполняемые системой, необходимы для достижения любой из следующих целей:
a) прогнозируемое функционирование процесса;
b) безопасность процессов или персонала;
c) надежность или доступность процессов;
d) эффективность процессов;
e) оперативность процессов;
f) качество продукции;
g) защищенность окружающей среды;
h) нормативно-правовое соответствие;
i) сбыт продукции или передача ее потребителю.
Область применения настоящего стандарта включает в себя те системы среди имущественных объектов, которые удовлетворяют любым из следующих критериев или безопасность которых важна для защиты других имущественных объектов, удовлетворяющих этим критериям:
a) объект имеет хозяйственную ценность для процесса производства или эксплуатации;
b) объект выполняет функцию, необходимую для процесса производства или эксплуатации;
c) объект представляет собой интеллектуальную собственность, относящуюся к процессу производства или эксплуатации;
d) объект необходим для осуществления и обеспечения безопасности процесса производства или эксплуатации;
e) объект необходим для защиты персонала, подрядчиков и посетителей, участвующих в процессе производства или эксплуатации;
f) объект необходим для защиты окружающей среды;
g) объект необходим для защиты населения от событий, спровоцированных процессом производства или эксплуатации;
h) объект представляет собой правовое требование, направленное, в частности, на обеспечение безопасности процесса производства или эксплуатации;
i) объект необходим для восстановления после чрезвычайных происшествий;