Точный
Статус документа
Статус документа

ГОСТ Р 59506-2021/IEC TR 63074:2019 Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности

     4.3 Цели обеспечения информационной безопасности


Вообще говоря, целью информационной безопасности главным образом является обеспечение конфиденциальности, целостности и доступности информации.

Примечание 1 - Например, цели обеспечения защиты информации:

- предотвращение несанкционированного изменения или уничтожения данных;

- обеспечение конфиденциальности методами, общими как для специалистов по информационной безопасности, так и для специалистов по промышленной автоматике;

- обеспечение доступности (в обычном и более широком смысле) машины (машин) (включая функции безопасности).

Оценка рисков информационной безопасности осуществляется путем оценки достижения всех идентифицированных целей информационной безопасности.

Оценка достижения целей информационной безопасности должна быть основана на рассмотрении изделия/системы в его/ее среде эксплуатации, к которой применимы угрозы и известные уязвимости. Цель этой деятельности состоит в том, чтобы выработать соответствующие меры защиты информации, применяемые к машине для достижения всех целей информационной безопасности.

Примечание 2 - См. также 5.5 IEC/TS 62443-1-1:2009.

В контексте функциональной безопасности машины меры по защите информации предназначены для защиты способности обеспечивать безопасную эксплуатацию машины, а их применение не должно негативно влиять на какую-либо функцию безопасности (см. рисунок 1).

Примечание 3 - Жизненно важные функции согласно МЭК 62443-3-3 включают функции безопасности.

В силу характера угроз и известных факторов уязвимостей выполнение оценки рисков нарушения информационной безопасности должно управляться событиями или выполняться периодически (периодический анализ защиты информации), см. также приложение B.

Примечание 4 - См. также IEC/TS 62443-1-1, жизненный цикл уровня информационной безопасности.

Примечание 5 - Оценка и управление рисками нарушения информационной безопасности имеют жизненно важное значение для определения того, что именно необходимо защитить и каким образом это может быть достигнуто.

В рамках данного контекста на рисунке 2 представлены возможные последствия нарушения информационной безопасности для SCS.

Рисунок 1 - Взаимосвязь между угрозами, уязвимостями и последствиями нарушения информационной безопасности для SCS, выполняющей функцию(и) безопасности


Рисунок 2 - Возможные последствия нарушения информационной безопасности в SCS