ГОСТ Р 71843-2024
(IEC/TR 63283-3:2022)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Цифровая промышленность
УМНОЕ ПРОИЗВОДСТВО
Часть 3
Рекомендации по кибербезопасности
Digital industry. Smart Manufacturing. Part 3. Challenges for cybersecurity
ОКС 35.240.99
Дата введения 2025-07-01
Предисловие
1 ПОДГОТОВЛЕН Ассоциацией "Цифровые инновации в машиностроении" (АЦИМ) и Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "Институт стандартизации") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 "Информационная поддержка жизненного цикла изделий"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2024 г. № 1810-ст
4 Настоящий стандарт является модифицированным по отношению к международному документу IEC/TR 63283-3:2022* "Измерение, управление и автоматизация промышленного процесса. Умное производство. Часть 3. Проблемы кибербезопасности" (IEC/TR 63283-3:2022 "Industrial-process measurement, control and automation - Smart Manufacturing - Part 3: Challenges for cybersecurity", MOD) путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом**. Внесение указанных технических отклонений направлено на учет потребностей национальной экономики Российской Федерации.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.
** В оригинале обозначения и номера стандартов и нормативных документов в разделе "Предисловие", приложении ДА и отмеченные в разделе 2 "Нормативные ссылки" знаком "**" приводятся обычным шрифтом; отмеченные в разделе "Предисловие" знаком "***" и остальные по тексту документа выделены курсивом. - Примечания изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА.
Сопоставление структуры настоящего стандарта со структурой примененного в нем международного документа приведено в дополнительном приложении ДБ
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации"***. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Умное производство является компонентом цифровой промышленности, обеспечивающим изготовление продукции на основе высокотехнологичных комплексов и автоматизированных систем управления. В условиях распределенного производства и создания сквозных цепочек добавленной стоимости повышается интенсивность информационного обмена между участниками производственного процесса, что обусловливает риски в области кибербезопасности. Новый этап развития умного производства характеризуется высоким уровнем самоорганизации производственных систем, что повышает риски в области кибербезопасности.
Настоящий стандарт устанавливает рекомендации по кибербезопасности для умного производства, учитывающие лучшие международные практики и специфику развития отечественной цифровой промышленности.
Настоящий стандарт входит в систему стандартов цифровой промышленности.
1 Область применения
Настоящий стандарт устанавливает рекомендации по кибербезопасности для сферы умного производства и цифровой промышленности.
Установленные настоящим стандартом термины рекомендуются для применения во всех видах документации и научно-технической литературы в области цифровой трансформации промышленности и создания умных производств.
Настоящий стандарт должен применяться совместно с другими документами системы стандартов в цифровой промышленности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009** Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели
ГОСТ Р 70988 Система стандартов в цифровой промышленности. Основные положения. Общие требования к системе
ГОСТ Р 70992 Цифровая промышленность. Интеграция и интероперабельность систем. Термины и определения
ГОСТ Р ИСО/МЭК 27000 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности
ГОСТ Р МЭК 62443-2-1** Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины, определения и сокращения
3.1 Термины и определения
В настоящем стандарте применены термины по [1], а также следующие термины с соответствующими определениями.
3.1.1
авторизация (санкционирование, санкция, наделение правами, авторизационные данные) (authorization): Право или разрешение, предоставляемое субъекту системы для получения доступа к ресурсу системы. [ГОСТ Р 56205-2014, пункт 3.2.14] |
3.1.2 администратор (administrator): Роль пользователя, в обязанности которого входит контроль доступа к системе и внедрение политик безопасности для нее.
3.1.3 актив (asset): Объект, принадлежащий организации или находящийся под ее опекой, который имеет либо предполагаемую, либо фактическую ценность для организации.
3.1.4
атака (attack): Посягательство на систему, которое является следствием продуманного планирования, т.е. умышленного действия, представляющее собой продуманную попытку (особенно в плане метода или стратегии) обойти сервисы безопасности и нарушить политику безопасности системы. Примечание - Существуют различные общепризнанные типы атак: - "активная атака" имеет целью преобразовать ресурсы системы или воздействовать на ее работу; - "пассивная атака" имеет целью заполучить или использовать информацию системы без воздействия на ресурсы системы; - "внутренняя атака" - атака, инициированная субъектом в пределах периметра безопасности ("инсайдером"), т.е. субъектом, который наделен правами на получение доступа к ресурсам системы, но использует их в целях, не одобренных теми, кто предоставил эти права; - "внешняя атака" - атака, инициированная за пределами периметра безопасности неавторизованным или неуполномоченным пользователем системы (им может быть и инсайдер, атакующий за пределами периметра безопасности). Потенциальными злоумышленниками, осуществляющими внешнюю атаку, могут быть как простые любители пошутить, так и организованные преступные группы, международные террористы и враждебные правительства. [ГОСТ Р 56205-2014, пункт 3.2.9] |
3.1.5 атрибут (attribute): Свойство или характеристика объекта.
