ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ИЗМЕРЕНИЕ, УПРАВЛЕНИЕ И АВТОМАТИЗАЦИЯ ПРОМЫШЛЕННОГО ПРОЦЕССА

Основные принципы обеспечения функциональной безопасности и защиты информации

(IEC TR 63069:2019, ЮТ)

Издание официальное

Москва Стандартинформ 2021

Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» совместно с Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. No 396-ст

4    Настоящий стандарт идентичен международному документу IEC TR 63069:2019 «Измерение, управление и автоматизация промышленного процесса. Основные принципы обеспечения функциональной безопасности и защиты информации» (IEC TR 63069:2019 «Industrial-process measurement, control and automation — Framework for functional safety and security», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов и документов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© IEC. 2019 — Все права сохраняются © Стандартинформ. оформление. 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии И

3.1.31    инцидент информационной безопасности (security incident): Неблагоприятное событие в системе или сети, а также угроза такого события.

Примечание — Иногда используется термин «несостоявшийся инцидент» для описания события, которое могло обернуться инцидентом при несколько других обстоятельствах.

(IEC/TS 62443-1-1:2009, пункт 3.2.106]

3.1.32    уровень информационной безопасности (security level: SL): Степень необходимой эффективности контрмер и внутренне присущих свойств информационной безопасности устройств и систем для зоны или тракта, основанная на оценке риска для данных зоны или тракта.

[IEC/TS 62443-1-1:2009, пункт 3.2.108, модифицировано — добавлено сокращение SL]

3.1.33    патч информационной безопасности (security patch): Программная корректировка, которая связана с информационной безопасностью компонента программного обеспечения.

Примечание 1 — Для целей настоящего определения микропрограммное обеспечение считается программным обеспечением.

Примечание 2 — Программные корректировки могут устранить известные или потенциальные уязвимости или просто повысить информационную безопасность программного компонента, включая его безотказное функционирование.

[МЭК 62443-2-4:2015, пункт 3.1.17]

3.1.34    периметр информационной безопасности (security perimeter): Граница (логическая или физическая) домена, в пределах которой применимы политика безопасности или архитектура безопасности. т. е. граница области, в которой сервисы информационной безопасности защищают ресурсы системы.

[IEC/TS 62443-1-1:2009, пункт 3.2.110]

3.1.35    зона информационной безопасности (security zone): Совокупность логических или физических объектов, к которым предъявляются общие требования информационной безопасности.

Примечание 1 — Термин «зона», употребляемый в настоящем стандарте, следует всегда относить к зоне информационной безопасности.

Примечание 2 — Зона имеет четкую границу с другими зонами. Политика информационной безопасности зоны обычно определяется комбинацией механизмов как на периферии зоны, так и внутри нее. Зоны могут иметь иерархическую структуру в том смысле, что могут быть образованы совокупностью подзон.

[IEC/TS 62443-1-1:2009, пункт 3.2.117]

3.1.36    стойкость к систематическим отказам (systematic capability): Мера уверенности (выраженная в диапазоне ССО 1 — ССО 4) в том. что систематическая полнота безопасности элемента соответствует требованиям заданного значения УПБ для определенной функции безопасности элемента, если этот элемент применен в соответствии с указаниями, определенными для этого элемента в соответствующем руководстве по безопасности.

Примечание 1 — Стойкость к систематическим отказам определяется с учетом требований по предотвращению систематических отказов и управлению ими (см. МЭК 61508-2 и МЭК 61508-3).

Примечание 2 — Механизм систематического отказа зависит от природы элемента. Например, для элемента, представляющего программное обеспечение, должны быть рассмотрены только механизмы ошибок в программах. Для элемента, включающего в себя аппаратное средство и программное обеспечение, должны быть рассмотрены механизмы систематических отказов как для аппаратных средств, так и для программного обеспечения.

Примечание 3 — Стойкость к систематическим отказам элемента ССО N при выполнении определенной функции безопасности означает, что элемент соответствует УПБ N для систематических отказов, если этот элемент применен в соответствии с указаниями, определенными для этого элемента в соответствующем руководстве по безопасности.

[МЭК 61508-4:2010, пункт 3.5.9]

3.1.37    угроза (threat): Потенциальная возможность нарушения информационной безопасности при наличии обстоятельства, средства, процесса или события, способных нарушить информационную безопасность и нанести ущерб.

[IEC/TS 62443-1-1:2009, пункт 3.2.125]

3.1.38    фактор угрозы (threat agent): Причинный фактор угрожающего действия.

[IEC/TS 62443-1-1:2009, пункт 3.2.127]

3.1.39 уязвимость (vulnerability): Дефект или несовершенство структуры или способа реализации системы, а также ее функционирования и управления, как благоприятная возможность для нарушения целостности системы или политики ее информационной безопасности.

[IEC/TS 62443-1-1:2009. пункт 3.2.135]

3.2    Сокращения

BPCS — базовая система управления процессами (Basic Process Control System);

DCS — распределенная система управления (Distributed Control System);

DoS — отказ в обслуживании (Denial of Service);

ЕУЕ/РЕ — электрический/электронный/программируемый электронный (Electrical/Electronic/ Programmable Electronic);

EUC — управляемое оборудование (Equipment Under Control);

HFT — отказоустойчивость аппаратных средств (Hardware Fault Tolerance);

IACS — система промышленной автоматики и контроля (Industnal Automation and Control Systems);

PLC — программируемый логический контроллер (Programmable Logic Controller);

RTU — пульт дистанционного управления (Remote Terminal Unit):

SC — стойкость к систематическим отказам (Systematic Capability);

SCADA — система диспетчерского контроля и сбора данных (Supervisory Control And Data Acquisition);

SIF — функция безопасности приборной системы безопасности (Safety Instrumented Function);

SIL— уровень полноты безопасности (Safety Integrity Level),

SIS — приборная система безопасности (Safety Instrumented System):

SL — уровень информационной безопасности (Security Level).

