Содержание |
Область применения
В стандарте содержатся требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла. Он помогает координировать процессы оценки рисков, проектирования, управления и эксплуатации, а также предотвращает конфликты между функциональной безопасностью и защитой информации. Стандарт нацелен не на создание абсолютно нового жизненного цикла, а на выработку требований по координации функциональной безопасности и защиты информации на основе жизненных циклов функциональной безопасности, защиты информации и других современных процессов проектирования.
Предполагается, что данный документ будет применяться к системам управления промышленной автоматизации (IACS), в том числе к управляемому оборудованию (УО) и системам, связанным с безопасностью.
История
2024: Принят новый ГОСТ, координирующий ИБ и функциональную безопасность на предприятиях
Росстандарт в конце июля опубликовал текст стандарта ГОСТ Р 71452-2024[1] «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», который является переводом международного стандарта IEC/PAS 63325:2020, принятого в 2020 году. Российский стандарт определяет процедуры, которые компании должны соблюдать для координации действий по обеспечению функциональной безопасности промышленных объектов и информационной безопасности. ГОСТ вступает в силу с 1 июля 2025 года.
В стандарте безопасность (safety) определяется как «отсутствие неприемлемого риска», а функциональная безопасность – как правильность функционирования всех систем, в том числе, средств по снижению рисков. А для информационной безопасности (security) даны сразу несколько определений:
а) меры, предпринимаемые для защиты системы;
b) состояние системы, которое является результатом разработки и проведения мер защиты системы; с) состояние ресурсов системы, которые защищены от несанкционированного доступа к ним и несанкционированного или случайного их изменения, уничтожения, а также от утери; d) возможность компьютерной системы гарантировать в достаточной степени, что неавторизованные лица и системы не смогут ни видоизменять программное обеспечение и данные о нем, ни получать доступ к функциям системы, но в то же время гарантировать, что это возможно для авторизованных лиц и систем; е) предотвращение несанкционированного или нежелательного проникновения, а также вмешательства в исправную и запланированную работу системы промышленной автоматики и контроля. |
В целом стандарт определяет набор двух типов требований – к координации менеджмента функциональной и информационной безопасности и к процессам на различных этапах жизненного цикла. Первый набор требований сводится к тому, чтобы на всех этапах жизненного цикла промышленной системы участвовали как специалисты по функциональной безопасности, так и по информационной, и соблюдались бы процедуры разрешения конфликтов между ними.
Второй набор требований определяет процедуры, которые наиболее критичны для каждого из этапов жизненного цикла промышленной системы: при разработке концепции системы и локализации области ее применения; для оценки рисков; при разработке и внедрении; во время эксплуатации и обслуживании системы; и даже для вывода из эксплуатации и утилизации. Ключевые требования, конечно же, сконцентрированы на этапах оценки рисков и во время разработки и внедрения системы, где подробно описаны анализ опасностей и рисков с оценкой угроз и уязвимостей, критерии рисков, правила разрешения конфликтов и реакция на отказы системы или на события защиты информации.
Говорить о полной готовности российских промышленных компаний пока рано, так как стандарт предусматривает процессы технического управления с начала жизненного цикла, – пояснила TAdviser ситуацию с готовностью российских компаний к использованию стандарта Екатерина Рудина, руководитель группы аналитиков по информационной безопасности Kaspersky Future Technologies «Лаборатории Касперского». – На действующих предприятиях нужно адаптировать положения стандарта, чтобы скоординировать менеджмент функциональной и информационной безопасности. Тем не менее, в начале новых проектов или при модернизации производства хорошо бы обеспечить точное следование рекомендациям стандарта. |
По словам Екатерины Рудиной, для полноценного внедрения стандарта на промышленных предприятиях необходимо формализовать процедуры управления информационной безопасностью, в частности, выполнить полноценную оценку рисков, и скоординировать деятельность служб информационной безопасности с управлением функциональной безопасностью. Например, если анализируется угроза нарушения технологического процесса в связи с отказом по общей причине, то при оценке рисков необходимо рассмотреть вариант происшествия со схожими последствиями, которое может быть реализовано с помощью кибератаки. Как правило, такая координация требует проведения междисциплинарного анализа и привлечения специалистов различных профилей – технологов, инженеров, специалистов в области ИТ и ИБ.
