Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

54 страницы

705.00 ₽

Купить официальный бумажный документ с голограммой и синими печатями. подробнее

Официально распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль".

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Применим к связанным с безопасностью электронным системам, использующим для цифровой связи системы передачи, которые не были специально разработаны для связанных с безопасностью. Система передачи может быть подключена как к связанному, так и к несвязанному с безопасностью оборудованию. Стандарт устанавливает основные требования, необходимые для обеспечения связанной с безопасностью передачи данных между связанным с безопасностью оборудованием, соединенным системой передачи. Стандарт применим при составлении спецификации требований безопасности связанного с безопасностью оборудования, которое подключается посредством системы передачи, для достижения распределенных требований к полноте безопасности. Требования безопасности, реализуемые в связанном с безопасностью оборудовании, обычно разрабатываются в соответствии с МЭК 62425. В определенных случаях эти требования могут быть реализованы в другом оборудовании системы передачи, поскольку для реализации распределяемых требований к полноте безопасности выполняется управление мерами по обеспечению безопасности.

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

   3.1 Термины и определения

   3.2 Сокращения

4 Эталонная архитектура

5 Угрозы для системы передачи данных

6 Классификация систем передачи данных

   6.1 Общие положения

   6.2 Общие аспекты классификации

   6.3 Критерии классификации систем передачи

   6.4 Системы передачи и угрозы

7 Требования к защите

   7.1 Общие положения

   7.2 Общие требования

   7.3 Конкретные защиты

   7.4 Применимость защит

Приложение А (справочное) Угрозы в открытых системах передачи

Приложение В (справочное) Категории систем передачи

Приложение С (справочное) Руководство по применению средств защиты

Приложение D (справочное) Руководство по применению настоящего стандарта

Приложение Е (справочное) Связь с предыдущими стандартами

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

Показать даты введения Admin

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ



ЖЕЛЕЗНЫЕ ДОРОГИ

Системы связи, сигнализации и обработки данных. Требования к обеспечению безопасной передачи информации

(IEC 62280:2014, «Railway applications — Communication, signalling and processing systems — Safety related communication in transmission systems», IDT)

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 058 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 июля 2017 г № 716-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 62280:2014 «Железные дороги. Системы связи, сигнализации и обработки данных. Коммуникации, связанные с безопасностью, в системах передачи» (IEC 62280:2014, «Railway applications — Communication, signalling and processing systems — Safety related communication in transmission systems», IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 6).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов и документов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правипа применения наспюящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандар/лу публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www gost.ru)

© Стандартинформ, 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ РМЭК 62280—2017

-    среды передачи любого типа с характеристиками передачи и чувствительностью к внешним влияниям, которые неизвестны пользователю;

-    системы управления сетью и системы менеджмента выполняют маршрутизацию (и динамическое изменение маршрута), обмениваются сообщениями по любому пути, сформированному в среде передачи одного типа или в средах передачи нескольких типов между концами открытой системы передачи в соответствии с программой, не известной пользователю;

-    другие пользователи системы передачи, не известные разработчику связанных с безопасностью приложений, отправляют неизвестный объем информации в неизвестных форматах.

Открытая система передачи Категории 3 может быть подвержена несанкционированному доступу со злонамеренными целями.

Эталонная архитектура не ограничивает реализации; возможны различные структуры, см. примеры в приложении Сив частности С.5 для не связанных с безопасностью сообщений.

5 Угрозы для системы передачи данных

Основной опасностью для связанной с безопасностью коммуникации является отказ в получении подтвержденного сообщения, то есть иметь достоверное, целостное, последовательное и актуальное сообщение на стороне получателя. Настоящий стандарт рассматривает угрозы, возникающие в системе передачи, для этих свойств сообщения. Угрозы связанного с безопасностью оборудования необходимо рассматривать в соответствии с МЭК 62425.

Однако соответствие требованиям настоящего стандарта не защищает от преднамеренного или непреднамеренного неправильного использования, возникающего из-за неавторизованных источников. При доказательстве безопасности необходимо рассматривать эти вопросы.

В приложение А включена дополнительная информация с руководящими указаниями по анализу угроз и доказательству безопасности. Однако необходимо подчеркнуть, что для каждого проекта должен быть выполнен анализ, так как, несмотря на то. что может быть использована методология анализа ошибок сообщения из приложения А. она сама по себе не обязательно является полной.

7

ГОСТ Р МЭК 62280-2017


Реализовано для систем передачи Категории 3 в:

-    оборудовании, связанном с безопасностью, а соответствии с МЭК 62425 или

-    оборудовании, не связанном с безопасностью, проверяемом с помощью методик, связанных с безопасностью.


Реализовано в:

• оборудовании, не связанном с безопасностью, или - оборудовании, связанном с безопасностью (интерфейс между функциями, как связанными, так и не связанными с безопасностью, проверенный в соответствии с МЭК 62425).