3.3    Объяснение общих терминов с различными определениями

Некоторые термины имеют различные определения в комплексе стандартов МЭК 61508 и комплексе стандартов МЭК 62443. Пояснения приведены в таблице 1.

В настоящем стандарте уточняется смысл каждого из этих терминов с указанием их предполагаемого контекста.

Идентификатор предметной области «(функциональная безопасность)», следующий за термином. указывает на то, что значение этого термина определяется в соответствии с МЭК 61508 (все части). Аналогично идентификатор предметной области «(информационная безопасность)» указывает, что его значение определяется в соответствии с МЭК 62443 (все части).

Примечание — Если термин, который может иметь идентификатор предметной области, используется без идентификатора предметной области, то термин рассматривается как общий термин.

В таблице 1 приводится дополнительная информация о существующих терминах и определениях в МЭК 61508 (все части) и МЭК 62443 (все части).

Примечание — Таблица 1 не содержит примечаний к определениям.

Таблица 1 — Термины с несколькими определениями

Термин Определение из МЭК 61508 Определение из МЭК 62443 Пояснения Безопас ность Отсутствие неприемлемого риска [МЭК 61508-4:2010. 3.1.11] Отсутствие недопустимого риска [IEC/TS 62443-1-1:2009. 3.2.94] Оба определения ссылаются на риск (безопасность — safety). Примечание — Под безопасностью (safety) понимают функциональную безопасность только в комплексе стандартов МЭК 61508. но она может быть воспринята иначе 8 рамках других стандартов (например. электробезопас-ность или механическая безопасность) Защита Не определено a)    Меры, принимаемые для защиты системы; b)    Состояние системы, которое является результатом разработки и проведения мер защиты системы; c)    Состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери; d)    Возможность компьютерной системы гарантировать в достаточной степени, что не-авторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем. ни получать доступ к функциям системы, но в то же время гарантировать. что это возможно для авторизованных лиц и систем; а) Предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля. [IEC/TS 62443-1-1:2009. 3.2.99] В IEC Guide 120 дается компактное и полезное определение: условие, которое возникает в результате установления и поддержания защитных мер. обеспечивающих состояние неприкосновенности от враждебных действий или влияний. [IEC Guide 120:2008. 3.13] Риск Сочетание вероятности события причинения вреда и тяжести этого вреда. [МЭК 61508-4:2010. 3.1.6] Ожидание ущерба, выраженное как вероятность того, что определенный источник угрозы воспользуется определенной уязвимостью системы и это приведет к определенным последствиям. [IEC/TS 62443-1-1:2009. 3.2.8] Существующее различие в определениях обусловлено различиями между функциональной безопасностью и информационной безопасностью с точки зрения последствий. Если последствия в случав функциональной безопасности связаны с ущербом, то последствия. связанные с информационной безопасностью, могут быть неизвестны. Риск (функциональная безопасность): - причины — опасности;

Продолжение таблицы 1

Термин Определение из МЭК 61508 Определение из МЭК 62443 Пояснения Риск Сочетание вероятности события причинения вреда и тяжести этого вреда. [МЭК 61508-4:2010. 3.1.61 Ожидание ущерба, выраженное как вероятность того, что определенный источник угрозы воспользуется определенной уязвимостью системы и это приведет к определенным последствиям. [IEC/TS 62443-1-1:2009. 3.2.8) -    больше внимания уделяется снижению вреда. Риск (информационная безопасность): -    причины — угрозы/несанкци-онированный доступ. -    больше внимания уделяется влиянию на бизнес, финансы и окружающую среду Функция безопас ности Функция, реализуемая Э/Э/ПЭ системой, связанной с безопасностью. или другими мерами по снижению риска, предназначенная для достижения или поддержания безопасного состояния EUC по отношению к конкретному опасному событию (см. 3.4.1 и 3.4.2). [МЭК 61508-4:2010. 3.5.11 Не определено Термин необходим только в предметной области функциональной безопасности Система, связанная с безопасностью Специальная система. которая: -    реализует необходимые функции безопасности, требующиеся для достижения и поддержки безопасного состояния EUC. и -    предназначена для достижения своими средствами или в сочетании с другими Э/Э/ ПЭ системами, связанными с безопасностью, и другими средствами снижения риска необходимой полноты безопасности для требуемых функций безопасности. [МЭК 61508-4:2010. 3.4.1J Не определено См. приборная система безопасности (ПСБ) для МЭК 62443 (все части)

Продолжение таблицы 1

Териин Определение из мэквт&оа Определение из МЭК 62443 Пояснения Жиз ненно важная функция Не определено Функция или способность, которая требуется для поддержания охраны труда, безопасности. охраны окружающей среды, а также доступности управляемого оборудования. [МЭК 62443-3-3:2013. 3.1.22] Дополнительные сведения см. в 4.2 Базовая система управления процессами (BPCS) Не определено Система, которая реагирует на входные сигналы от процесса, связанного с ним оборудования. других программируемых систем и/ипи оператора и генерирует выходные сигналы, приводящие к тому, что процесс и связанное с ним оборудование функционируют требуемым образом, но не выполняют каких-либо функций безопасности приборной системы безопасности (SIF). [МЭК 62443-2-4:2015. 3.1.14] Дополнительные сведения см. в 4.2 При борная система безопас ности Не определено Система, используемая для выполнения функции безопасности. [МЭК 62443-2-4:2015. 3.1.14] Система, используемая для выполнения одной или нескольких функций, связанных с безопасностью. [МЭК 62443-3-3:2015. 3.1.37] Дополнительные сведения см. в 4.2 Уязви мость Не определено Дефект или несовершенство структуры или способа реализации системы, а также ее функционирования и управления, как благоприятная возможность для нарушения целостности системы или политики ее информационной безопасности. [IEC/TS 62443-1-1:2009. 3.2.135] Примечание — Политики информационной безопасности обычно включают политики защиты конфиденциальности, целостности и доступности системных ресурсов Уязвимость нельзя сравнивать с ошибкой, сбоем или отказом, поскольку они различаются способом влияния. Дополнительную информацию см. в разделе 5 Системы промышленной автоматики и контроля (IACS) Не определено Группа персонала, а также совокупность аппаратных средств и программного обеспечения. которые могут регулировать или воздействовать иным образом на безопасное, защищенное и безотказное функционирование производственного процесса. Примечание — Такие системы могут включать в себя, но не ограничиваются этим: Не определено в комплексе МЭК 61508, в котором дано общее представление для всех связанных с безопасностью функций, реализованных с использованием Э/Э/ПЭ систем

