ГОСТ 35090-2024

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

АППАРАТУРА РАСПРЕДЕЛЕНИЯ И УПРАВЛЕНИЯ НИЗКОВОЛЬТНАЯ

Аспекты безопасности

Low-voltage switchgear and controlgear. Security aspects

МКС 29.130.20

Дата введения 2025-03-01

Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 РАЗРАБОТАН Акционерным обществом "Диэлектрические кабельные системы" (АО "ДКС")

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 31 июля 2024 г. № 175-П)

За принятие проголосовали:

4 Приказом Федерального агентства по техническому регулированию и метрологии от 12 декабря 2024 г. № 1879-ст межгосударственный стандарт ГОСТ 35090-2024 введен в действие в качестве национального стандарта Российской Федерации с 1 марта 2025 г.

5 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта IEC TS 63208:2020* "Аппаратура распределения и управления низковольтная. Аспекты безопасности" ("Low-voltage switchgear and controlgear - Security aspects", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"

Введение

Применение передачи данных в цифровом формате, в низковольтной аппаратуре, смонтированной в низковольтных комплектных устройствах, предназначенных для защиты, управления и распределения, влечет за собой увеличение рисков возникновения угроз в области информационной безопасности. Информационные технологии, связанные или интегрированные с промышленными системами, увеличивают риски угроз информационной безопасности.

Настоящий стандарт содержит общие принципы по организации мер обеспечения информационной безопасности при проектировании и обслуживании коммутационных аппаратов, таких как автоматические выключатели или другие низковольтные аппараты, в том числе реле перегрузки и бесконтактные реле, оснащенные интерфейсом передачи данных для локального или удаленного подключения к логическому контроллеру или дисплею, для предоставления доступа к таким данным, как фактические параметры электропитания, данные мониторинга, регистрация данных и удаленное обновление.

Для применения в системах распределения электроэнергии необходимо применять базовые меры обеспечения информационной безопасности для поддержания функций защитного отключения/переключения (в результате перегрузки, короткого замыкания, протекания тока утечки на землю, изменения уровня напряжения ниже/выше допустимого или его пропадания) на необходимом уровне, с целью обеспечения безопасности. Такие требования должны ограничить уязвимость интерфейсов обмена данными. Чтобы сохранить максимальную свободу для обновлений, соответствующие требования для определенного применения желательно определять с помощью систематического подхода к оценке рисков.

В настоящем стандарте рассматриваются следующие аспекты информационной безопасности:

а) повышение осведомленности о рисках угроз информационной безопасности, связанных с непреднамеренным срабатыванием и потерей защитных функций;

б) определение базовых мер обеспечения информационной безопасности низковольтной аппаратуры и низковольтных комплектных устройств, снижения вероятности непреднамеренного срабатывания/несрабатывания и потери защитных функций в низковольтных комплектных устройствах и системах управления технологическими процессами;

в) предоставление рекомендаций, позволяющих избежать ухудшения функциональности низковольтной аппаратуры во всех режимах работы в результате реализации мер обеспечения информационной безопасности.

В настоящем стандарте приведено руководство по применению мер обеспечения информационной безопасности низковольтной аппаратуры и низковольтных комплектных устройств (аппаратные средства, прошивки, сетевой интерфейс, контроль доступа, система), а также по дополнительным мерам, которые необходимо учитывать при внедрении низковольтной аппаратуры и использовать в инструкциях по ее эксплуатации.

     1 Область применения

Настоящий стандарт применим к основным функциям низковольтной аппаратуры и низковольтных комплектных устройств (НКУ), связанным с информационной безопасностью (ИБ), в течение всего жизненного цикла низковольтной аппаратуры и НКУ. Это применимо к проводным и беспроводным средствам передачи данных, физической доступности низковольтной аппаратуры и НКУ в зависимости от условий их размещения.

Настоящий стандарт предназначен для повышения осведомленности об аспектах безопасности и содержит рекомендации и требования по соответствующим мерам защиты от угроз, связанных с уязвимостями.