I

I

I

I

L

Рисунок 1 — Эталонная архитектура для связанной с безопасностью передачи данных


8


ГОСТ РМЭК 62280—2017

Опасные идентифицированные события могут включать:

-    систематический отказ;

-    обрыв проводников;

-    ошибки кабельных соединений;

• ошибка ориентирования антенны;

-    потеря производительности;

-    случайный отказ и старение аппаратных средств;

-    ошибка человека;

-    ошибка обслуживающего персонала;

-    EMI;

-    перекрестные помехи;

-    тепловой шум;

-    постепенное ухудшение свойств;

-    перегрузка системы передачи;

-    магнитная буря;

-    пожар;

-    землетрясение;

-    молния.

а также сознательно вызванные события такие как:

-    перехватывание информации в проводных линиях;

-    повреждение или несанкционированное изменение аппаратных средств;

-    несанкционированное изменение программного обеспечения;

-    контроль каналов;

-    передача несанкционированных сообщений.

Однако, несмотря на то, что существует широкий спектр возможных опасных событий, основными ошибками сообщения, которые формируют угрозы для системы передачи, являются следующие:

-    повторение;

-    стирание;

-    вставка;

-    переупорядочивание;

-    повреждение;

-    задержха;

-    подмена.

Таблица А.1 предлагает, какие угрозы для системы передачи могут быть вызваны каждым из этих типов опасных событий. Идентифицировав опасные события, не защищенные другими средствами и которые могут произойти для рассматриваемой системы, такая таблица может использоваться в качестве руководства для идентификации угроз, которые должны быть рассмотрены для этой системы. Таблица А.1 не содержит вероятности возникновения; это должно быть частью анализа угроз.

6 Классификация систем передачи данных

6.1    Общие положения

Данный раздел определяет процесс, который будет использоваться для классификации всех систем передачи, идентифицируя важные для таких систем угрозы, которые влияют на выбор защит для их использования в приложении, обеспечивающем безопасность.

6.2    Общие аспекты классификации

Существует много факторов, которые могут влиять на угрозы связанной с безопасностью коммуникационной системе.

Например, возможно, что услуги передачи могут быть оказаны пользователю системы сигнализации от частных или общедоступных телекоммуникационных поставщиков услуг. В соответствии с такими контрактами по предоставлению услуг ответственность поставщика услуг за обеспечение гарантированной производительности системы передачи может быть ограничена.

9

Поэтому значение угроз (и. следовательно, требования к защите от них) зависит от осуществляемой пользователем степени управления системой передачи, включая следующие вопросы:

-    технические свойства системы, включая гарантии надежности или доступности к системе, уровень хранения данных, существующий в системе (который может влиять на задержку или переупоря-дочивание сообщений);

-    стабильность производительности системы на всем времени ее эксплуатации (например, вследствие выполнения изменений в системе и изменений в базе данных пользователя), а также влияние загрузки трафика другими пользователями;

-    доступ к системе в зависимости от того, частная ли сеть или общедоступная, предоставляемая оператору степень управления доступом для других пользователей, возможности для неправильного использования системы другими пользователями, а также возможный доступ специалистов по обслуживанию для реконфигурирования системы или получение доступа к самой среде передачи.

В соответствии с этими проблемами могут быть определены три категории систем передачи.

6.3 Критерии классификации систем передачи

6.3.1    Критерии системы передачи Категории 1

Считается, что система передачи имеет Категорию 1. если выполнены следующие предварительные условия (ПУ).

ПУ1. Число единиц подсоединяемого оборудования (или связанного, или не связанного с безопасностью) к системе передачи известно и фиксировано. Поскольку связанная с безопасностью коммуникация зависит от этого параметра, то требование о максимальном количестве единиц оборудования, которое разрешено соединять вместе, будет включено в спецификацию требований безопасности в качестве предварительного условия. Конфигурация системы должна быть определена/включена в доказательство безопасности. Любому последующему изменению этой конфигурации должен предшествовать анализ его влияния на доказательство безопасности.

ПУ2. Характеристики системы передачи (например, среды передачи, внешней среды с наихудшими условиями и т. д.) известны и фиксированы. Они должны сохраняться во время жизненного цикла системы. Если должны быть изменены основные параметры, которые использовались в доказательстве безопасности, то все связанные с безопасностью аспекты должны быть рассмотрены вновь.

ПУЗ. Риск несанкционированного доступа к системе передачи должен быть незначительным.

Если система передачи удовлетворяет всем вышеупомянутым предварительным условиям, то можно считать, что она имеет Категорию 1 и является закрытой системой, и поэтому она должна соответствовать обычно сокращенному набору процессов и требований, представленных в разделе 7.

