2025/11/12 12:42:02

ПНСТ 1021-2025

Стандарт «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»[1]

Содержание

Аббревиатура ПНСТ означает предварительный национальный стандарт. Это документ по стандартизации, который принимается на ограниченный срок. Цель — накопить опыт в процессе применения ПНСТ для возможной последующей разработки на его основе полноценного постояннодействующего национального стандарта – ГОСТа. В частности, ПНСТ 1021-2025 разработали компания «ЭОС Тех» совместно с «Российским институтом стандартизации», и действовать он будет с 1 марта 2026 года по 1 марта 2029 года.

История

2025: Принятие стандарта

В начале ноября Росстандарт опубликовал полный текст предварительного стандарта ПНСТ 1021-2025 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности». Готовили документ к публикации эксперты технического комитета Росстандарта №58 «Функциональная безопасность».

Предварительный стандарт определяет требования к информационной безопасности машин и механизмов

При разработке ПНСТ 1021-2025 были учтены нормативные положения международного документа IEC TS 63047:2023[2] «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности». Этот международный стандарт определяет вопросы, связанные с угрозами и уязвимостями, которые рассматриваются при разработке и внедрении систем управления машинами, связанных с обеспечением безопасности пользователей (Safety-related Control System – SCS). Фактически, этот документ определяет как информационная безопасность влияет на системы защиты от аварий, которые обеспечивают функциональную безопасность.Международный конгресс по anti-age и эстетической медицине — ENTERESTET 2026

В частности, в опубликованном документе авторы дали следующее определение функциональной безопасности: «часть общей безопасности, обусловленная применением машины и системы управления машиной, которая зависит от правильного функционирования систем управления, связанных с безопасностью, и других мер по снижению риска». Хотя в стандарте речь в основном идет о использовании SCS в составе систем управления машинами, на практике это понятие распространяется и на технологические процессы с их АСУ ТП.

«
Новый стандарт направлен на решение одной из ключевых проблем — отсутствие унифицированного подхода к обеспечению безопасности в системах, от которых напрямую зависят технологические и производственные процессы, – пояснил TAdviser необходимость принятия подобного документа Кирилл Лёвкин, проджект-менеджер MD Audit. – Речь идёт о стыке информационной безопасности и функциональной безопасности: защите не только данных, но и логики управления оборудованием, автоматикой, датчиками. Стандарт помогает устранить разрыв между ИБ-специалистами и инженерами АСУ ТП, устанавливая единые требования к проектированию, тестированию и эксплуатации систем, где отказ или сбой может привести к физическим последствиям.
»

Функции безопасности, реализуемые механизмами SCS в электрических, электронных и программируемых системах, в соответствии с принятым ПНСТ должны обеспечивать уровень полноты безопасности, соответствующий требованиям ГОСТ Р МЭК 61508-4 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью», действующая редакция которого была принята в 2012 году.

Ключевым элементом взаимосвязи между информационной и функциональной безопасностью является риск нарушения защиты информации механизмов SCS, который может повлечь отказ или неправильные действия функций противоаварийной безопасности. Для предотвращения такого воздействия в ПНСТ 1021-2025 определены следующие действия: оценка возможности реализации угроз безопасности информации и выработка стратегии снижения рисков нарушения безопасности информации в SCS.

Возможные последствия для SCS, связанные с нарушением защиты информации

Для этого в SCS должны быть предусмотрены следующие механизмы информационной безопасности:

  • Идентификация и аутентификация субъектов и объектов доступа;
  • Управление доступом субъектов к объектам;
  • Регистрация событий безопасности;
  • Обнаружение вторжений и антивирусная защита;
  • Анализ защищенности информации;
  • Обеспечение целостности и доступности данных;
  • Защита технических средств SCS;
  • Защита информационной системы SCS и каналов передачи данных.

Раскрытию этих механизмов в применении к системам управления машинами и посвящена основная часть стандарта. В нем также есть требование по защите данных от повреждения и информирование пользователя о возможных нарушениях, хотя в перечисленном выше перечне эти требования реализуются с помощью механизмов целостности и анализа защищенности информации соответственно.

«
Стандарт должен решить проблемы различных киберугроз для систем управления, – заявил TAdviser Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности». – Это, например, внедрение вредоносного программного обеспечения, несанкционированный доступ, эксплуатация имеющихся уязвимостей. Стоит отметить, что указанные угрозы имеют весьма высокий уровень критичности, поскольку могут привести не только к выходу из строя сервисов компании, но и даже к остановке операционной деятельности. Кроме того, стандарт позволит объединить классическую информационную безопасность и специфику защиты промышленных ИТ-инфраструктур.
»

По мнению специалиста, эта специфика обуславливается в первую очередь набором ПО, например, АСУ ТП, которое часто имеет уникальные характеристики, ведь предприятия нередко разрабатывают решения под свои потребности. Еще одна проблема, которая порой наблюдается в промышленных компаниях – не самый высокий уровень ИБ-зрелости. Поэтому с помощью нового стандарта компании смогут выработать базовый подход к оценке ИБ-рисков и разработать на его основе адекватную систему безопасности с учетом тех или иных особенностей. Документ задает базовые правила, пусть даже и высокого уровня, а как их будут трактовать на местах, какие процессы будут выстраивать под требования в первую очередь, это уже будет видно в будущем.

«
Принятие стандарта станет важным шагом к зрелости российского рынка ИБ: он создаёт нормативную базу для интеграции кибербезопасности в промышленные и инфраструктурные системы, – считает Кирилл Лёвкин. – Это повысит спрос на специализированные решения, аудиторов, сертифицированные средства защиты и специалистов, работающих на пересечении ИБ и инженерных дисциплин. Кроме того, стандарт способствует импортонезависимости, поскольку задаёт технические и организационные требования, адаптированные к российской практике, что позволит выстраивать внутренние стандарты и сертификацию без ориентации на зарубежные модели вроде IEC 62443[3].
»

Примечания

  1. ПНСТ 1021-2025 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»
  2. IEC Technical Specification 63074
  3. ГОСТ Р МЭК 62443-3-3-2016
Источник — «http://zdrav.expert/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%9D%D0%A1%D0%A2_1021-2025»

Править
Короткая ссылка   |  Просмотров: 5075
«Россети» за 110 млн рублей создают тестовую среду, чтобы выявлять уязвимости в ПО
Объем телеком-рынка Казахстана за год вырос на 10% и достиг $3 млрд
Россия за год увеличила экспорт яиц в 1,6 раза и снизила их импорт на 13%. Крупнейшие страны-импортёры и экспортёры
Экспорт мяса птицы из России за год вырос на 6,4% и достиг 455,4 тыс. тонн. Крупнейшие страны-импортеры
Международный конгресс по anti-age и эстетической медицине — ENTERESTET 2026
Региональные аспекты цифровизации здравоохранения в Республике Башкортостан
В Брянской области с поставщика медоборудования взыскали 21 млн рублей за поставки в больницу 9 бракованных аппаратов ИВЛ для детей
Johnson & Johnson заплатит $40 млн двум женщинам, у которых развился рак яичников из-за детской присыпки компании
Какое неонатальное оборудование используется в России. Обзор Zdrav.Expert
Цифровые технологии – неотъемлемая часть работы врача. Опыт пермской поликлиники
Российские технологии вместо западных: как «КОРТИС» провел комплексное оснащение больничного комплекса в г. Хотьково
Профессиональная система автоматизации ремонта медтехники. Какие у нее плюсы и зачем она сервисной компании? Опыт "Компании Киль-Казань"
Как цифровые решения повышают качество и доступность медпомощи. Опыт Удмуртии