В частности, он концентрирует внимание на возможных угрозах, связанных с уязвимостями в результате:

- случайного срабатывания низковольтной аппаратуры, которое может привести к опасным ситуациям;

- недоступности защитных функций (сверхток, ток утечки на землю и т.д.).

Настоящий стандарт охватывает соответствующие меры обеспечения информационной безопасности с учетом [1] для применения низковольтной аппаратуры и НКУ.

________________

В Российской Федерации действует ГОСТ Р ИСО/МЭК 27001-2021 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".

Настоящий стандарт включает в себя распространенные примеры из эксплуатации, приведенные в приложении А.

Настоящий стандарт не охватывает в полном объеме требования безопасности для следующих информационных систем:

- системы промышленной автоматизации и управления (IACS);

- географическая информационная система (ГИС);

- информационная система персональных данных (ИСПД);

- системы объектов критической информационной инфраструктуры (КИИ);

- системы автоматического контроля и учета электрической энергии (АСКУЭ).

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие межгосударственные стандарты:

ГОСТ 2.701 Единая система конструкторской документации. Схемы. Виды и типы. Общие требования к выполнению

ГОСТ 2.702 Единая система конструкторской документации. Правила выполнения электрических схем

ГОСТ 34.10 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

________________

В Российской Федерации действует также ГОСТ Р 34.10-2012.

ГОСТ 31282 Устройства пломбировочные. Классификация

ГОСТ IEC 60947-1 Аппаратура распределения и управления низковольтная. Часть 1. Общие правила

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации (www.easc.by) или по указателям национальных стандартов, издаваемым в государствах, указанных в предисловии, или на официальных сайтах соответствующих национальных органов по стандартизации. Если на документ дана недатированная ссылка, то следует использовать документ, действующий на текущий момент, с учетом всех внесенных в него изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то следует использовать указанную версию этого документа. Если после принятия настоящего стандарта в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение применяется без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины, определения и сокращения

3.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1 журнал аудита (audit log): Хронологическая фиксация записей произошедших событий и их хранение определенный период времени с целью последующего использования.

Примечания

1 Журналы аудита хранятся в течение согласованного периода времени для помощи в проведении последующих расследований.

2 Журналы аудита допускается использовать для анализа риска и выявления инцидентов угроз информационной безопасности или контроля функционирования объекта.

3.1.2 атака (attack): Попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.

3.1.3 поверхность атаки (attack surface): Совокупность ресурсов системы, которые напрямую или косвенно подвержены потенциальному риску атаки.

3.1.4 вектор атаки (attack vector): Путь или средство, при помощи которого инициирующее атаку лицо может получить доступ к устройству, чтобы инициировать атаку.

3.1.5 аутентификация (authentication): Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

3.1.6 подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

3.1.7 авторизация (authorization): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.

Примечание - Положительный результат идентификации и аутентификации является одним из оснований для авторизации субъекта доступа.

3.1.8 доступность (availability): Свойство, определяющее возможность использования объекта авторизованным субъектом по запросу.

3.1.9 конфиденциальность (confidentiality): Свойство, определяющее, что информация не предоставляется или не раскрывается неавторизованным лицам, организациям или процессам.

3.1.10 контрмера (countermeasure): Действие, устройство или метод, которые снижают уровень угрозы, уязвимости или противодействуют атаке путем ее отражения или нейтрализации, или минимизации ущерба, который она способна нанести, или путем ее обнаружения и сообщения о ней, для принятия корректирующего действия.

3.1.11 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, недоказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Примечание - Цель состоит в снижении уровня риска персональной или общественной угрозы, потери доверия общества или потребителей, раскрытия конфиденциальных активов, незащищенности бизнес-активов или несоблюдения нормативных требований. Эти понятия применяются к любой системе в производственном процессе, и они включают как автономные, так и сетевые компоненты. Связь между системами может осуществляться либо посредством внутреннего обмена сообщениями, либо посредством любых человеческих или машинных интерфейсов, которые проводят аутентификацию, работу, контроль или обмен данными с любой из этих систем управления. Информационная безопасность включает в себя понятия идентификации, аутентификации, авторизации, обслуживаемости и конфиденциальности.