Окончание таблицы 1

Термин Определение из МЭК 61508 Определение из МЭК 62443 Пояснения Системы промышленной автоматики и контроля (IACS) Не определено -    промышленные системы управления, включающие в себя распределенные системы управления (DCS), программируемые логические контроллеры (PLC). пульты дистанционного управления (RTU), интеллектуальные электронные устройства, системы диспетчерского контроля и сбора данных (SCADA). объединенные системы электронного детектирования и контроля, а также системы мониторинга и диагностики. (В данном контексте системы управления промессами наделены базовыми функциями системы управления процессами и приборной системы безопасности (SIS), которые могут быть или физически отделены друг от друга, или объединены друг с другом); -    ассоциированные информационные системы. например системы упреждающего или многосвязного регулирования, а также сетевые оптимизаторы, специальные мониторы к оборудованию, графические интерфейсы, архиваторы, автоматизированные системы управления производственными процессами и информационно-управляющие системы предприятия; -    ассоциированные внутренние, пользовательские, сетевые или машинные интерфейсы. используемые для обеспечения управления, безопасности и функциональности производственных операций в ходе непрерывных, периодических, дискретных и других процессов. [IEOTS 62443-1-1:2009. 3.2.57] Не определено в комплексе МЭК 61508. в котором дано общее представление для всех связанных с безопасностью функций, реализованных с использованием Э/Э/ПЭ систем Инци дент Не определено Событие, которое не является частью запланированной работы системы или услуги и приводит или может привести к сбою, приостановке или снижению качества услуг, предоставляемых системой. [МЭК 62443-2-1:2010. 3.1.18] Вред Физическое повреждение или ущерб, причиняемый здоровью людей, имуществу или окружающей среде. [МЭК 61508-4:2010. 3.1.1J Не определено Определение вреда также вписывается в предметную область информационной безопасности и может быть определено аналогично

4 Контекст информационной безопасности, связанный с функциональной безопасностью

4.1 Описание функций

В МЭК 61508 (все части) основное внимание уделяется реализации функций безопасности, а описания архитектуры в большей степени связаны с такими характеристиками, как отказоустойчивость аппаратных средств (HFT) и стойкость к систематическим отказам. Однако предварительно определенной архитектуры, обшей для всех предполагаемых систем, не существует. Вместо этого в МЭК 61508 (все части) определяются критерии полноты безопасности, такие как уровень полноты безопасности (SIL) и стойкость к систематическим отказам (SC), что позволяет определить показатель уровня функциональной безопасности, специально разработанный для IACS, и соответствующие характеристики, достигающие достаточно низкой интенсивности случайных отказов, а также сформировать адекватный набор мер для снижения систематических отказов. В некоторых частях комплекса МЭК 62443 рассматривается структура системы IACS. состоящая из базовой системы управления технологическим процессом и приборной системы безопасности, а также описываются характеристики их установки для перерабатывающего производства. Однако окончательное описание архитектуры и его содержание предполагают некоторую реализацию, которая не обязательно удовлетворяет требованиям информационной безопасности или функциональной безопасности. На рисунке 1 представлен обзор функций IACS. включающий функции безопасности, жизненно важные функции, базовые функции управления и дополнительные функции IACS.

Жизненно важные функции включают также функции безопасности IACS. Жизненно важные функции. характеристики которых определяются в результате оценки угроз-рисков (информационная безопасность). могут быть реализованы в специально разработанной системе, связанной с безопасностью, а также в системе, которая не является системой, связанной с безопасностью.

4.2 Защищенная среда

В настоящем стандарте предложена идея защищенной среды, чтобы правильно понять представленную на рисунке 2 общую область для предметных областей функциональной безопасности и информационной безопасности.

Защищенная среда, показанная на рисунке 3. включает в себя набор мер защиты информации, необходимых для обеспечения эффективной защиты среды при выполнении функций безопасности системой, связанной с безопасностью. Однако эти меры защиты не ограничиваются лишь защитой функций безопасности.

Защищенная среда включает (но этим не ограничивается) следующие меры защиты информации;

-    все меры защиты информации, защищающие периметры защищенной среды;

-    все меры защиты информации, касающиеся взаимодействия между различными функциональными элементами в защищенной среде:

-    все меры защиты информации, применяемые в функциональных элементах в защищенной среде.

Примечание 1 — На практике меры защиты информации могут охватывать не только функции безопасности.

Примечание 2 — Защищенная среда отличается от «зоны», описанной в комплексе МЭК 62443.

Примечание 3 — Защищенная среда может включать стратегию «эшелонированной защиты» (см. 5.4 IEC/TS 62443-1-1:2009) для достижения достаточной устойчивости приложения от внешних воздействий.

