2024/08/02 17:32:21

ГОСТ Р 71452-2024

Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла

Содержание

Область применения

В стандарте содержатся требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла. Он помогает координировать процессы оценки рисков, проектирования, управления и эксплуатации, а также предотвращает конфликты между функциональной безопасностью и защитой информации. Стандарт нацелен не на создание абсолютно нового жизненного цикла, а на выработку требований по координации функциональной безопасности и защиты информации на основе жизненных циклов функциональной безопасности, защиты информации и других современных процессов проектирования.

Предполагается, что данный документ будет применяться к системам управления промышленной автоматизации (IACS), в том числе к управляемому оборудованию (УО) и системам, связанным с безопасностью.

История

2024: Принят новый ГОСТ, координирующий ИБ и функциональную безопасность на предприятиях

Росстандарт в конце июля опубликовал текст стандарта ГОСТ Р 71452-2024[1] «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», который является переводом международного стандарта IEC/PAS 63325:2020, принятого в 2020 году. Российский стандарт определяет процедуры, которые компании должны соблюдать для координации действий по обеспечению функциональной безопасности промышленных объектов и информационной безопасности. ГОСТ вступает в силу с 1 июля 2025 года.

В стандарте безопасность (safety) определяется как «отсутствие неприемлемого риска», а функциональная безопасность – как правильность функционирования всех систем, в том числе, средств по снижению рисков. А для информационной безопасности (security) даны сразу несколько определений:

«
а) меры, предпринимаемые для защиты системы;

b) состояние системы, которое является результатом разработки и проведения мер защиты системы;

с) состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери;

d) возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем;ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

е) предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля.

»

В целом стандарт определяет набор двух типов требований – к координации менеджмента функциональной и информационной безопасности и к процессам на различных этапах жизненного цикла. Первый набор требований сводится к тому, чтобы на всех этапах жизненного цикла промышленной системы участвовали как специалисты по функциональной безопасности, так и по информационной, и соблюдались бы процедуры разрешения конфликтов между ними.

Второй набор требований определяет процедуры, которые наиболее критичны для каждого из этапов жизненного цикла промышленной системы: при разработке концепции системы и локализации области ее применения; для оценки рисков; при разработке и внедрении; во время эксплуатации и обслуживании системы; и даже для вывода из эксплуатации и утилизации. Ключевые требования, конечно же, сконцентрированы на этапах оценки рисков и во время разработки и внедрения системы, где подробно описаны анализ опасностей и рисков с оценкой угроз и уязвимостей, критерии рисков, правила разрешения конфликтов и реакция на отказы системы или на события защиты информации.

Схема согласования оценки рисков, учитывающая меры как функциональной, так и информационной безопасности

«
Говорить о полной готовности российских промышленных компаний пока рано, так как стандарт предусматривает процессы технического управления с начала жизненного цикла, – пояснила TAdviser ситуацию с готовностью российских компаний к использованию стандарта Екатерина Рудина, руководитель группы аналитиков по информационной безопасности Kaspersky Future Technologies «Лаборатории Касперского». – На действующих предприятиях нужно адаптировать положения стандарта, чтобы скоординировать менеджмент функциональной и информационной безопасности. Тем не менее, в начале новых проектов или при модернизации производства хорошо бы обеспечить точное следование рекомендациям стандарта.
»

По словам Екатерины Рудиной, для полноценного внедрения стандарта на промышленных предприятиях необходимо формализовать процедуры управления информационной безопасностью, в частности, выполнить полноценную оценку рисков, и скоординировать деятельность служб информационной безопасности с управлением функциональной безопасностью. Например, если анализируется угроза нарушения технологического процесса в связи с отказом по общей причине, то при оценке рисков необходимо рассмотреть вариант происшествия со схожими последствиями, которое может быть реализовано с помощью кибератаки. Как правило, такая координация требует проведения междисциплинарного анализа и привлечения специалистов различных профилей – технологов, инженеров, специалистов в области ИТ и ИБ.