6.3.2    Критерии системы передачи Категории 2

Если система передачи не удовлетворяет ПУ1 или ПУ2 из 6.3.1. но удовлетворяет ПУЗ, то можно считать, что она имеет Категорию 2 и является открытой системой, поэтому ее необходимо оценивать более обширным набором процессов и требований, представленных в разделе 7.

6.3.3    Критерии системы передачи Категории 3

Если система передачи не удовлетворяет ПУЗ из 6.3.1, то можно считать, что она имеет Категорию 3 и является открытой системой, поэтому ее необходимо оценивать полным набором процессов и требований, представленных в разделе 7.

6.4 Системы передачи и угрозы

Значение угроз для связанной с безопасностью коммуникационной системы должно быть оценено в соответствии с возможностями управления системой передачи, которое осуществляет пользователь.

Угрозы, определенные в разделе 5. применимы ко всем категориям систем передачи, за исключением подмены, которая применима только к открытой системе передачи.

В таблице В. 1, приложение В. представлен пример классификации систем передачи данных, а в таблице В 2 дан пример отношения угроза/категория.

Применимость раздела 7 зависит от категории системы передачи.

ГОСТ РМЭК 62280—2017

7 Требования к защите

7.1    Общие положения

Ранее для систем передачи данных (связанных и не связанных с безопасностью) были предложены определенные методы защиты от угроз. Эти методы представляют «библиотеку» возможных методов, которые доступны для разработчика систем управления и защиты и используются для обеспечения защиты от каждой из перечисленных выше угроз.

Для снижения риска, связанного с перечисленными в предыдущем разделе угрозами, в открытых и закрытых системах передачи, необходимо рассмотреть и довести до уровня, требующегося для применения. следующие фундаментальные службы безопасности, обеспечивающие:

-    достоверность сообщения;

• целостность сообщения;

-    своевременность сообщения;

-    последовательность сообщений.

Был выделен следующий набор известных методов защиты:

a)    порядковый номер;

b)    временная метка;

c)    тайм-аут;

d)    идентификаторы источника и пункта назначения;

e)    сообщение обратной связи;

0 процедура идентификации;

д) код защиты;

h) криптографические методы.

Ряд проблем архитектуры должен быть рассмотрен для конкретного применения и подтвержден в доказательстве безопасности, например:

-    условия для утверждения о соответствии и поддержания соответствия системы передачи Категории 1 или 2 предварительным условиям;

-    критерии разделения систем передачи различных категорий между собой;

-    устойчивость систем передачи к отказу в обслуживании, возникающего в результате информационных атак, например, необходимость использования брандмауэров.

В отношении перечисления h) следует отметить, что область применения настоящего стандарта не включает общие проблемы безопасности ИТ-систем:

-    рассматриваются атаки только во время стадии эксплуатации;

-    в настоящем стандарте рассматриваются только атаки, выполняемые сообщениями, на связанные с безопасностью приложения.

Однако политика обеспечения защиты полного доступа должна учесть:

-    процедуры и вопросы обслуживания защиты доступа;

-    что уязвимость программного обеспечения не рассматривается для связанного с безопасностью приложения;

-    конфиденциальность информации.

7.2    Общие требования

7.2.1    Должны быть обеспечены соответствующие средства защиты от всех определенных выше угроз безопасности для систем, использующих открытую или закрытую систему передачи. Любые предположения угроз, которые игнорируются, должны быть обоснованы и зарегистрированы в доказательстве безопасности В приложении А представлен возможный список угроз, который можно использовать в качестве руководства.

7.2.2    Если реализуется коммуникация между приложениями, связанными с безопасностью, и приложениями. не связанными с безопасностью, через одну и ту же систему передачи данных, то применяют следующие требования:

-    для защит безопасности, реализуемых связанными с безопасностью функциями передачи, должно быть продемонстрировано, что они являются функционально независимыми от защит, реализуемых не связанными с безопасностью функциями;

-    связанные и не связанные с безопасностью сообщения должны иметь разные структуры, так как в связанных с безопасностью сообщениях применяется код защиты. Этот код защиты должен быть

11

способен защитить систему до требуемой полноты безопасности (см. 7.3.8). так что не связанные с безопасностью сообщения не могут быть повреждены в связанных с безопасностью сообщениях.

7.2.3    Подробные требования для защит, необходимых для приложения, должны учитывать:

-    уровень риска (частота/последствие), определенный для каждой определенной угрозы, и

-    уровень полноты безопасности соответствующих данных и процесса.

В приложении С представлены указания по выбору известных в настоящее время методов защиты от угроз. При выборе защиты необходимо тщательно проанализировать вопросы эффективности, рассмотренные в этом приложении.

7.2.4    Требования к необходимым защитам должны быть включены в спецификацию требований к системе и в спецификацию требований безопасности системы для определенного приложения и должны сформировать исходную информацию для раздела «Обеспечение правильной работы» доказательства безопасности для этого приложения.