Меры защиты информации в защищенной среде могут быть интегрированы в любой функциональный элемент технической системы, включая функциональный элемент системы, связанной с безопасностью.

Рисунок 2 — Предметная область функциональной безопасности и предметная область информационной безопасности

Структуры, описанные в МЭК 62443 (все части), включают в себя концепцию зоны, предполагающую наличие строго определенных периметров защиты для каждой зоны, а также наличие выделенных соединений между зонами, называемых трактами. В качестве мер защиты информации для защищенной среды могут быть определены одна или несколько зон или трактов.

Для предотвращения влияющих на функции безопасности и использующих уязвимости угроз от несанкционированного доступа или ошибок человека защищенную среду необходимо сформировать и поддерживать.

На рисунке 3 показаны взаимосвязи между защищенной средой, средой эксплуатации системой, связанной с безопасностью.

Уязвимости не следует понимать как ошибки или сбои технической системы в предметной области функциональной безопасности, поскольку в техническую систему уязвимость может быть внесена нарушителем и может привести к отказам.

Пример — Нарушитель может использовать методы социальной инженерии, используя уязвимости процессов или людей.

Примечание — Управление уязвимостями с участием поставщика может быть мерой защиты информации. определяемой в результате оценки угроз-рисков (информационная безопасность).

5 Основополагающие принципы

В настоящем разделе представлены наиболее общие рекомендации, которые в настоящем стандарте называются основополагающими принципами, касающиеся мер обеспечения защиты информации для функций безопасности, выполняемых IACS.

Основополагающий принцип 1. Защита информации в реализациях систем, связанных с безопасностью.

Меры защиты информации должны эффективно предотвращать или защищать от негативного влияния угроз системы, связанные с безопасностью, и реализуемые ими функции безопасности. Оценки функций безопасности должны учитывать допущение о наличии эффективных мер (защиты информации).

Примеры

1    Предполагается, что меры защиты информации предотвращают несанкционированную модификацию программного обеспечения, связанного с безопасностью, выполняемую, например, посредством удаленного доступа.

2    Расследование инцидентов информационной безопасности в отношении программного обе-спечения/кода. связанного с функциональной безопасностью, или действий, связанных с управлением технологическими процессами, позволяет предотвращать непреднамеренное внедрение вредоносного программного обеспечения в критический код системы, связанной с безопасностью.

Основополагающий принцип 2. Защита реализаций информационной безопасности.

Меры обеспечения функциональной безопасности не должны оказывать негативное влияние на эффективность реализации информационной безопасности.

Примечание — Человеческий фактор учитывается как в предметной области функциональной безопасности. так и в предметной области информационной безопасности.

Примеры

1    Средствам обеспечения функциональной безопасности запрещено добавлять функционал, например удаленный доступ к системам, если для этого функционала не была выполнена оценка информационной безопасности.

2    Функции безопасности могут быть более чувствительными к DoS атакам (отказ в обслуживании) и, следовательно, являются возможной целью негативного влияния на доступность системы.

Основополагающий принцип 3. Совместимость реализаций.

Средства реализации защиты информации и средства реализации системы, связанной с безопасностью. не должны оказывать негативного влияния на функционирование друг друга.

Примеры

1    На скорость передачи данных в системе влияют меры защиты информации, что оказывает негативное влияние на временные характеристики функции безопасности.

2    Криптографические методы, используемые для обеспечения информационной безопасности, не должны оказывать негативного влияния на меры защиты канала связи, используемого системой, связанной с безопасностью.

Если рассматривать ослабление рисков, реализуемое системами функциональной безопасности и информационной безопасности, то заранее определенного предпочтения между ними не существует.

6 Рекомендации к жизненному циклу IACS при совместном проектировании

6.1 Общие положения

Обмен информацией и взаимодействие между специалистами из предметных областей функциональной и информационной безопасности должны осуществляться на протяжении всего жизненного цикла IACS, с тем чтобы обеспечить соответствующую защищенную среду для выполнения жизненно важных функций, включая функции безопасности.

В кратком изложении в настоящем разделе рекомендуются следующие действия:

1)    разработка в областях применения функциональной и информационной безопасности должна осуществляться параллельно, и при необходимости информация должна использоваться заинтересованными сторонами совместно;

2)    разрешение конфликтов должно основываться на консенсусе, сформированном заинтересованными сторонами в обеих областях;

3)    перед установкой и вводом в эксплуатацию заинтересованные стороны из обеих областей должны обеспечить совместимость мер защиты информации с процедурами эксплуатации и обслуживания реализованной системы, связанной с безопасностью.

Реализация методологии функциональной безопасности обеспечивает корректное функционирование систем, связанных с безопасностью. Для систем, в которых безопасность зависит от систем, связанных с безопасностью, меры защиты информации вносят свой вклад в выполнение функций безопасности в системах, связанных с безопасностью. Для реализации этого вклада с помощью набора мер защиты информации должна быть создана защищенная среда. Поэтому рекомендуется взаимодействие между экспертами области функциональной безопасности и области информационной безопасности. Конкретная реализация взаимодействия зависит от типа приложения и/или политики организации. Обзор возможных взаимодействий представлен на рисунке 4.

