Приложение F (справочное). Требования обеспечения безопасности. Национальный стандарт РФ ГОСТ Р МЭК 61069-5-2017 "Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.11.2017 N 1653-ст)

Приложение F
(справочное)

Требования обеспечения безопасности

F.1 Физическая безопасность

Физическая безопасность направлена на предотвращение умышленного или неумышленного уничтожения системы человеком с последующим доступом к оборудованию. Предлагаемая ОСУ должна быть оценена на способность поддерживать физическую безопасность.

Общие точки оценки физической безопасности включают в себя:

1) доступ к открытым портам данных на персональном компьютере, например, USB, Ethernet, модемы, последовательные порты и т.д.;

2) размещение оборудования, например, в шкафах или на столах;

3) доступ к материалу внутри шкафа, например, ключи, специальные инструменты, или простая неблокирующая защелка;

4) доступ к данным в закрытом оборудовании, например, о температуре, влажности и коррозии;

5) доступ к аппаратной, например, безопасный вход, мониторинг пространства;

6) контроль за изменениями данных через человеко-машинный интерфейс (ЧМИ), например, блокировка клавиатуры.

F.2 Кибербезопасность

F.2.1 Общие положения

Не смотря на то, что поставщики ОСУ должны обеспечивать поддержку кибербезопасности (включая устранение известных уязвимостей), в конечном счете, ответственность за безопасность в эксплуатации несет пользователь оборудования.

ИСО МЭК 27001 и ИСО МЭК 27002 предоставляют основу для всех стандартов по кибербезопасности. ИСО МЭК 27001:2013, приложение А содержит одиннадцать разделов. В разделах 5-15 в целом описаны необходимые действия по обеспечению кибербезопасности. Информация, приведенная в этих разделах, не является исчерпывающей, и организация может посчитать, что необходимы дополнительные цели управления и контроль.

F.2.2 Политика безопасности

Оценка кибербезопасности системы должна проводиться в контексте политики безопасности пользователя. Политика безопасности должна быть включена в ДТС, описанный в МЭК 61069-2.

Политики безопасности разрабатываются для обеспечения направления и поддержки управлением информационной безопасности в соответствии с бизнес-требованиями, а также соответствующими законами и правилами.

F.2.3 Другие факторы, которые необходимо учитывать

В А.10 ИСО МЭК 27001:2013 перечисляется ряд областей, в отношении которых применяемая система должна оцениваться. Например, система должна быть оценена в отношении того, насколько хорошо она поддерживает:

- менеджмент непрерывности бизнеса;

- управление изменениями, например, способность документировать изменения и делать их отмену;

- разделение обязанностей (ролей) и доступ (разрешения), например, руководитель - оператор; инженер - обслуживание;

- планирование и приемку системы;

- защиту от вредоносной и мобильной программы, например, антивируса, шпионского программного обеспечения (ПО), межсетевых экранов, управление исправлениями, пересмотр операционных систем, белые списки, черные списки и т.д.;

- резервное копирование и восстановление, например, автоматическое или ручное, полное или частичное, локальное или сетевое и т.д.;

- обработку носителей, например, открытый доступ ко всем съемным носителям через все медиа-порты, заблокированные посредством интеллектуальной обработки (только USB от определенных поставщиков);

- мониторинг, например, охранная сигнализация, обнаружение вторжений, работоспособность машины, включая состояние обновления и т.д.;

- управление доступом и пользовательское управление, например, использование идентификаторов (карт, паролей, подписей), управление учетными записями (создание, удаление) и т.д.;

- управление доступом к сети, например задокументированные IP-порты, межсетевые экраны в сети, соединение Ethernet отключается, если специально не требуется;

- контроль доступа к операционной системе, например, контроль доступа к утилитам командной строки;

- анализ существенно разных операционных систем для ОСУ от офисных систем в заводе, чтобы минимизировать риск функционирующих вирусов;

- управление доступом к приложению и информации, например, ограничение доступа к определенным приложениям управления процессом на конкретные функции и ограничение управляющих приложений для меньшего количества людей;

- мобильную вычислительную технику и дистанционную работу, например, безопасность беспроводной связи, доступ к мобильным устройствам, управление приложениями на мобильных устройствах;

- криптографические средства управления, например, для шифрования дисковода, шифрование сообщений и т.д.;

- безопасность в процессах разработки и поддержки, то есть, имеет ли поставщик определенную разработку политики безопасности и соблюдает ли ее;

- управление технической уязвимостью;

- менеджмент инцидентов информационной безопасности;

- управление непрерывностью бизнеса;

- соблюдение законодательных требований.