7.2.5    Все защиты должны быть реализованы согласно требованиям, определенным в МЭК 62425. Это подразумевает, что защиты:

-    будут реализованы полностью в связанном с безопасностью оборудовании передачи (с возможным исключением некоторой криптографической архитектуры, см. 7.3.9 и С.2);

-    будут функционально независимы от уровней, используемых в незащищенной системе передачи данных.

7.2.6    В последующих подразделах даны обязательные требования для конкретных защит. Они применяются, если эта конкретная защита используется.

7.2.7    Кроме описанных в настоящем стандарте, могут использоваться другие защиты, при условии. что анализ их эффективности противостоять угрозам включен в доказательство безопасности.

7.2.8    Доказательство функциональной и технической безопасности должно выполняться в соответствии с процедурой, определенной в МЭК 62425. включая:

-    создание полной модели ошибки;

-    формирование функциональной спецификации на основе анализа полной модели ошибки;

-    анализ каждой защиты, используемой в связанной с безопасностью коммуникации;

-    формирование реакции системы безопасности в случае обнаруженной ошибки коммуникации;

-    спецификация требований к полноте безопасности и распределение значений уровня полноты безопасности.

7.2.9    Подраздел 7.3 определяет исчерпывающий набор защит. Однако, для систем передачи Категории 1 достаточен следующий сокращенный набор, по-прежнему поддерживающий фундаментальные службы безопасности:

-    идентификаторы источника и/или адресата (в случае больше, чем одного отправителя, и/или больше, чем одного получателя);

-    порядковый номер и/или временные метки в объеме, необходимом приложению; и

• код защиты.

7.3 Конкретные защиты

7.3.1    Общие положения

Следующие пункты содержат краткое введение и требования для конкретных защит, которые являются эффективными при их отдельном применении или в комбинации, от одиночных или объединенных угроз. Должны быть применены все общие упомянутые выше требования.

Более подробные описания защит и отношения со всеми возможными угрозами даны в справочном приложении С.

7.3.2    Порядковый номер

7.3.2.1    Общие положения

Нумерация сообщений заключается в добавлении очередного номера (названного порядковым номером) к каждому сообщению, которыми обмениваются отправитель и получатель. Это позволяет получателю проверять последовательность сообщений, обеспеченных отправителем.

7.3.2.2    Требования

Доказательство безопасности должно демонстрировать соответствие процесса определенному уровню полноты безопасности и природу связанного с безопасностью процесса, учитывая:

-    длину порядкового номера;

ГОСТ Р МЭК 62280-2017

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................2

3    Термины, определения и сокращения...................................................2

3.1    Термины и определения ..........................................................2

3.2    Сокращения ....................................................................5

4    Эталонная архитектура...............................................................6

5    Угрозы для системы передачи данных ..................................................7

6    Классификация систем передачи данных................................................9

6.1    Общие положения ...............................................................9

6.2    Общие аспекты классификации ....................................................9

6.3    Критерии классификации систем передачи..........................................10

6.4    Системы передачи и угрозы ......................................................10

7    Требования к защите................................................................11

7.1    Общие положения ..............................................................11

7.2    Общие требования..............................................................11

7.3    Конкретные защиты .............................................................12

7.4    Применимость защит............................................................17

Приложение А (справочное) Угрозы в открытых системах передачи...........................19

Приложение В (справочное) Категории систем передачи....................................26

Приложение С (справочное) Руководство по применению средств защиты.....................28

Приложение D (справочное) Руководство по применению настоящего стандарта ...............40

Приложение Е (справочное) Связь с предыдущими стандартами.............................44

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации...........................47

Библиография.......................................................................48

Введение

Если связанная с безопасностью электронная система включает передачу информации между различными компонентами оборудования системы, то система передачи является неотъемлемой частью системы, связанной с безопасностью, и это означает, что сквозная передача безопасна в соответствии с МЭК 62425.

Система передачи, рассматриваемая в настоящем стандарте, которая обеспечивает передачу информации между различными компонентами оборудования системы, в общем случае не должна удовлетворять каким-либо особенным предварительным условиям. С точки зрения безопасности она может быть незащищенной или не полностью защищенной.

Настоящий стандарт рассматривает требования, которые должны быть учтены при передаче связанной с безопасностью информации в таких системах передачи.

Несмотря на то. что вопросы безотказности, готовности и ремонтопригодности (RAM) в настоящем стандарте не рассматриваются, рекомендуется иметь в виду, что они — основной аспект глобальной безопасности.

Требования безопасности зависят от характеристик системы передачи. Чтобы уменьшить сложность подхода при рассмотрении системы безопасности, системы передачи были разделены на следующие три категории.

Категория 1 состоит из систем, которые находятся под управлением разработчика и фиксированы в течение их срока службы.

