ГОСТ Р 70732-2023

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ И ТЕХНИЧЕСКИМИ СРЕДСТВАМИ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Требования к функциональной и информационной безопасности программного обеспечения и методы контроля

Automated control systems of technological processes and technical facilities for railway transport. Software functional and information safety requirements and control methods

ОКС 45.020

Дата введения 2023-11-01

Предисловие

1 РАЗРАБОТАН Акционерным обществом "Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте" (АО "НИИАС")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2023 г. N 258-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт разработан с целью повышения безопасности и бесперебойности функционирования автоматизированных систем управления технологическими процессами и техническими средствами железнодорожного транспорта за счет комплексного подхода к обеспечению и оценке функциональной и информационной безопасности их программного обеспечения. Такой подход способствует исключению или снижению вероятности возникновения различных видов ущерба от возможных транспортных происшествий, возникающих вследствие реализации угроз безопасности, связанных с функционированием программного обеспечения.

     1 Область применения

Настоящий стандарт распространяется на вновь разрабатываемое (модернизируемое) или приобретаемое у поставщика программное обеспечение (ПО) следующих автоматизированных систем управления технологическими процессами и техническими средствами железнодорожного транспорта (АСУ ЖТ) и их составных частей (устройств), которые выполняют функции контроля и управления технологическим оборудованием, техническими средствами (исполнительными устройствами) и технологическими процессами управления и обеспечения безопасности движения поездов:

- систем и устройств железнодорожной автоматики и телемеханики на железнодорожных станциях, сортировочных горках и железнодорожных переездах, перегонах железнодорожных линий, систем диспетчерской централизации и диспетчерского контроля движения поездов, в том числе автоматизированных систем оперативного управления технологическими процессами;

- систем и устройств железнодорожного электроснабжения;

- систем и устройств железнодорожной электросвязи.

Настоящий стандарт не распространяется на ПО систем, комплексов и устройств управления, контроля и безопасности, которыми оснащается железнодорожный подвижной состав. Соответствующие требования и методы контроля для ПО систем, комплексов и устройств управления, контроля и безопасности железнодорожного подвижного состава установлены в ГОСТ 33435, ГОСТ 34009 и ГОСТ 34673.3.

Настоящий стандарт устанавливает требования к функциональной и информационной безопасности ПО АСУ ЖТ, а также порядок и методы контроля соответствия этим требованиям.

Настоящий стандарт применяют:

- при формировании требований к функциональной и информационной безопасности ПО АСУ ЖТ, согласовании технических заданий, технических условий и заданий по безопасности на ПО АСУ ЖТ или на АСУ ЖТ в целом, проводимых на стадии разработки АСУ ЖТ и входящего в их состав ПО;

- организации оценки функциональной и информационной безопасности ПО АСУ ЖТ, выполняемой на всех стадиях жизненного цикла АСУ ЖТ и входящего в их состав ПО;

- заключении договоров на закупку (поставку) и при приемке ПО АСУ ЖТ и АСУ ЖТ в целом (с входящим в их состав ПО).

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 33358 Безопасность функциональная. Системы управления и обеспечения безопасности движения поездов. Термины и определения

ГОСТ 33433-2015 Безопасность функциональная. Управление рисками на железнодорожном транспорте

ГОСТ 33435 Устройства управления, контроля и безопасности железнодорожного подвижного состава. Требования безопасности и методы контроля

ГОСТ 33892-2016 Системы железнодорожной автоматики и телемеханики на сортировочных станциях. Требования безопасности и методы контроля

ГОСТ 33893-2016 Системы железнодорожной автоматики и телемеханики на железнодорожных переездах. Требования безопасности и методы контроля

ГОСТ 33894-2016 Системы железнодорожной автоматики и телемеханики на железнодорожных станциях. Требования безопасности и методы контроля

ГОСТ 33895-2016 Системы железнодорожной автоматики и телемеханики на перегонах железнодорожных линий. Требования безопасности и методы контроля

ГОСТ 33896-2016 Системы диспетчерской централизации и диспетчерского контроля движения поездов. Требования безопасности и методы контроля

ГОСТ 34009 Средства и системы управления железнодорожным тяговым подвижным составом. Требования к программному обеспечению

ГОСТ 34530 Транспорт железнодорожный. Основные понятия. Термины и определения

ГОСТ 34673.3 Тяговый подвижной состав железнодорожный. Часть 3. Методы контроля выполнения функций устройствами, обеспечивающими безопасность движения

ГОСТ IEC 61508-3-2018 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 50739 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р 57628 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

ГОСТ Р 58285-2018 Системы железнодорожной автоматики и телемеханики на высокоскоростных железнодорожных линиях. Системы интервального регулирования движения поездов. Требования безопасности и методы контроля

ГОСТ Р 58412 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р 58489 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3-1. Требования к программному обеспечению. Повторное использование уже существующих элементов программного обеспечения для реализации всей или части функции безопасности

ГОСТ Р 58972 Оценка соответствия. Общие правила отбора образцов для испытаний продукции при подтверждении соответствия

ГОСТ Р ИСО/МЭК 15408-2 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности

ГОСТ Р МЭК 61508-5-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 62279-2016 Железные дороги. Системы связи, сигнализации и обработки данных. Программное обеспечение систем управления и защиты на железных дорогах

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ 33358 и ГОСТ 34530, а также следующие термины с соответствующими определениями:

3.1 автоматизированная система управления технологическими процессами и техническими средствами железнодорожного транспорта; АСУ ЖТ: Система, состоящая из комплекса программных и технических средств и персонала, реализующая информационную технологию выполнения установленных функций контроля и управления технологическим оборудованием, техническими средствами (исполнительными устройствами) и технологическими процессами управления и обеспечения безопасности движения поездов.

3.2 безопасность информации: Состояние защищенности информации, при котором обеспечиваются такие ее характеристики, как целостность, доступность, конфиденциальность.

3.3 заказчик: Организация, по заявке и договору с которой осуществляется разработка и/или поставка ПО как самостоятельного изделия или разработка и/или поставка автоматизированной системы управления, в состав которой входит ПО.

3.4 защитный отказ: Событие, при котором устройство, система переходит в защитное состояние.

3.5 информационная безопасность ПО: Состояние ПО, при котором оно не является источником угроз безопасности информации для взаимодействующих с ПО средств (систем) и обрабатываемых ими данных, и при котором обеспечивается целостность исполняемого кода ПО и целостность, доступность, конфиденциальность обрабатываемых (защищаемых) им данных.

3.6 компьютерная атака: Целенаправленное несанкционированное сетевое компьютерное воздействие (или их последовательность) на информационный ресурс, осуществляемое нарушителем с применением программных и/или программно-аппаратных средств и информационных технологий в целях реализации попыток нарушения и/или прекращения функционирования информационного ресурса или реализации угрозы безопасности информации, обрабатываемой таким ресурсом.

3.7 мониторинг активности программы: Получение сведений о взаимодействии программы со средой ее функционирования и другими программами, о взаимодействии между компонентами самой программы в процессе установки программы в среду функционирования, в процессе запуска, настройки и функционирования программы.

Примечание - Данный вид работ является методом испытаний ПО.

3.8

3.9

3.10

3.11

Примечание - В общем случае ПО включает в себя микропрограммное, общесистемное и прикладное ПО.

3.12 разработчик: Организация, осуществляющая разработку программного обеспечения для реализации заказчику (потребителю).

3.13