ГОСТ Р 56498-2015 (IEC/PAS 62443-3:2008) Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

Приложение А
(справочное)

     
Готовящееся к публикации новое издание МЭК 62443

Под общим наименованием "Безопасность при измерении производственного процесса и управлении им - безопасность системы и сети", готовящееся к публикации новое издание МЭК 62443 объединит следующие части:

- часть 1: Рабочий процесс - анализ рисков и угроз*;

_______________

* В настоящее время действует IEC/TC 62443-1-1:2009.

- часть 2: Гарантирование безопасности: принципы, политика, практические методы*;

_______________

* В настоящее время действует МЭК 62443-2-1:2010.

- часть 3: Требования безопасности при типовых сценариях безопасности.

Готовящееся издание МЭК 62443 должно приобрести статус основной публикации по безопасности, наподобие того, как основной публикацией по эксплуатационной безопасности является IEC Guide 104.

Введение

По мере роста использования общедоступных сетей, системы автоматизации, ранее бывшие изолированными от них, становятся все более уязвимыми для атак. Стандартные IT-механизмы безопасности, использующие защищаемые цели и стратегии защиты могут оказаться непригодными для систем автоматизации, например, когда своевременное реагирование может оказаться критичным для безопасности и эксплуатационной безопасности персонала завода, окружающей среды и корпорации. Этот стандарт посвящен конкретным аспектам безопасного доступа к промышленным системам и внутри них, в частности, когда наиболее широко распространенные методы обеспечения безопасности на основе IT оказываются неэффективными или неподходящими.

Особые акценты сделаны на обеспечении жизненного цикла безопасности, на использовании глобального перехода от добавления компонент безопасности системы к интеграции требуемых свойств безопасности в продукты и системы, в виде неотъемлемой части их функционала и жизненного цикла.

Для приложений эксплуатационной безопасности, приложений в фармацевтической и других высокоспециализированных отраслях промышленности, могут применяться дополнительные стандарты, рекомендации, определения и условия, например, МЭК 61508, GAMP (ISPE), для GMP - совместимость с 21 CFR (FDA) и стандартная процедура эксплуатации, принятая Европейским медицинским агентством (SOP/INSP/2003).

Обзор

Данный стандарт будет устанавливать требования для безопасного доступа к измерениям производственного процесса, сетям управления и устройствам этих сетей в течение всего жизненного цикла ICS.

Данный стандарт будет предоставлять требования и руководящие принципы по целям безопасности для:

- разработчиков систем автоматизации;

- производителей (изготовителей) устройств, подсистем и систем;

- интеграторов подсистем и систем;

- владельцев и операторов систем автоматизации (ответственных за эксплуатацию завода).

Стандарт будет учитывать следующие аспекты:

- постепенное развитие и миграцию для существующих систем, меры, принимаемые при разработке новых систем и компонентов;

- технологии и продукты, удовлетворяющие целям безопасности, включая COTS;

- режимы работы после отказа, при которых обеспечивается эксплуатационная безопасность процесса, в том числе при отказе в обслуживании (например, автономная работа);

- надежность и доступность;

- масштабируемость (от сложных заводов до маленьких недорогих систем с малыми рисками);

- разделение требований безопасности, эксплуатационной безопасности и требований функционала, насколько это возможно;