Категория 2 состоит из систем, которые частично не известны или не фиксированы, однако несанкционированный доступ может быть исключен.

Категория 3 состоит из систем, которые не являются объектом управления разработчика и где несанкционированный доступ возможен.

Первая категория систем ранее была рассмотрена в МЭК 62280-1:2002. а остальные — в МЭК 62280-2:2002.

Если связанные с безопасностью коммуникационные системы, которые были реализованы в соответствии с указанными выше стандартами, обслуживаются и/или расширяются, то может быть использовано приложение Е для обеспечения согласованности (под)разделов настоящего стандарта с (лод)разделами указанных выше стандартов.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ЖЕЛЕЗНЫЕ ДОРОГИ

Системы связи, сигнализации и обработки данных. Требования к обеспечению безопасной передачи информации

RaiNvay applications Communication, signalling and processing systems Safety communication requirements

Дата введения — 2019—07—01

1 Область применения

Настоящий стандарт применим к связанным с безопасностью электронным системам, использующим для цифровой связи системы передачи, которые не были специально разработаны для связанных с безопасностью.

Система передачи может быть подключена как к связанному, так и к не связанному с безопасностью оборудованию.

Настоящий стандарт устанавливает основные требования, необходимые для обеспечения связанной с безопасностью передачи данных между связанным с безопасностью оборудованием, соединенным системой передачи.

Настоящий стандарт применим при составлении спецификации требований безопасности связанного с безопасностью оборудования, которое подключается посредством системы передачи, для достижения распределенных требований к полноте безопасности.

Требования безопасности, реализуемые в связанном с безопасностью оборудовании, обычно разрабатываются в соответствии с МЭК 62425. В определенных случаях эти требования могут быть реализованы в другом оборудовании системы передачи, поскольку для реализации распределяемых требований к полноте безопасности выполняется управление мерами по обеспечению безопасности.

Спецификация требований безопасности является исходным документом для доказательства безопасности связанной с безопасностью электронной системы, для которой требуемое подтверждение безопасности определено в МЭК 62425. Подтверждение менеджмента безопасности и менеджмента качества должно быть выполнено в соответствии с МЭК 62425. Настоящий стандарт рассматривает требования, связанные с передачей данных для подтверждения функциональной и технической безопасности.

Настоящий стандарт не определяет:

-    систему передачи.

-    оборудование, подсоединенное к системе передачи,

-    решения (например, для функциональной совместимости),

-    а также какой вид данных связан с безопасностью, а какой не связан.

Оборудование, связанное с безопасностью, соединенное с помощью открытой системы передачи, может подвергаться многим различным угрозам, связанным с ИТ-безопасностью. для предотвращения которых должна быть определена общая программа, охватывающая вопросы менеджмента, а также технические и эксплуатационные вопросы.

Издание официальное

Настоящий стандарт, однако, рассматривает некоторые вопросы безопасности ИТ-систем, но только преднамеренные атаки, реализуемые сообщениями к приложениям, связанным с безопасностью.

Настоящий стандарт не охватывает общие проблемы безопасности ИТ-систем и. в частности, он не рассматривает проблемы безопасности ИТ-систем. связанные с:

•    обеспечением конфиденциальности информации, связанной с безопасностью.

•    предотвращением перегрузки системы передачи.

2    Нормативные ссылки

В настоящем стандарте используются нормативные ссылки на следующие целые документы или на их части, незаменимые для применения данного документа. В случае датированных ссылок действует только цитируемое издание. Для недатированных ссылок действует самое позднее издание документа. на который производится ссылка (включая любые внесенные в него поправки).

IEC 62278 (all parts). Railway applications — Specification and demonstration of reliability, availability, maintainability and safety (RAMS) (Железные дороги. Технические условия и демонстрация надежности, эксплуатационной готовности, ремонтопригодности и безопасности (RAMS))

IEC 62425 Railway applications — Communication, signalling and processing systems — Safety related electronic systems for signaling (Железные дороги. Системы связи, сигнализации и обработки данных. Связанные с безопасностью электронные системы сигнализации)

3    Термины, определения и сокращения

3.1    Термины и определения

В настоящем стандарте используются следующие термины и определения.

3.1.1    абсолютная временная метка (absolute time stamp): Временная метка, связанная с глобальным временем, которое является общим для группы объектов, использующих систему передачи.

3.1.2    защита доступа (access protection): Процессы, разработанные для предотвращения несанкционированного доступа при чтении или изменении информации либо в системах, связанных с безопасностью. либо в системе передачи.

3.1.3    дополнительные данные (additional data): Данные, которые не используются в процессах конечного пользователя, но используются для целей управления, готовности и безопасности.

3.1.4    подлинное сообщение (authentic message): Сообщение, о котором известно, что содержащаяся в нем информация сформирована в известном источнике.

