2024/08/02 17:32:21

ГОСТ Р 71452-2024

Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла

Содержание

Область применения
История
- 2024: Принят новый ГОСТ, координирующий ИБ и функциональную безопасность на предприятиях
Примечания

Область применения

В стандарте содержатся требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла. Он помогает координировать процессы оценки рисков, проектирования, управления и эксплуатации, а также предотвращает конфликты между функциональной безопасностью и защитой информации. Стандарт нацелен не на создание абсолютно нового жизненного цикла, а на выработку требований по координации функциональной безопасности и защиты информации на основе жизненных циклов функциональной безопасности, защиты информации и других современных процессов проектирования.

Предполагается, что данный документ будет применяться к системам управления промышленной автоматизации (IACS), в том числе к управляемому оборудованию (УО) и системам, связанным с безопасностью.

История

2024: Принят новый ГОСТ, координирующий ИБ и функциональную безопасность на предприятиях

Росстандарт в конце июля опубликовал текст стандарта ГОСТ Р 71452-2024^[1] «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», который является переводом международного стандарта IEC/PAS 63325:2020, принятого в 2020 году. Российский стандарт определяет процедуры, которые компании должны соблюдать для координации действий по обеспечению функциональной безопасности промышленных объектов и информационной безопасности. ГОСТ вступает в силу с 1 июля 2025 года.

В стандарте безопасность (safety) определяется как «отсутствие неприемлемого риска», а функциональная безопасность – как правильность функционирования всех систем, в том числе, средств по снижению рисков. А для информационной безопасности (security) даны сразу несколько определений:

а) меры, предпринимаемые для защиты системы;

b) состояние системы, которое является результатом разработки и проведения мер защиты системы;

с) состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери;

d) возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем;Цифровизация строительства: особенности рынка, многообещающие технологии, ключевые ИТ-поставщики. Обзор TAdviser 5.1 т

е) предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля.

В целом стандарт определяет набор двух типов требований – к координации менеджмента функциональной и информационной безопасности и к процессам на различных этапах жизненного цикла. Первый набор требований сводится к тому, чтобы на всех этапах жизненного цикла промышленной системы участвовали как специалисты по функциональной безопасности, так и по информационной, и соблюдались бы процедуры разрешения конфликтов между ними.

Второй набор требований определяет процедуры, которые наиболее критичны для каждого из этапов жизненного цикла промышленной системы: при разработке концепции системы и локализации области ее применения; для оценки рисков; при разработке и внедрении; во время эксплуатации и обслуживании системы; и даже для вывода из эксплуатации и утилизации. Ключевые требования, конечно же, сконцентрированы на этапах оценки рисков и во время разработки и внедрения системы, где подробно описаны анализ опасностей и рисков с оценкой угроз и уязвимостей, критерии рисков, правила разрешения конфликтов и реакция на отказы системы или на события защиты информации.

Росстандарт

Схема согласования оценки рисков, учитывающая меры как функциональной, так и информационной безопасности

Говорить о полной готовности российских промышленных компаний пока рано, так как стандарт предусматривает процессы технического управления с начала жизненного цикла, – пояснила TAdviser ситуацию с готовностью российских компаний к использованию стандарта Екатерина Рудина, руководитель группы аналитиков по информационной безопасности Kaspersky Future Technologies «Лаборатории Касперского». – На действующих предприятиях нужно адаптировать положения стандарта, чтобы скоординировать менеджмент функциональной и информационной безопасности. Тем не менее, в начале новых проектов или при модернизации производства хорошо бы обеспечить точное следование рекомендациям стандарта.

По словам Екатерины Рудиной, для полноценного внедрения стандарта на промышленных предприятиях необходимо формализовать процедуры управления информационной безопасностью, в частности, выполнить полноценную оценку рисков, и скоординировать деятельность служб информационной безопасности с управлением функциональной безопасностью. Например, если анализируется угроза нарушения технологического процесса в связи с отказом по общей причине, то при оценке рисков необходимо рассмотреть вариант происшествия со схожими последствиями, которое может быть реализовано с помощью кибератаки. Как правило, такая координация требует проведения междисциплинарного анализа и привлечения специалистов различных профилей – технологов, инженеров, специалистов в области ИТ и ИБ.