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Термины, определения и сокращения....................................................1

3.1    Термины и определения, используемые в настоящем стандарте.......................1

3.2    Сокращения ..................................................................8

3.3    Объяснение общих терминов с различными определениями ..........................8

4    Контекст информационной безопасности, связанный с функциональной безопасностью.........13

4.1    Описание функций............................................................13

4.2    Защищенная среда............................................................13

5    Основополагающие принципы.........................................................15

6    Рекомендации к жизненному циклу IACS при совместном проектировании ....................16

6.1    Общие положения ............................................................16

6.2    Вопросы управления защитой информации, связанные с обеспечением функциональной

безопасности.................................................................19

7    Рекомендации по оценке рисков .......................................................19

7.1    Оценка рисков на более высоком уровне .........................................19

7.2    Анализ для достижения компромисса.............................................21

7.3    Вопросы оценки рисков-угроз (информационная безопасность).......................21

7.4    Неправомерные и несанкционированные действия.................................22

8    Готовность к реагированию на инциденты и их обработка ......................... 22

8.1    Общие положения ............................................................22

8.2    Готовность к реагированию на инциденты.........................................23

8.3    Обработка инцидентов ........................................................23

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

и документов национальным стандартам....................................25

Библиография........................................................................27

Введение

0.1 Цель настоящего стандарта

В областях функциональной безопасности и защиты информации было разработано большое число отраслевых руководств, стандартов и технических рекомендаций. Вместе с тем промышленные хозяйствующие субъекты в большей степени ожидают разработки общего документа по основным принципам функциональной безопасности и защиты информации. Даже термины «safety» и «security» в этих документах иногда описывают разные понятия. В результате бывает довольно трудно одновременно применять их к производственной системе.

0.2 Предпосылки

Информационная безопасность стала новым фактором, который следует учитывать при разработке систем. В комплексе стандартов МЭК 61508. опубликованном в 2010 г, было указано, что информационная безопасность может влиять на функциональную безопасность.

В ТК 65 МЭК (Измерение, управление и автоматизация в производственных процессах) возникли серьезные опасения в отношении влияния инцидентов, связанных с информационной безопасностью, на функции безопасности в системах промышленной автоматики и контроля (IACS). Многие сложные системы такого типа становятся связанными между собой системами (в частности, благодаря взаимодействию. основанному на беспроводной связи, датчиков/исполнительных механизмов со сложным оборудованием предприятий, сетевыми средствами и т. д.) в процессе технического обслуживания и эксплуатации. Возникает общий вопрос: «Как в таком случае проектировать и управлять функциональной безопасностью и информационной безопасностью — рассматривать системы как взаимодействующие. или полностью интегрированные, или как отдельные системы?»

0.3 Вопросы терминологии

Определения некоторых терминов, таких как «функциональная безопасность», «информационная безопасность» и «риск», иногда отличаются в различных документах. Хотя эти термины согласуются в комплексе документов в кахщой из областей функциональной безопасности и информационной безопасности, но они могут оказаться несогласованными, когда оба стандарта применяются одновременно. Поэтому в настоящем стандарте терминология используется с большой осторожностью.

0.4 Целевая аудитория

Целевой аудиторией настоящего стандарта являются (но этим аудитория не ограничивается):

-    собственники активов организаций (включая ответственных за методологию и управление);

-    системные интеграторы (включая ответственных за проектирование и реализацию);

-    поставщики продукции (включая ответственных за проектирование и реализацию);

-    поставщики услуг (включая эксплуатирующие и сопровождающие организации);

-    государственные органы (в том числе ответственные за оценку и аудит).

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИЗМЕРЕНИЕ, УПРАВЛЕНИЕ И АВТОМАТИЗАЦИЯ ПРОМЫШЛЕННОГО ПРОЦЕССА

Основные принципы обеспечения функциональной безопасности и защиты информации

Industrial-process measurement, control and automation.

Framework for functional safety and security

Дата введения — 2021—11—30

1 Область применения

В настоящем стандарте разъясняются и даются рекомендации по общему применению стандартов МЭК 61508 (все части) и МЭК 62443 (все части) в области измерения, управления и автоматизации промышленных процессов.

Настоящий стандарт может применяться в других промышленных секторах, где применяются МЭК 61508 (все части) и МЭК 62443 (все части).

Примечание — Для отраслевых стандартов рекомендуется использовать или делать ссылку на настоящий стандарт.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных — последнее издание (включая все изменения).

IEC 61508 (all parts). Functional safety of electrical/electronic/programmable electronic safety-related systems (Системы электрические/электронные/программируемые электронные, связанные с функциональной безопасностью)

IEC 62443 (ail parts). Security for industrial automation and control systems (Безопасность систем промышленной автоматизации и контроля)

3    Термины, определения и сокращения

3.1    Термины и определения, используемые в настоящем стандарте

В настоящем стандарте применены следующие термины и определения.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

-    МЭК Электропедия: доступна по адресу http://www.electropedia.org/

-    ИСО онлайн-платформа, доступна по адресу https:/Avww.iso.org/obp.

Примечание — В настоящем стандарте новые термины и определения создаются только в том случае, если они отсутствуют в стандартах МЭК 61508 или МЭК 62443.

3.1.1    обработка инцидентов (incident handling): Действия по выявлению, отчетности, оценке, реагированию. борьбе (решению) и извлечению опыта из инцидентов защиты информации.

[ИСО/МЭК 27035-1:2016. пункт 3.6. модифицировано — слова «инциденты информационной безопасности» заменены словами «инциденты защиты информации»)

Издание официальное

3.1.2    реагирование на инцидент (incident response): Действия, предпринятые для смягчения или устранения инцидента защиты информации, включая меры, принятые для защиты и восстановления нормальных рабочих режимов эксплуатации IACS и хранящейся в ней информации.

(ИСО/МЭК 27035-1:2016. пункт 3.7. модифицировано — слова «инциденты информационной безопасности» заменены словами «инциденты защиты информации», а «информационная система» — на «IACS»]

3.1.3    предметная область функциональной безопасности (safety domain): Мероприятия по обеспечению функциональной безопасности, выполняемые назначенными лицами или организациями, и их результаты в соответствии с МЭК 61508 (все части).