3.1.5    подлинность (authenticity): Свойство, характеризующее действительность информации и указывающее на то. что источник ее формирования известен.

3.1.6    закрытая система передачи (closed transmission system): Связывающая фиксированное количество или фиксированное максимальное количество участников система передачи с известными и фиксированными свойствами, в которой риск несанкционированного доступа считается незначитепь-ным.

3.1.7    связь (communication): Передача информации между приложениями.

3.1.8    конфиденциальность (confidentiality): Свойство, при котором информация недоступна или закрыта для неавторизованных лиц. субъектов или процессов.

3.1.9    поврежденное сообщение (corrupted message): Сообщение, содержащее ошибки, из-за которого происходит повреждение данных.

3.1.10    криптографические методы (cryptographic techniques): Метод вычисление выходных данных по некоторому алгоритму, используя входные данные и ключ в качестве параметра.

Примечание — Зная выходные данные, невозможно в течение разумного времени вычислить входные данные без знания ключа Также невозможно в течение разумного времени получить ключ из выходных данных, даже если входные данные известны

3.1.11    циклическая избыточная проверка (cyclic redundancy check): Циклический процесс проверки, используемый для защиты сообщения от влияния повреждения данных.

3.1.12    данные (data): Часть сообщения, которая представпяет некоторую информацию.

ГОСТ Р МЭК 62280-2017

Примечание — См также определения 3.1 64 — пользовательские данные, 3.1.3 — дополнительные данные и 3 1 42 — избыточные данные

3.1.13    повреждение данных (data corruption): Изменение данных.

3.1.14    защита (defence): Мера, включенная в проект связанной с безопасностью системы связи, для противодействия определенным угрозам.

3.1.15    задержанное сообщение (delayed message): Тип ошибки сообщения, при которой сообщение получено на один период позже, чем было предназначено.

3.1.16    удаленное сообщение (deleted message): Тип ошибки сообщения, при которой сообщение удалено из потока сообщения.

3.1.17    двойная временная метка (double time stamp): Случай, когда два объекта обмениваются и сравнивают свои временные метки. В этом случае временные метки в объектах независимы друг от друга.

3.1.18    ошибка (error): Отклонение от намеченного проекта, которое может привести к непреднамеренному поведению системы или отказу.

3.1.19    отказ (failure): Отклонение от установленного функционирования системы.

Примечание — Отказ является следствием сбоя или ошибки в системе.

3.1.20    сбой (fault): Аварийное состояние, которое может привести к ошибке в системе.

Примечание — Сбой может быть случайным или систематическим

3.1.21    сообщение обратной связи (feedback message): Ответ от получателя к отправителю, через обратный канал.

3.1.22    хакер (hacker): Лицо, пытающееся преднамеренно обойти защиту доступа.

3.1.23    опасность (hazard): Условие, которое может привести к несчастному случаю.

3.1.24    анализ опасности (hazard analysis): Процесс идентификации опасностей и анализа их причин. а также формирование требований, ограничивающих вероятность и последствия опасностей до приемлемого уровня.

3.1.25    неявные данные (implicit data): Дополнительные данные, которые не передаются, но известны отправителю и получателю.

3.1.26    информация (information): Представление состояния или события процесса в форме «понятной» процессу.

3.1.27    вставленное сообщение (inserted message): Тип ошибки сообщения, при которой в поток сообщения вставляется дополнительное сообщение.

3.1.28    целостность (integrity): Состояние, в котором информация полна и не изменяется.

3.1.29    код обнаружения манипуляций (manipulation detection code): Функция от полного сообщения без секретного ключа.

Примечание — В отличие от кода аутентификации сообщений (MAC) в код обнаружения манипуляций (MDC) не включается никакой секретный ключ Полное сообщение включает также любые неявные данные сообщения, которые не отправляются в систему передачи MDC часто основано на хеш-функции

3.1.30    (подмененное) сообщение, выдающее себя за другое сообщение (masqueraded message): Тип вставленного сообщения, в котором создано недостоверное сообщение, которое кажется достоверным.

3.1.31    сообщение (message): Информация, которая передана от отправителя (источника данных) к одному или более получателям (приемнику данных).

3.1.32    код аутентификации сообщений (message authentication code): Криптографическая функция полного сообщения и секретного или открытого ключа.

Примечание — Полное сообщение включает также любые неявные данные сообщения, которые не отправляются в систему передачи

3.1.33    шифрование сообщения (message enciphering): Преобразование битов в сообщении с помощью криптографического метода, в соответствии с алгоритмом, которым управляют ключи, чтобы существенно затруднить случайное чтение данных. Не обеспечивает защиту от повреждения данных.

3.1 34 ошибки, связанные с сообщением (message errors): Набор всех возможных видов отказов сообщения, которые могут привести к потенциально опасным ситуациям, или к сокращению готовности системы. Каждый тип ошибки может иметь много причин.

