ГОСТ Р МЭК 61069-5-2017 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы (Переиздание)

Приложение F
(справочное)

     
Требования обеспечения безопасности

F.1 Физическая безопасность

Физическая безопасность направлена на предотвращение умышленного или неумышленного уничтожения системы человеком с последующим доступом к оборудованию. Предлагаемая ОСУ должна быть оценена на способность поддерживать физическую безопасность.

Общие точки оценки физической безопасности включают в себя:

1) доступ к открытым портам данных на персональном компьютере, например, USB, Ethernet, модемы, последовательные порты и т.д.;

2) размещение оборудования, например, в шкафах или на столах;

3) доступ к материалу внутри шкафа, например, ключи, специальные инструменты, или простая неблокирующая защелка;

4) доступ к данным в закрытом оборудовании, например, о температуре, влажности и коррозии;

5) доступ к аппаратной, например, безопасный вход, мониторинг пространства;

6) контроль за изменениями данных через человеко-машинный интерфейс (ЧМИ), например, блокировка клавиатуры.

F.2 Кибербезопасность

F.2.1 Общие положения

Несмотря на то что поставщики ОСУ должны обеспечивать поддержку кибербезопасности (включая устранение известных уязвимостей), в конечном счете ответственность за безопасность в эксплуатации несет пользователь оборудования.

ИСО/МЭК 27001 и ИСО/МЭК 27002 предоставляют основу для всех стандартов по кибербезопасности. ИСО/МЭК 27001:2013, приложение А содержит одиннадцать разделов. В разделах 5-15 в целом описаны необходимые действия по обеспечению кибербезопасности. Информация, приведенная в этих разделах, не является исчерпывающей, и организация может посчитать, что необходимы дополнительные цели управления и контроль.

F.2.2 Политика безопасности

Оценка кибербезопасности системы должна проводиться в контексте политики безопасности пользователя. Политика безопасности должна быть включена в ДТС, описанный в МЭК 61069-2.

Политики безопасности разрабатываются для обеспечения направления и поддержки управлением информационной безопасности в соответствии с бизнес-требованиями, а также соответствующими законами и правилами.

F.2.3 Другие факторы, которые необходимо учитывать

В А.10 ИСО/МЭК 27001:2013 перечисляется ряд областей, в отношении которых применяемая система должна оцениваться. Например, система должна быть оценена в отношении того, насколько хорошо она поддерживает:

- менеджмент непрерывности бизнеса;

- управление изменениями, например, способность документировать изменения и делать их отмену;

- разделение обязанностей (ролей) и доступ (разрешения), например, руководитель - оператор; инженер - обслуживание;

- планирование и приемку системы;

- защиту от вредоносной и мобильной программы, например, антивируса, шпионского программного обеспечения (ПО), межсетевых экранов, управление исправлениями, пересмотр операционных систем, белые списки, черные списки и т.д.;

- резервное копирование и восстановление, например, автоматическое или ручное, полное или частичное, локальное или сетевое и т.д.;

- обработку носителей, например, открытый доступ ко всем съемным носителям через все медиа-порты, заблокированные посредством интеллектуальной обработки (только USB от определенных поставщиков);

- мониторинг, например, охранная сигнализация, обнаружение вторжений, работоспособность машины, включая состояние обновления и т.д.;

- управление доступом и пользовательское управление, например, использование идентификаторов (карт, паролей, подписей), управление учетными записями (создание, удаление), и т.д.;