ГОСТ Р 71452-2024/IEC/PAS 63325:2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ТРЕБОВАНИЯ К ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ И ЗАЩИТЕ СИСТЕМЫ КОНТРОЛЯ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ (IACS) НА ПРОТЯЖЕНИИ ЖИЗНЕННОГО ЦИКЛА

Lifecycle requirements for functional safety and security for IACS

ОКС 13.110

       25.040.99

       29.020

Дата введения 2025-07-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЭОС Тех" (ООО "ЭОС Тех") и Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "Институт стандартизации") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 58 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 13 июня 2024 г. № 777-ст

4 Настоящий стандарт идентичен международному документу IEC/PAS 63325:2020* "Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла" (IEC/PAS 63325:2020 "Lifecycle requirements for functional safety and security for IACS", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Безопасность и защищенность становятся все более взаимозависимыми. Традиционные системы, связанные с безопасностью, больше не изолируются, как это требовалось при их подключении и обеспечении функциональной совместимости, а угрозы и уязвимости могут увеличить вероятность атак на системы, связанные с безопасностью. Настоящий стандарт содержит некоторые основные рекомендации по функциональной безопасности и защите информации.

В настоящем стандарте описаны аспекты функциональной безопасности и защиты информации на различных этапах жизненного цикла, оптимизация оценки рисков, повышение эффективности действий по защите информации и обеспечению функциональной безопасности, в том числе при проектировании, предупреждение конфликтов между функциями обеспечения функциональной безопасности и контрмерами защиты информации. Настоящий стандарт также содержит ряд рекомендаций по совместному проектированию эффективных и экономичных систем обеспечения функциональной безопасности и защиты информации.

     1 Область применения

В настоящем стандарте содержатся требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла. Настоящий стандарт помогает координировать процессы оценки рисков, проектирования, управления и эксплуатации, а также предотвращает конфликты между функциональной безопасностью и защитой информации.

Настоящий стандарт нацелен не на создание абсолютно нового жизненного цикла, а на выработку требований и предложений по координации функциональной безопасности и защиты информации на основе жизненных циклов функциональной безопасности, защиты информации и других современных процессов проектирования.

Настоящий стандарт применим к системам управления промышленной автоматизации (IACS), в том числе к управляемому оборудованию (УО) и системам, связанным с безопасностью.

     2 Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют.

     3 Термины, определения и сокращения

     3.1 Термины и определения

В настоящем стандарте применены следующие термины и определения.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- Платформа онлайн-просмотра ИСО; доступна по адресу: https://www.iso.org/obp.

- Электропедия МЭК; доступна по адресу: http://www.electropedia.org/.

Дополнительные определения могут включать в себя ссылки на серии стандартов МЭК 62443 и МЭК 61508.

3.1.1 конфликт (conflict): Ситуация, в которой одна или несколько мер обеспечения безопасности противоречат одной или нескольким контрмерам защиты и не способны обеспечивать необходимые целевые показатели эффективности.

Примечание - Настоящее определение конфликта относится к контексту настоящего стандарта.

3.1.2 безопасность (safety): Отсутствие неприемлемого риска.

[МЭК 61508-4:2010, 3.1.11 и МЭК 62443-1-1:2009, 3.2.94]

3.1.3 функциональная безопасность (functional safety): Часть общей безопасности, обусловленная применением УО и системы управления УО и зависящая от правильности функционирования Э/Э/ПЭ систем, связанных с безопасностью, и других средств по снижению риска.

[МЭК 61508-4:2010, 3.1.12]

3.1.4 защита информации (security):

a) меры, предпринимаемые для защиты системы;

b) состояние системы, которое является результатом разработки и проведения мер защиты системы;

c) состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери;

d) возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем;

e) предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля.

Примечание - Указанные меры могут представлять собой меры защиты, относящиеся к физической безопасности (управление физическим доступом к вычислительным объектам) или логической безопасности (возможность входа в конкретную систему и приложение).

[МЭК 62443-1-1:2009, 3.2.99]

3.1.5 угроза (threat): Потенциальная возможность нарушения безопасности при наличии обстоятельства, средства, процесса или события, способных нарушить безопасность и нанести ущерб.

[МЭК 62443-1-1:2009, 3.2.125]

3.1.6 уязвимость (vulnerability): Дефект или несовершенство структуры или способа реализации системы, а также ее функционирования и управления, как благоприятная возможность для нарушения целостности системы или политики ее безопасности.

[МЭК 62443-1-1:2009, 3.2.135]

3.1.7 актив (asset): Физический или логический объект, который имеет воспринимаемую или реальную ценность для совокупности функций обеспечения безопасности и эксплуатационных функций IACS.

Примечание - Данное определение актива применяется в контексте настоящего стандарта.

3.1.8 координация (coordination): Деятельность IACS, благодаря которой:

- все факторы рисков учитываются и контролируются;

- процесс управления рисками выполняется надлежащим образом;

- отсутствуют конфликты между мерами обеспечения безопасности и контрмерами защиты информации.

     3.2 Сокращения

     4 Стадии жизненного цикла

На протяжении всего жизненного цикла необходимо поддерживать связь и взаимодействие между функциональной безопасностью и защитой информации, чтобы:

- все обоснованно прогнозируемые атаки и нарушения условий эксплуатации были определены и находились под контролем;

- все требования по снижению рисков были достигнуты;

- выработать компромиссные проектные решения, которые обеспечат совместимость и приемлемые уровни рисков, поскольку конфликт между мерами обеспечения функциональной безопасности и контрмерами защиты информации может приводить к увеличению рисков.

Как правило, выделяют следующие этапы жизненного цикла:

- концепцию и область применения;

- оценку рисков;

- разработку и внедрение;

- эксплуатацию и обслуживание;

- вывод из эксплуатации и утилизацию.

Примечание - Требования к жизненному циклу различны и зависят от конкретного стандарта (МЭК 61508, МЭК 61511, МЭК 62443 и др.); в настоящем стандарте рассматриваются только типовые этапы, которые наиболее важны для обеспечения совместимости между безопасностью и защитой информации.

     5 Требование к координации менеджмента

     5.1 Общие положения

Процессы технического менеджмента следует рассматривать в начале жизненного цикла; для конкретной организации рекомендуется планировать общие процессы технического менеджмента, включая специалистов, отвечающих за функциональную безопасность и защиту информации.

Процессы технического менеджмента должны быть реализованы на протяжении всего жизненного цикла. Если определены пересекающиеся требования к действиям по обеспечению функциональной безопасности и действиям по защите информации, то для их успешного соблюдения необходимо распределять ответственность (исключение составляют специальные для предметной области требования к менеджменту функциональной безопасности и защиты информации).