Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 22 июня 2015 г. N 774-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШЛЕННЫЕ
ЗАЩИЩЕННОСТЬ (КИБЕРБЕЗОПАСНОСТЬ) СЕТИ И СИСТЕМЫ
ЧАСТЬ 2-1
СОСТАВЛЕНИЕ ПРОГРАММЫ ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОСТИ
(КИБЕРБЕЗОПАСНОСТИ) СИСТЕМЫ УПРАВЛЕНИЯ
И ПРОМЫШЛЕННОЙ АВТОМАТИКИ
Industrial communication networks. Network and system
security. Part 2-1. Establishing an industrial automation
and control system security programme
IEC 62443-2-1:2010
Industrial communication networks - Network and system
security - Part 2-1: Establishing an industrial automation
and control system security program
(IDT)
ГОСТ Р МЭК 62443-2-1-2015
МКС 25.040.40
35.040
Дата введения
1 января 2016 года
Предисловие
1 ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением "Новая инженерная школа" (НОЧУ "НИШ") на основе аутентичного перевода на русский язык указанного в пункте 4 международного стандарта, который выполнен Российской комиссией экспертов МЭК/ТК 65, и Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ВНИИНМАШ)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 306 "Измерения и управление в промышленных процессах"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 июня 2015 г. N 774-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 62443-2-1:2010 "Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 2-1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики" (IEC 62443-2-1:2010, "Industrial communication networks - Network and system security - Part 2-1: Establishing an industrial automation and control system security program").
Алфавитный указатель терминов, используемых в настоящем стандарте, приведен в дополнительном приложении ДА.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДБ
5 ВВЕДЕН ВПЕРВЫЕ
6 В настоящем стандарте часть его содержания может быть объектом патентных прав
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
0 Введение
0.1 Обзор
Кибербезопасность приобретает все большее значение для современных компаний. Многие организации, работающие в сфере информационных технологий, много лет занимаются вопросами кибербезопасности и за это время внедрили зарекомендовавшие себя системы управления кибербезопасностью (CSMS), которые приведены в стандартах Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (МЭК) (см. ИСО/МЭК 17799 [23] и ИСО/МЭК 27001 [24]). Такие системы управления обеспечивают хорошо отлаженный метод защиты объектов организации от кибератак.
Организации, применяющие IACS (системы промышленной автоматики и контроля), начали применять готовые коммерческие технологии (COTS), разработанные для бизнес-систем, используемых в их повседневных процессах, в результате чего возрос риск кибератак, направленных на оборудование IACS. Как правило, такие системы в среде IACS по многим причинам не настолько робастны, как системы, специально спроектированные как IACS для подавления кибератак. Подобные недостатки могут привести к последствиям, которые отразятся на уровне охраны труда, промышленной безопасности и охраны окружающей среды (HSE).
Организации могут попытаться использовать существовавшие ранее решения в сфере информационных технологий и кибербезопасности бизнеса для обеспечения безопасности IACS, при этом не осознавая последствий своих действий. И хотя многие такие решения можно применять в отношении IACS, реализовывать их необходимо правильным способом, чтобы избежать неблагоприятных последствий.
0.2 Система управления кибербезопасностью для IACS
Система управления описывает компоненты, которые должны быть включены в систему управления, но при этом не определяет, каким образом она должна разрабатываться. В настоящем стандарте рассмотрены аспекты компонентов, включенных в CSMS для IACS, и приводятся указания по разработке CSMS для IACS.
Для решения сложной задачи в качестве общего проектного подхода проблема разбивается на мелкие компоненты, каждый из которых рассматривается в определенном порядке. Такой основательный подход позволяет изучить риски, связанные с кибербезопасностью для IACS. Однако частой ошибкой при этом является то, что работа одновременно осуществляется с одной системой. Обеспечение информационной безопасности представляет собой гораздо более сложную задачу, которая требует решений для всего набора IACS, включая политики, процедуры, практики и персонал, в работе которого применяются такие IACS. Возможно, для внедрения масштабной системы управления потребуется изменение культуры внутри организации.