В приложении к ГОСТу перечислены возможные меры по координации функциональной безопасности и защиты информации на различных этапах жизненного цикла, где перечислены рекомендации разработчиков стандарта. В частности, в разделе «А.2.8 Интеграция мер по защите информации» перечислены механизмы киберзащиты, которые должны быть интегрированы в системы функциональной безопасности. В частности, к ним относятся системы контроля прав доступа, криптографические протоколы обмена информацией, решения для управления уязвимостями и изменениями, антивирусная защита и инструменты для мониторинга событий ИБ.

Также есть требование к разработчикам систем функциональной безопасности оперативно устранять обнаруженные уязвимости и ошибки. Оно создаёт нишу для разработчиков средств защиты, которые могут адаптировать свои продукты под промышленные системы функциональной безопасности, чтобы они отвечали требованиям ГОСТа.

«
Внедрение стандарта ГОСТ Р 71452-2024 в отечественные промышленные компании представляет собой серьезное испытание, – заявил в общении с TAdviser Андрей Стеблевский, директор по развитию бизнеса DCLogic. – Готовность к этому будет зависеть от зрелости уже существующих систем управления и безопасности. Некоторые крупные предприятия уже используют передовые системы информационной безопасности, соответствующие международным стандартам, что должно облегчить процесс перехода к выполнению требований нового стандарта. Однако многим компаниям, особенно небольшим и средним, потребуется значительное время и ресурсы для адаптации своих систем и процессов к новым нормам.
»

Причем основные проблемы могут возникнуть не с конкретными продуктами по защите, а при выработке общих подходов между специалистами по функциональной безопасности и службой ИБ. Основная цель функциональной безопасности – защита от аварий на опасных производствах и купирование последствий. Она регулируется отдельным законодательством, которое развивается с середины прошлого века и в нем наработаны достаточно жесткие требования по реакции на опасные события. Системы функциональной безопасности должны своевременно предотвратить аварии и опасные последствия для окружающих.

«
Сейчас появление стандарта практически не влияет на рынок ИБ, но может помочь в будущем, – считает Екатерина Рудина. – Рынок отечественных средств защиты промышленных инфраструктур от кибератак уже учитывает специфику защищаемых систем и специфику рисков. Те предприятия, которые все еще не используют средства защиты от кибератак, вряд ли следят и за ГОСТами. Инструмент тут идет прежде процедуры, и это вполне корректно с точки зрения необходимости «тушения пожаров» в области ИБ промышленной экосистемы: когда атакуют, нужно прежде отразить атаку, а затем выстраивать более эффективную и скоординированную защиту от будущих угроз. Мы ожидаем роста зрелости промышленности в отношении противодействия целевым угрозам, и с этой точки зрения заинтересованным предприятиям, прежде всего, в сфере КИИ, новый стандарт поможет выстроить более цельную и устойчивую систему защиты.
»

Следует отметить, что переводчиками стандарта являются «ЭОС Тех» и «Российский институт стандартизации», которые провели процедуру его принятия через технический комитет Росстандарта №58 «Функциональная безопасность». В то же время ГОСТы по информационной безопасности, которые разрабатываются ФСТЭК для регулирования объектов КИИ, обычно проходят через ТК №362 «Защита информации».

В целом же все ГОСТы являются рекомендательными до тех пор, пока другое явно не прописано в законодательных актах. Будет ли ФСТЭК или другое ведомство включать в свои приказы, регулирующие информационную безопасность промышленных объектов КИИ (например приказ ФСТЭК №31), ссылки на ГОСТ Р 71452-2024, пока неясно. В целом понятие критической информационной инфраструктуры шире – оно включает и телекоммуникационные, и финансовые компании. Возможно, некоторые ведомства включат этот стандарт в свои приказы или методички для реализации требований по защите КИИ. Вариантов сделать документ обязательным много, и какой из них будет принят пока неизвестно.

Примечания