3.1.4    предметная область информационной безопасности (security domain): Мероприятия по обеспечению информационной безопасности, выполняемые назначенными лицами или организациями. и их результаты в соответствии с МЭК 62443 (все части).

3.1.5    защищенная среда (security environment): Рассматриваемая область, где реализованы и эффективны все соответствующие меры защиты информации.

3.1.6    доступ (access): Возможность и средства для обмена сообщениями или иного взаимодействия с системой в целях использования ресурсов системы.

Примечание — Доступ может предполагать физический доступ (физическая авторизация, предоставляемая для доступа в участок, наличие механического замка. ПИН-код. или карта доступа, или биометрические признаки, обеспечивающие доступ) или логический доступ (авторизация для входа в систему и программу, осуществляемая путем комбинации логических и физических средств).

[IEC/TS 62443-1-1:2009. пункт 3.2.1)

3.1.7    архитектура (architecture): Конкретная конфигурация элементов аппаратных средств и программного обеспечения системы.

[МЭК 61508-4:2010. пункт 3.3.4]

3.1.8    актив (asset): Физический или логический объект, который принадлежит организации или относится к ней иным способом, представляя для нее ощущаемую или реальную ценность.

Примечание — В случае систем промышленной автоматики и контроля физические объекты, имеющие наибольшую ценность, измеримую непосредственно, представляют, например, оборудование, которым управляют.

[IEC/TS 62443-1-1:2009. пункт 3.2.6)

3.1.9    атака (attack): Посягательство на систему, которое является следствием продуманного планирования. т. е. умышленного действия, представляющее собой продуманную попытку (особенно в плане метода или стратегии) обойти сервисы информационной безопасности и нарушить политику информационной безопасности системы.

Примечание — Существуют различные общепризнанные типы атак:

-    «активная атака» имеет целью преобразовать ресурсы системы или воздействовать на ее работу;

-    «пассивная атака» имеет целью заполучить или использовать информацию системы без воздействия на ресурсы системы;

-    «внутренняя атака» — атака, инициированная субъектом в пределах периметра информационной безопасности («инсайдером»), т. е. субъектом, который наделен правами на получение доступа к ресурсам системы, но использует их в целях, не одобренных теми, кто предоставил эти права;

-    «внешняя атака» — атака, инициированная за пределами периметра информационной безопасности неавторизованным или неуполномоченным пользователем системы (им может быть и инсайдер, атакующий за пределами периметра информационной безопасности). Потенциальными злоумышленниками, осуществляющими внешнюю атаку, могут быть как простые любители пошутить, так и организованные преступные группы, международные террористы и враждебные правительства.

[IEC/TS 62443-1-1:2009. пункт 3.2.9]

3.1.10    доступность (availability): Способность компонента выполнить требуемую функцию при заданных условиях в заданный момент времени или в течение заданного интервала времени, если предоставлены необходимые внешние ресурсы.

Примечание 1 — Эта способность зависит от следующих аспектов, рассматриваемых в совокупности: надежности, удобства сопровождения и качества технической поддержки.

Примечание 2 — Необходимые внешние ресурсы, отличные от ресурсов технического обслуживания, не влияют на показатель доступности компонента.

[IEC/TS 62443-1-1:2009. пункт 3.2.16]

3.1.11    конфиденциальность (confidentiality): Гарантии того, что информация не будет раскрыта несанкционированным лицам, процессам или устройствам.

[IEC/TS 62443-1-1:2009. пункт 3.2.28]

3.1.12    контрмера (countermeasure): Действие, устройство, процедура или стратегия, которые ослабляют угрозу, уязвимость или противодействуют атаке путем ее отражения или предотвращения, или минимизации ущерба, который она способна нанести, или путем ее обнаружения и сообщения о ней, чтобы могло быть предпринято корректирующее действие.

Примечание 1 — В некоторых контекстах для описания этого понятия используется также термин «мера защиты» (control). В IEC/TS 62443-1-1:2009 выбран термин «контрмера» во избежание путаницы с термином «управление» (control), относящимся к управлению процессами.

Примечание 2 — Слова «минимизация ущерба» в этом определении не относятся к функциональной безопасности.

[IEC/TS 62443-1-1:2009. пункт 3.2.33, модифицировано — добавлено примечание 2]

3.1.13    опасный отказ (dangerous failure): Отказ элемента и/или подсистемы, и/или системы, влияющий на выполнение функции безопасности:

a)    препятствует выполнению функции безопасности, если необходимо ее выполнение (в режиме запроса), или вызывает прекращение выполнения функции безопасности (в непрерывном режиме), переводя управляемое оборудование (EUC) в опасное или потенциально опасное состояние: или

b)    снижает вероятность корректного выполнения функции безопасности, если необходимо ее выполнение.

[МЭК 61508-4:2010, пункт 3.6.7]

3.1.14    эшелонированная защита (defence in depth): Наличие множественной защиты, в частности — в виде уровней, с целью предотвращения или хотя бы сдерживания атаки.

Примечание — Эшелонированная защига предполагает наличие уровней защиты и обнаружения угроз даже на обособленных системах и обладает следующими признаками:

-    злоумышленники сталкиваются с проблемой незаметного прохождения или обхождения каждого уровня;

-    дефект на одном уровне может быть ослаблен возможностями других уровней:

-    информационная безопасность системы сводится к набору уровней, которые определяют также общую информационную безопасность сети.

[IEC/TS 62443-1-1:2009. пункт 3.2.40]

3.1.15    жизненно важная функция (essential function): Функция или характеристика, которая требуется для поддержания охраны труда, техники безопасности, охраны окружающей среды, а также работоспособности и доступности управляемого оборудования.