3

3.1.35    целостность сообщения (message integrity): Сообщение, в котором информация полна и не изменяется.

3.1.36    поток сообщений (message stream): Упорядоченное множество сообщений.

3.1.37    не криптографический код защиты (non-cryptographic safety code): Избыточные данные на основе не криптографических функций, включенные в связанное с безопасностью сообщение и обеспечивающие обнаружение поврежденных данных с помощью связанной с безопасностью функции передачи.

3.1.38    открытая система передачи (open transmission system): Система передачи с неизвестным числом участников, с неизвестными, переменными и не доверенными свойствами, используемая для неизвестных телекоммуникационных услуг и обладающая возможностью несанкционированного доступа.

3.1.39    сеть общего пользования (public network): Сеть с неизвестными пользователями, в частности. не находится под управлением железных дорог.

3.1.40    случайный отказ (random failure): Отказ, который происходит в произвольный момент времени.

3.1.41    проверка на избыточность (redundancy check): Тип проверки, которая выявляет наличие предопределенной связи мехеду избыточными данными и данными пользователя в сообщении, чтобы доказать целостность сообщения.

3.1.42    избыточные данные (redundant data): Дополнительные данные, сформированные связанной с безопасностью функцией передачи для данных пользователя.

3.1.43    относительная метка времени (relative time stamp): Метка времени, на которую ссылаются локальные часы объекта. В общем случае не существует никакой связи с часами других объектов.

3.1    44 повторное сообщение (repeated message): Тип ошибки сообщения, при которой одно сообщение получено несколько раз.

3.1.45 переупорядоченное сообщение (re-sequenced message): Тип ошибки сообщения, при которой изменен порядок сообщений в потоке сообщений.

3.1    46 безопасное состояние с пониженной скоростью передачи данных (safe fall back state): Безопасное состояние связанного с безопасностью оборудования или системы, близкое к безотказному состоянию, но им не являющееся, которое достигается в результате реакции системы безопасности, приводящей к снижению функциональности связанных с безопасностью функций, а также возможно не связанных с безопасностью функций.

3.1    47 безопасность (safety): Отсутствие неприемлемых уровней риска.

3.1.48 доказательство безопасности (safety case): Документированное подтверждение того, что изделие (например, система/подсистема/оборудование) соответствует заданным требованиям безопасности на этапах жизненного цикла.

3.1    49 код защиты (safety code): Избыточные данные, включенные в связанное с безопасностью сообщение, обеспечивающие выявление поврежденных данных связанной с безопасностью функцией передачи.

3.1.50    уровень полноты безопасности (safety integrity level): Число, которое указывает требуемую степень достоверности, что система будет выполнять свои заданные функции безопасности по отношению к систематическим отказам.

3.1.51    реакция безопасности (safety reaction): Связанная с безопасностью защита, реализуемая процессом безопасности в ответ на событие (такое, как отказ системы передачи), которое может привести к нарушению безопасного состояния оборудования.

3.1.52    связанный с безопасностью (safety related): Отвечающий за безопасность.

3.1.53    связанная с безопасностью функция передачи (safety related transmission function): Функция связанного с безопасностью оборудования, гарантирующая достоверность, целостность, актуальность и последовательность данных.

3.1    54 порядковый номер (sequence number): Дополнительное поле данных, содержащее число, которое изменяется предопределенным способом от сообщения к сообщению.

3.1.55 идентификатор источника и идентификатор адресата (source and destination identifier): Идентификатор, который присваивается каждому объекту. Этот идентификатор может быть именем, числом или произвольной комбинацией двоичных символов. Этот идентификатор будет использоваться для связанной с безопасностью передачи. Обычно идентификатор добавляется к данным пользователя.

4

ГОСТ Р МЭК 62280-2017

3.1.56    систематический отказ (systematic failure): Отказ, который неоднократно повторяется при некоторой опредепенной комбинации входов или для некоторых определенных состояний окружающей среды.

3.1.57    угроза (threat): Потенциальное нарушение безопасности.

3.1.58    временная метка (time stamp): Информация о времени передачи, присоединенная к сообщению отправителем.

3.1.59    актуальность (timeliness): Состояние, в котором информация доступна в нужное время в соответствии с требованиями.

3.1.60    код передачи (transmission code): Дополнительная информация, которая добавляется к связанному и не связанному с безопасностью сообщению незащищенной системы передачи и гарантирует целостность сообщения во время передачи.

3.1.61    система передачи (transmission system): Служба, используемая приложением для передачи потоков сообщений между несколькими участниками, которые могут быть источниками или приемниками информации.

3.1.62    доверенный (trusted): Обладающий свойствами, которые используются в качестве доказательства при обеспечении демонстрации безопасности.