3.1.6
аутентификация (authentication): Мера безопасности, запроектированная на установление правомерности передачи самого сообщения или его источника, а также средство проверки авторизационных данных индивидуального пользователя для получения определенных категорий информации. [ГОСТ Р 56205-2014, пункт 3.2.13] |
3.1.7 варианты использования (use case): Спецификация набора действий, выполняемых системой, которые дают наблюдаемый результат, который обычно имеет ценность для одного или нескольких участников или других заинтересованных сторон системы.
3.1.8 влияние (impact): Оцененные последствия конкретного события.
Примечание - Воздействие может быть выражено в количестве травм и/или смертельных исходов, масштабах экологического ущерба и/или масштабах потерь, таких как материальный ущерб, ущерб интеллектуальной собственности, производственные потери, потеря доли рынка и затраты на восстановление.
3.1.9
выполнять аутентификацию (authenticate): Проверять идентификационную информацию пользователя, устройства на стороне пользователя или другого субъекта, или целостность данных, сохраняемых, передаваемых или подверженных иным образом риску несанкционированного преобразования в информационной системе, или устанавливать правомерность передачи данных. [ГОСТ Р 56205-2014, пункт 3.2.12] |
3.1.10 девайс (device): Независимый физический объект, способный выполнять одну или несколько определенных функций в определенном контексте и ограниченный своими интерфейсами.
3.1.11 дискретное производство (discrete manufacturing): Способ производства, при котором продукцию изготавливают непрерывно, например автомобили, бытовую технику, компьютеры.
3.1.12
доступ (access): Возможность и средства для обмена сообщениями или иного взаимодействия с системой в целях использования ресурсов системы. Примечание - Доступ может предполагать физический доступ (физическая авторизация, предоставляемая для доступа в участок, наличие механического замка, ПИН-код, или карта доступа, или биометрические признаки, обеспечивающие доступ) или логический доступ (авторизация для входа в систему и программу, осуществляемая путем комбинации логических и физических средств). [ГОСТ Р 56205-2014, пункт 3.2.1] |
3.1.13
доступность (работоспособность) (availability): Способность компонента выполнить требуемое действие при заданных условиях в заданный момент времени или в продолжение заданного интервала времени, если предоставлены необходимые внешние ресурсы. Примечания 1 Эта способность зависит от следующих аспектов, рассматриваемых в совокупности: надежности, удобства сопровождения и качества технической поддержки. 2 Необходимые внешние ресурсы, отличные от ресурсов технического обслуживания, не влияют на показатель доступности компонента. 3 Во французском языке используется также термин "disponibilit" в значении "текущая доступность". [ГОСТ Р 56205-2014, пункт 3.2.16] |
3.1.14 журнал аудита (audit log): Отслеживаемая запись, требующая более высокого уровня защиты целостности, чем в обычных журналах событий.
Примечание - Журналы аудита используются для защиты от претензий, которые снимают с вас ответственность за какое-либо действие.
3.1.15
защита (security): a) меры, предпринимаемые для защиты системы; b) состояние системы, которое является результатом разработки и проведения мер защиты системы; c) состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери; d) возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем; e) предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля. Примечание - Указанные меры могут представлять собой меры защиты, относящиеся к физической безопасности (управление физическим доступом к вычислительным объектам), или логической безопасности (возможность входа в конкретную систему и приложение). [ГОСТ Р 56205-2014, пункт 3.2.99] |
3.1.16
защита от непризнания участия (гарантия сохранения авторства) (nonrepudiation): Сервис безопасности, который обеспечивает защиту от ложного непризнания участия в коммуникации.
[ГОСТ Р 56205-2014, пункт 3.2.72] |
3.1.17 зона (zone): Группировка логических или физических активов на основе риска или других критериев, таких как критичность активов, эксплуатационная функция, физическое или логическое расположение, требуемый доступ (например, принципы минимальных привилегий) или ответственная организация.
Примечание - Все неквалифицированные использования термина "зона" в этом документе следует считать относящимися к зоне безопасности.
Попробуйте «Техэксперт: Базовые нормативные документы» бесплатно