Примечание — Жизненно важные функции включают в себя, но не ограничиваются этим, функцию безопасности приборной системы безопасности (ФБ ПСБ), функцию управления и способность оператора отслеживать и манипулировать управляемым оборудованием. Утратой жизненно важных функций обычно называют утрату защиты, утрату управления и утрату отслеживаемости соответственно. В некоторых отраслях промышленности дополнительные функции, такие как архивирование, могут считаться жизненно важными.

[МЭК 62443-3-3:2013. пункт 3.1.22]

3.1.16    функциональная безопасность (functional safety): Часть общей безопасности, обусловленная применением EUC и системы управления EUC и зависящая от правильности функционирования электрических/электронных/программируемых электронных (Э/Э/ПЭ) систем, связанных с безопасностью. и других средств по снижению риска.

[МЭК 61508-4:2010, пункт 3.1.12]

3.1.17    вред (harm). Физическое повреждение или ущерб, причиняемый здоровью людей, имуществу или окружающей среде.

[МЭК 61508-4:2010, пункт 3.1.1]

3.1.18    опасность (hazard): Потенциальный источник причинения вреда.

Примечание — Термин включает в себя возможную опасность для людей в короткий промежуток времени (например, при пожаре и взрыве), а также опасность, имеющую долгосрочное воздействие на здоровье людей (например, при утечке токсического вещества).

[МЭК 61508-4:2010. пункт 3.1.2]

3.1.19    инцидент (incident): Событие, которое не является частью запланированной работы системы или услуги и приводит или может привести к сбою, приостановке или снижению качества услуг, предоставляемых системой.

[МЭК 62443-2-1:2010. пункт 3.1.18)

3.1.20    системы промышленной автоматики и контроля; IACS (industrial automation and control systems): Группа персонала, а также совокупность аппаратных средств и программного обеспечения, которые могут регулировать или воздействовать иным образом на безопасное, защищенное и безотказное функционирование производственного процесса.

Примечание — Такие системы могут включать в себя, но не ограничиваются этим:

-    промышленные системы управления, включающие в себя распределенные системы управления (DCS), программируемые логические контроллеры (PLC), пульты дистанционного управления (RTU). интеллектуальные электронные устройства, системы диспетчерского контроля и сбора данных (SCADA). объединенные системы электронного детектирования и контроля, а также системы мониторинга и диагностики. (В данном контексте системы управления процессами наделены базовыми функциями системы управления процессами и приборной системы безопасности (SIS), которые могут быть или физически отделены друг от друга, или объединены друг с другом);

-    ассоциированные информационные системы, например системы упреждающего или многосвязного регулирования. а также сетевые оптимизаторы, специальные мониторы к оборудованию, графические интерфейсы, архиваторы, автоматизированные системы управления производственными процессами и информационно-управ-ляющие системы предприятия;

-    ассоциированные внутренние, пользовательские, сетевые или машинные интерфейсы, используемые для обеспечения управления, безопасности и функциональности производственных операций в ходе непрерывных, периодических, дискретных и других процессов.

[IEC/TS 62443-1-1:2009, пункт 3.2.57]

3.1.21    целостность (integrity): Свойство системы, отражающее логическую корректность и безотказность операционной системы, логическую полноту аппаратных средств и программного обеспечения, которые реализуют защитные механизмы, а также согласованность структуры и содержания хранимых данных.

Примечание — В формальном укладе информационной безопасности целостность часто понимают в более узком смысле — в значении защищенности от несанкционированного преобразования или уничтожения информации.

[IEC/TS 62443-1-1:2009, пункт 3.2.60]

3.1.22    риск (risk) (функциональная безопасность): Сочетание вероятности события причинения вреда и тяжести этого вреда.

[ISO/IEC Guide 51:1999, пункт 3.2]

Примечание — Дальнейшее обсуждение этого определения содержится в МЭК 61508-5:2010, приложение А.

[МЭК 61508-4:2010, пункт 3.1.6, модифицировано — к термину в скобках добавлена предметная область]

3.1.23    риск (risk) (информационная безопасность): Ожидание ущерба, выраженное как вероятность того, что определенный источник угрозы воспользуется определенной уязвимостью системы, и это приведет к определенным последствиям.

[IEC/TS 62443-1-1:2009, пункт 3.2.87. модифицировано — к термину в скобках добавлена предметная область]

3.1.24    безопасное состояние (safe state): Состояние EUC, в котором достигается безопасность.

[МЭК 61508-4:2010, пункт 3.1.13. модифицировано — исключено примечание]

3.1.25    безопасность (safety): Отсутствие неприемлемого риска.

[МЭК 61508-4:2010, пункт 3.1.11]

3.1.26    функция безопасности (safety function): Функция, реализуемая Э/Э/ПЭ системой, связанной с безопасностью, или другими мерами по снижению риска, предназначенная для достижения или поддержания безопасного состояния EUC по отношению к конкретному опасному событию.

Пример — Примерами функций безопасности являются:

-    функции, которые должны быть выполнены как позитивные меры, чтобы снизить влияние опасной ситуации (например, выполняют выключение двигателя); и

-    функции, которые осуществляют превентивные действия, не допускающие возникновения опасных ситуаций (например, предотвращают запуск двигателя).

[МЭК 61508-4:2010. пункт 3.5.1)

3.1.27    полнота безопасности (safety integrity): Вероятность того, что Э/Э/ПЭ система, связанная с безопасностью, будет удовлетворительно выполнять требуемые функции безопасности при всех оговоренных условиях в течение заданного интервала времени.

Примечание 1 — Чем выше уровень полноты безопасности, тем ниже вероятность того, что система, связанная с безопасностью, не сможет выполнить указанные функции безопасности или не будет в состоянии, когда потребуется, принять указанное состояние.

Примечание 2 — Существует четыре уровня полноты безопасности для систем (см. 3.5.8 МЭК 61508-4:2010).