Постановка вопроса кибербезопасности на уровне всей организации может выглядеть устрашающе. К сожалению, решить подобную задачу простым способом не представляется возможным. Это объясняется разумной причиной: не имеется комплекса практик безопасности, подходящих для всего и всех. Может быть, и реально достичь абсолютной безопасности, но навряд ли рекомендуется, ведь это чревато потерей функциональности, которая требуется для достижения этого почти идеального состояния. Безопасность на деле является балансом между риском и затратами. Все ситуации будут отличаться друг от друга. В некоторых случаях риск может быть скорее связан с факторами HSE, нежели чем с чисто экономическим воздействием. Реализация риска скорее закончится непоправимыми последствиями, чем небольшим финансовыми трудностями. Поэтому готовый набор обязательных практик в области обеспечения безопасности будет либо слишком жестким и, скорее всего, дорогостоящим, либо недостаточным для того, чтобы решить проблему риска.
0.3 Связь между настоящим стандартом и ИСО/МЭК 17799 и ИСО/МЭК 27001
ИСО/МЭК 17799 [23] и ИСО/МЭК 27001 [24] - это очень хорошие стандарты, в которых описана система управления кибербезопасностью для бизнес-систем и систем информационных технологий. Многие положения этих стандартов также применяются и в отношении IACS. В настоящем стандарте сделан акцент на необходимость соответствия практик управления кибербезопасностью IACS и практик управления кибербезопасностью бизнес-систем и систем информационных технологий. Экономический эффект появится когда, будет достигнуто соответствие между этими программами. Пользователям настоящего стандарта предлагается ознакомиться с ИСО/МЭК 17799 и ИСО/МЭК 27001, в которых представлена дополнительная информация. Настоящий стандарт разработан на основе указаний, приведенных в указанных стандартах ИСО/МЭК. В нем рассматриваются некоторые существенные различия между IACS и общими бизнес-системами и системами информационных технологий, а также раскрывается важная концепция, суть которой заключается в том, что риски кибербезопасности для IACS могут негативным образом отразиться на охране труда, промышленной безопасности и охране окружающей среды и должны быть объединены с прочими существующими практиками по управлению такими рисками.
1 Область применения
Настоящий стандарт определяет элементы, необходимые для встраивания системы управления кибербезопасностью (CSMS) в системы управления и промышленной автоматики (IACS). В настоящем стандарте также приведено руководство по разработке таких элементов. В настоящем стандарте широко трактуются определения и сфера применения компонентов IACS, описанных в IEC/TS 62443-1-1.
Элементы CSMS, приведенные в настоящем стандарте, в целом включают в себя политику, процедуру, практику и соответствующий персонал и служат описанием того, что включается или должно быть включено в окончательный вариант CSMS для организации.
Примечание 1 - В других стандартах серии МЭК 62443, а также в документах, приведенных в элементе "Библиография" настоящего стандарта, более подробно описаны специфические технологии и/или решения для систем кибербезопасности.
Руководство по разработке CSMS (см. приложение A) приведено в настоящем стандарте в качестве примера. В указанном руководстве отражена точка зрения разработчика относительно того, каким образом организация может разрабатывать элементы, но при этом руководство не является источником решений во всех возможных ситуациях. Пользователям настоящего стандарта следует ознакомиться с требованиями и применять указанное руководство при разработке CSMS, обладающих полной функциональностью. Политики и процедуры, описанные в настоящем стандарте, должны составляться разрабатываться с учетом особых требований каждой организации.
Примечание 2 - Могут возникнуть ситуации, когда в работе находится ранее существовавшая CSMS и добавляется часть IACS, либо могут быть организации, которые ранее никогда официально не создавали CSMS. В настоящем стандарте не могут быть предусмотрены все случаи, когда организации придется устанавливать CSMS для среды IACS, поэтому настоящий стандарт не является источником решений для всех возможных ситуаций.
2 Нормативные ссылки
Документ, ссылка на который приведена ниже, обязателен при применении настоящего стандарта. Для датированных ссылок применяют только указанное издание. Для недатированных ссылок применяют последнее издание ссылочного документа (включая любые изменения).
IEC/TS 62443-1-1 <1> Промышленные коммуникационные сети. Защищенность сети и системы. Часть 1-1. Терминология, концептуальные положения и модели (IEC/TS 62443-1-12, Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models)
--------------------------------
<1> Настоящий стандарт разработан на основе AN SI/ISA 99.02.01:2009 и в полном объеме заменяет его для использования в любой стране мира. При этом понимается, что второе издание IEC/TS 62443-1-1 является международным стандартом, а не технической спецификацией (TS), т.к. в него были включены некоторые нормативные требования, в отношении которых возможно достижение соответствия.
3 Термины, определения и сокращения
3.1 Термины и определения
В настоящем стандарте применены термины и определения, указанные в IEC/TS 62443-1-1, а также следующие термины с соответствующими определениями:
Для просмотра документа целиком скачайте его >>>