В приложении к ГОСТу перечислены возможные меры по координации функциональной безопасности и защиты информации на различных этапах жизненного цикла, где перечислены рекомендации разработчиков стандарта. В частности, в разделе «А.2.8 Интеграция мер по защите информации» перечислены механизмы киберзащиты, которые должны быть интегрированы в системы функциональной безопасности. В частности, к ним относятся системы контроля прав доступа, криптографические протоколы обмена информацией, решения для управления уязвимостями и изменениями, антивирусная защита и инструменты для мониторинга событий ИБ.

Также есть требование к разработчикам систем функциональной безопасности оперативно устранять обнаруженные уязвимости и ошибки. Оно создаёт нишу для разработчиков средств защиты, которые могут адаптировать свои продукты под промышленные системы функциональной безопасности, чтобы они отвечали требованиям ГОСТа.

Внедрение стандарта ГОСТ Р 71452-2024 в отечественные промышленные компании представляет собой серьезное испытание, – заявил в общении с TAdviser Андрей Стеблевский, директор по развитию бизнеса DCLogic. – Готовность к этому будет зависеть от зрелости уже существующих систем управления и безопасности. Некоторые крупные предприятия уже используют передовые системы информационной безопасности, соответствующие международным стандартам, что должно облегчить процесс перехода к выполнению требований нового стандарта. Однако многим компаниям, особенно небольшим и средним, потребуется значительное время и ресурсы для адаптации своих систем и процессов к новым нормам.

Причем основные проблемы могут возникнуть не с конкретными продуктами по защите, а при выработке общих подходов между специалистами по функциональной безопасности и службой ИБ. Основная цель функциональной безопасности – защита от аварий на опасных производствах и купирование последствий. Она регулируется отдельным законодательством, которое развивается с середины прошлого века и в нем наработаны достаточно жесткие требования по реакции на опасные события. Системы функциональной безопасности должны своевременно предотвратить аварии и опасные последствия для окружающих.

Сейчас появление стандарта практически не влияет на рынок ИБ, но может помочь в будущем, – считает Екатерина Рудина. – Рынок отечественных средств защиты промышленных инфраструктур от кибератак уже учитывает специфику защищаемых систем и специфику рисков. Те предприятия, которые все еще не используют средства защиты от кибератак, вряд ли следят и за ГОСТами. Инструмент тут идет прежде процедуры, и это вполне корректно с точки зрения необходимости «тушения пожаров» в области ИБ промышленной экосистемы: когда атакуют, нужно прежде отразить атаку, а затем выстраивать более эффективную и скоординированную защиту от будущих угроз. Мы ожидаем роста зрелости промышленности в отношении противодействия целевым угрозам, и с этой точки зрения заинтересованным предприятиям, прежде всего, в сфере КИИ, новый стандарт поможет выстроить более цельную и устойчивую систему защиты.

Следует отметить, что переводчиками стандарта являются «ЭОС Тех» и «Российский институт стандартизации», которые провели процедуру его принятия через технический комитет Росстандарта №58 «Функциональная безопасность». В то же время ГОСТы по информационной безопасности, которые разрабатываются ФСТЭК для регулирования объектов КИИ, обычно проходят через ТК №362 «Защита информации».

В целом же все ГОСТы являются рекомендательными до тех пор, пока другое явно не прописано в законодательных актах. Будет ли ФСТЭК или другое ведомство включать в свои приказы, регулирующие информационную безопасность промышленных объектов КИИ (например приказ ФСТЭК №31), ссылки на ГОСТ Р 71452-2024, пока неясно. В целом понятие критической информационной инфраструктуры шире – оно включает и телекоммуникационные, и финансовые компании. Возможно, некоторые ведомства включат этот стандарт в свои приказы или методички для реализации требований по защите КИИ. Вариантов сделать документ обязательным много, и какой из них будет принят пока неизвестно.