Приложение А (справочное). Готовящееся к публикации новое издание МЭК 62443. Национальный стандарт РФ ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 22.06.2015 N 775-ст)

Приложение А
(справочное)

Готовящееся к публикации новое издание МЭК 62443

Под общим наименованием "Безопасность при измерении производственного процесса и управлении им - безопасность системы и сети", готовящееся к публикации новое издание МЭК 62443 объединит следующие части:

- часть 1: Рабочий процесс - анализ рисков и угроз*;

- часть 2: Гарантирование безопасности: принципы, политика, практические методы**;

- часть 3: Требования безопасности при типовых сценариях безопасности.

Готовящееся издание МЭК 62443 должно приобрести статус основной публикации по безопасности, наподобие того, как основной публикацией по эксплуатационной безопасности является IEC Guide 104.

Введение

По мере роста использования общедоступных сетей, системы автоматизации, ранее бывшие изолированными от них, становятся все более уязвимыми для атак. Стандартные IT-механизмы безопасности, использующие защищаемые цели и стратегии защиты могут оказаться непригодными для систем автоматизации, например, когда своевременное реагирование может оказаться критичным для безопасности и эксплуатационной безопасности персонала завода, окружающей среды и корпорации. Этот стандарт посвящен конкретным аспектам безопасного доступа к промышленным системам и внутри них, в частности, когда наиболее широко распространенные методы обеспечения безопасности на основе IT оказываются неэффективными или неподходящими.

Особые акценты сделаны на обеспечении жизненного цикла безопасности, на использовании глобального перехода от добавления компонент безопасности системы к интеграции требуемых свойств безопасности в продукты и системы, в виде неотъемлемой части их функционала и жизненного цикла.

Для приложений эксплуатационной безопасности, приложений в фармацевтической и других высокоспециализированных отраслях промышленности, могут применяться дополнительные стандарты, рекомендации, определения и условия, например, МЭК 61508, GAMP (ISPE), для GMP - совместимость с 21 CFR (FDA) и стандартная процедура эксплуатации, принятая Европейским медицинским агентством (SOP/INSP/2003).

Обзор

Данный стандарт будет устанавливать требования для безопасного доступа к измерениям производственного процесса, сетям управления и устройствам этих сетей в течение всего жизненного цикла ICS.

Данный стандарт будет предоставлять требования и руководящие принципы по целям безопасности для:

- разработчиков систем автоматизации;

- производителей (изготовителей) устройств, подсистем и систем;

- интеграторов подсистем и систем;

- владельцев и операторов систем автоматизации (ответственных за эксплуатацию завода).

Стандарт будет учитывать следующие аспекты:

- постепенное развитие и миграцию для существующих систем, меры, принимаемые при разработке новых систем и компонентов;

- технологии и продукты, удовлетворяющие целям безопасности, включая COTS;

- режимы работы после отказа, при которых обеспечивается эксплуатационная безопасность процесса, в том числе при отказе в обслуживании (например, автономная работа);

- надежность и доступность;

- масштабируемость (от сложных заводов до маленьких недорогих систем с малыми рисками);

- разделение требований безопасности, эксплуатационной безопасности и требований функционала, насколько это возможно;

- рассмотрение аспектов безопасности во время разработки систем автоматизации и их компонент.

Примечание - Заводы и системы могут содержать критичные для эксплуатационной безопасности компоненты и устройства, особенно устройства, разработанные в соответствии с МЭК 61508 и SILs. Критичные для эксплуатационной безопасности компоненты и устройства могут применяться в целях безопасности, определяемых с помощью отдельного анализа. Эти цели безопасности могут соответствовать рекомендациям, предложенным в данном стандарте, однако он не гарантирует, что все его спецификации будут пригодными или существенными для безопасности таких устройств обеспечения эксплуатационной безопасности. Этот стандарт не решает проблем безопасности домов, защиты граждан и защиты от военных атак или природных катастроф.

МЭК 62443 (часть 1) позволит пользователю оценить ситуацию с безопасностью, например, в терминах применимых угроз и уязвимостей и подготовиться к управлению рисками безопасности в течение всего жизненного цикла системы пользователя. Часть 1 включает:

- словарь, определения терминов, целевую аудиторию, область применения, заинтересованные стороны, роли;

- общие черты и отличия промышленных систем управления в сравнении с широко распространенными применениями IT;

- события атаки их сценарии;

- жизненный цикл;

- ожидаемые результаты анализа рисков и угроз;

- примеры для;

- цели безопасности;

- анализа уязвимостей;

- оценки рисков.

МЭК 62443 (часть 2) позволяет пользователям определить и реализовать их политики безопасности, связать результирующие требования с желаемыми практическими аспектами и уровнем детальности и со всеми фазами жизненного цикла. В части 2 рассмотрены:

- принципы обеспечения надежности, классификация, оценка;

- принципы разработки устройств, критерий проектирования, свойства устройств;

- старые устройства, COTS и устройства, находящиеся на стадии разработки;

- аспекты безопасности во время разработки компонентов (не только компонентов безопасности) промышленных систем управления (датчики/актюаторы/РLC/сеть/сервер/НМI).

В МЭК 62443 (часть 3) приведены примеры решений на основе использования практических методов для типовых сценариев. Приведенные примеры помогут пользователям выполнить конкретную реализацию:

- типовых сценариев и мер безопасности,

- типовых политик безопасности описаний процессов и процедур.

_____________________

* В настоящее время действует IEC/TC 62443-1-1:2009.

** В настоящее время действует МЭК 62443-2-1:2010.