3.1.63    несанкционированный доступ (unauthorised access): Ситуация, в которой к информации пользователя или к информации в системе передачи имеют доступ и/или ее изменяют лица, не наделенные полномочиями, или хакеры.

3.1    64 данные пользователя (user data): Данные, которые представляют состояния или события процесса пользователя без любых дополнительных данных. В случае передачи между связанным с безопасностью оборудованием данные пользователя содержат связанные с безопасностью данные.

3.1.65 подтвержденное сообщение (valid message): Сообщения, форма которых во всех отношениях удовлетворяет заданным требованиям пользователя.

3.1    66 достоверность (validity): Состояние, которое во всех отношениях удовлетворяет заданным требованиям пользователя.

ВСН — ВМЕ — BSC — CAN — CRC — ЕС — ЕСВ — EMI — FTA — GPRS — GSM-R — НЕ — HW — IT — LAN — MAC — MDC — MD4. MD5 — MH — MTBF — MVB — PROFIBUS —

3.2    Сокращения

код Bose. Ray-Chaudhuri, Hocquenghem; основные ошибки сообщений;

симметричный канал для передачи двоичных данных;

локальная сеть контроллеров:

циклическая проверка четности с избыточностью;

Европейское сообщество; метод прямого шифрования; электромагнитные помехи; анализ дерева отказов;

система пакетной радиосвязи общего пользования;

глобальная система мобильной связи на железной дороге;

опасные события;

аппаратные средства;

информационные технологии;

локальная вычислительная сеть;

код аутентификации сообщений;

код обнаружения манипуляций:

алгоритмы представления сообщения в краткой форме; основная опасность;

средняя наработка на отказ (между отказами); универсальная шина подвижного транспортного средства; высокоскоростная шина цифрового технологического оборудования;

5

QSC — q-арный симметричный канал;

RAMS — безотказность, готовность, ремонтопригодность и безопасность;

SIL — уровень полноты безопасности;

SR — связанный с безопасностью;

SRS — спецификации требований безопасности;

SW — программное обеспечение;

ТХ — передача (данных);

UTC — всемирное координированное время;

WAN — глобальная сеть передачи данных;

Wi-Fi — торговая марка для сетей на базе IEEE 802.11.

4 Эталонная архитектура

Настоящий стандарт определяет требования безопасности для безопасной коммуникации между связанным с безопасностью оборудованием через систему передачи, которая может быть либо закрытой. либо открытой. В обоих случаях к системе передачи может быть подсоединено как связанное с безопасностью, так и не связанное с безопасностью оборудование. Настоящий раздел описывает возможные конфигурации связанных с безопасностью коммуникаций в системах передачи, включая определение передаваемых функциональных блоков. Далее будут определены конкретные требования. которым должны удовлетворять эти блоки.

Общее представление (для открытой и закрытой системы передачи) основной архитектуры показано на рисунке 1. где все коммуникационные элементы соединены согласно информационному потоку обмена связанной с безопасностью информацией между связанным с безопасностью оборудованием. На рисунке 1 также показан не связанный с безопасностью интерфейс, который не всегда присутствует. Обычно он может быть использован для диагностических сообщений, направляемых в центр техобслуживания.

Помимо источника и пункта назначения связанной с безопасностью коммуникации эталонная архитектура представляет связанную с безопасностью систему коммуникации, которая может быть разделена на:

-    связанные с безопасностью функции передачи, выполняемые на связанном с безопасностью оборудовании. Эти функции гарантируют достоверность, целостность, актуальность и последовательность данных.

-    связанные с безопасностью криптографические методы, которые защищают связанное с безопасностью сообщение. Они могут быть реализованы или в связанном с безопасностью оборудовании, или вне этого оборудования, но должны быть проверены методами безопасности. Эти методы защищают связанное с безопасностью сообщение в системе передачи Категории 3 и не используются в случае системы передачи Категорий 1 или 2,

-    не связанные с безопасностью, открытые или закрытые системы передачи, которые могут сами включать в себя функции защиты передачи и/или функции защиты доступа.

Характеристики закрытых систем передачи (Категория 1) следующие:

-    число элементов, подсоединенного оборудования (или связанных с безопасностью, или не связанных) к системе передачи, известно и фиксировано;

-    риск несанкционированного доступа считается незначительным;

-    физические характеристики системы передачи (например, среды передачи, окружающая среда, предусмотренные в проекте, и т. д.) фиксированы и неизменны в течение жизненного цикла системы.

Открытая система передачи (Категория 2 и/или 3) может иметь некоторые или все следующие характеристики:

-    элементы, которые читают, хранят, обрабатывают или ретранслируют данные, созданные и представленные пользователями системы передачи в соответствии с программой, не известны пользователю. Число пользователей обычно также неизвестно, и с открытой системой передачи может быть соединено связанное и не связанное с безопасностью оборудование и оборудование, которое не связано с железнодорожными применениями;

6