Примечание 3 — При определении полноты безопасности должны учитываться все причины отказов (случайных отказов аппаратных средств и систематических отказов), которые приводят к небезопасному состоянию. например отказы аппаратных средств, отказы, вызванные программным обеспечением, и отказы, вызванные электрическими помехами. Некоторые из этих типов отказов, например случайные отказы аппаратных средств, могут быть описаны количественно, с использованием таких параметров, как интенсивность отказов в опасном режиме или вероятность того, что система защиты, связанная с безопасностью, не сможет выполнить запрос. Однако полнота безопасности системы также зависит и от многих факторов, которым нельзя дать точную количественную оценку и которые могут быть оценены только качественно.

Примечание 4 — Полнота безопасности включает в себя полноту безопасности аппаратных средств (см. 3.5.7 МЭК 61508-4:2010) и полноту безопасности по отношению к систематическим отказам (см. 3.5.6 МЭК 61508-4:2010).

Примечание 5 — Данное определение основывается на определении безотказности систем, связанных с безопасностью, при выполнении ими функций безопасности.

[МЭК 61508-4:2010. пункт 3.5.4. модифицировано — текст примечания 5. приведенный в скобках, удален]

3.1.28    уровень полноты безопасности: УПБ [safety integrity level (SIL)]: Дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 4. является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1. соответствует наименьшей полноте безопасности.

Примечание 1 — Меры целевых отказов (см. 3.5.17 МЭК 61508-4:2010) для четырех уровней полноты безопасности указаны в таблицах 2 и 3 МЭК 61508-1.

Примечание 2 — Уровни полноты безопасности используют при определении требований полноты безопасности для функций безопасности, которые должны быть распределены по Э/Э/ПЭ системам, связанным с безопасностью.

Примечание 3 — Уровень полноты безопасности (УПБ) не является свойством системы, подсистемы, элемента или компонента. Правильная интерпретация фразы «УПБ системы, связанной с безопасностью, равен п» (где n = 1. 2. 3 или 4) означает: система потенциально способна к реализации функций безопасности с уровнем полноты безопасности до значения, равного л.

[МЭК 61508-4:2010, пункт 3.5.8)

3.1.29    система, связанная с безопасностью (safety-related system): Специальная система, которая:

-    реализует необходимые функции безопасности, требующиеся для достижения и поддержки безопасного состояния управляемого оборудования (EUC). и

- предназначена для достижения своими средствами или в сочетании с другими Э/Э/ПЭ системами, связанными с безопасностью, и другими средствами снижения риска необходимой полноты безопасности для требуемых функций безопасности.

Примечание 1 — Данный термин относится к системам, обозначенным как системы, связанные с безопасностью. и предназначенным для достижения совместно с внешними средствами снижения риска (см. 3.4.2 МЭК 61508-4:2010) необходимого снижения риска для соответствия требованиям приемлемого риска (см. 3.1.7 МЭК 61508-4:2010). См. также приложение А МЭК 61508-5:2010.

Примечание 2 — Системы, связанные с безопасностью, предназначены для того, чтобы предотвратить переход EUC в опасное состояние путем выполнения необходимых действий при обнаружении условий, которые могут привести к опасному событию. Отказ системы, связанной с безопасностью, может быть отнесен к событиям, ведущим к возникновению определенной опасности или опасностей. Хотя могут существовать и другие системы, имеющие функции безопасности, именно системы, связанные с безопасностью, предназначены для достижения требуемого приемлемого риска. В широком смысле системы, связанные с безопасностью, могут быть разделены на две категории: системы управления, связанные с безопасностью, и системы защиты, связанные с безопасностью.

Примечание 3 — Системы, связанные с безопасностью, могут быть составной частью системы управления EUC либо могут быть связаны с EUC с помощью датчиков иг'или исполнительных устройств. Это означает, что необходимый уровень полноты безопасности может быть достигнут реализацией функций безопасности в системе управления EUC (и. возможно, также дополнительными отдельными и независимыми системами), либо функции безопасности могут быть реализованы отдельными, независимыми системами безопасности.

Примечание 4 — Система, связанная с безопасностью, может быть предназначена:

a)    для предотвращения опасного события (т. е. если система, связанная с безопасностью, выполняет свои функции безопасности, то опасного события не происходит);

b)    для ослабления последствий вредного события, снижая риск путем уменьшения последствий;

c)    для достижения целей перечислений а) и Ь).

Примечание 5 — Человек может быть частью системы, связанной с безопасностью. Например, человек может получать информацию от программируемого электронного устройства и выполнять действие, связанное с безопасностью, основываясь на этой информации, либо выполнять действие, используя программируемое электронное устройство.

Примечание 6 — Система, связанная с безопасностью, включает в себя все аппаратные средства, программное обеспечение и дополнительные средства (например, источники питания), необходимые для выполнения указанных функций безопасности (датчики, другие устройства ввода, исполнительные элементы (устройства привода) и другие устройства вывода включаются в систему, связанную с безопасностью).

Примечание 7 — Система, связанная с безопасностью, может основываться на широком диапазоне технологий, включая электрическую, электронную, программируемую электронную, гидравлическую и пневматическую технологии.

(МЭК 61508-4:2010, пункт 3.4.1]

3.1.30 защита (security):

a)    меры, принимаемые для защиты системы;

b)    состояние системы, которое является результатом разработки и проведения мер защиты системы;

c)    состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери;

d)    возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем;

e)    предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля.

Примечание — Указанные меры могут представлять собой меры защиты, относящиеся к физической безопасности (управление физическим доступом к вычислительным объектам) или логической безопасности (возможность входа в конкретную систему и приложение).

(1ЕСЯЭ 62443-1-1:2009. пункт 3.2.99]