В приложении к ГОСТу перечислены возможные меры по координации функциональной безопасности и защиты информации на различных этапах жизненного цикла, где перечислены рекомендации разработчиков стандарта. В частности, в разделе «А.2.8 Интеграция мер по защите информации» перечислены механизмы киберзащиты, которые должны быть интегрированы в системы функциональной безопасности. В частности, к ним относятся системы контроля прав доступа, криптографические протоколы обмена информацией, решения для управления уязвимостями и изменениями, антивирусная защита и инструменты для мониторинга событий ИБ.
Также есть требование к разработчикам систем функциональной безопасности оперативно устранять обнаруженные уязвимости и ошибки. Оно создаёт нишу для разработчиков средств защиты, которые могут адаптировать свои продукты под промышленные системы функциональной безопасности, чтобы они отвечали требованиям ГОСТа.
Внедрение стандарта ГОСТ Р 71452-2024 в отечественные промышленные компании представляет собой серьезное испытание, – заявил в общении с TAdviser Андрей Стеблевский, директор по развитию бизнеса DCLogic. – Готовность к этому будет зависеть от зрелости уже существующих систем управления и безопасности. Некоторые крупные предприятия уже используют передовые системы информационной безопасности, соответствующие международным стандартам, что должно облегчить процесс перехода к выполнению требований нового стандарта. Однако многим компаниям, особенно небольшим и средним, потребуется значительное время и ресурсы для адаптации своих систем и процессов к новым нормам. |
Причем основные проблемы могут возникнуть не с конкретными продуктами по защите, а при выработке общих подходов между специалистами по функциональной безопасности и службой ИБ. Основная цель функциональной безопасности – защита от аварий на опасных производствах и купирование последствий. Она регулируется отдельным законодательством, которое развивается с середины прошлого века и в нем наработаны достаточно жесткие требования по реакции на опасные события. Системы функциональной безопасности должны своевременно предотвратить аварии и опасные последствия для окружающих.
Сейчас появление стандарта практически не влияет на рынок ИБ, но может помочь в будущем, – считает Екатерина Рудина. – Рынок отечественных средств защиты промышленных инфраструктур от кибератак уже учитывает специфику защищаемых систем и специфику рисков. Те предприятия, которые все еще не используют средства защиты от кибератак, вряд ли следят и за ГОСТами. Инструмент тут идет прежде процедуры, и это вполне корректно с точки зрения необходимости «тушения пожаров» в области ИБ промышленной экосистемы: когда атакуют, нужно прежде отразить атаку, а затем выстраивать более эффективную и скоординированную защиту от будущих угроз. Мы ожидаем роста зрелости промышленности в отношении противодействия целевым угрозам, и с этой точки зрения заинтересованным предприятиям, прежде всего, в сфере КИИ, новый стандарт поможет выстроить более цельную и устойчивую систему защиты. |
Следует отметить, что переводчиками стандарта являются «ЭОС Тех» и «Российский институт стандартизации», которые провели процедуру его принятия через технический комитет Росстандарта №58 «Функциональная безопасность». В то же время ГОСТы по информационной безопасности, которые разрабатываются ФСТЭК для регулирования объектов КИИ, обычно проходят через ТК №362 «Защита информации».
В целом же все ГОСТы являются рекомендательными до тех пор, пока другое явно не прописано в законодательных актах. Будет ли ФСТЭК или другое ведомство включать в свои приказы, регулирующие информационную безопасность промышленных объектов КИИ (например приказ ФСТЭК №31), ссылки на ГОСТ Р 71452-2024, пока неясно. В целом понятие критической информационной инфраструктуры шире – оно включает и телекоммуникационные, и финансовые компании. Возможно, некоторые ведомства включат этот стандарт в свои приказы или методички для реализации требований по защите КИИ. Вариантов сделать документ обязательным много, и какой из них будет принят пока неизвестно.