ФЕДЕРАЛЬНОЕ
АГЕНТСТВО Системы
промышленной автоматизации СРЕДСТВА
ИНФОРМАЦИОННОЙ ПОДДЕРЖКИ БЕЗОПАСНОСТЬ ИНФОРМАЦИИ Основные положения и общие требования Предисловие 1 РАЗРАБОТАН Открытым акционерным обществом «Финансовая лизинговая компания» совместно с Закрытым акционерным обществом «РНТ» при участии Федерального государственного образовательного учреждения дополнительного профессионального образования «Государственный центр профессиональной переподготовки и повышения квалификации кадров в области CALS-технологий» и Ассоциации ЕВРААС 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий» 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 14 декабря 2006 г. № 304-ст 4 ВВЕДЕН ВПЕРВЫЕ 5 ПЕРЕИЗДАНИЕ. Август 2018 г. Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru) НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Системы промышленной автоматизации и их интеграция СРЕДСТВА ИНФОРМАЦИОННОЙ ПОДДЕРЖКИ ЖИЗНЕННОГО ЦИКЛА ПРОДУКЦИИ БЕЗОПАСНОСТЬ ИНФОРМАЦИИ Основные положения и общие требования Industrial
automation systems and integration. Product life cycle information support
means. Information security. Basic Дата введения - 2007-07-01 1 Область примененияНастоящий стандарт устанавливает основные положения при задании требований и общие требования по безопасности информации к средствам информационной поддержки жизненного цикла продукции и предназначен для использования заказчиками, разработчиками, владельцами и пользователями средств информационной поддержки жизненного цикла продукции. 2 Нормативные ссылкиВ настоящем стандарте использованы ссылки на следующие стандарты: ГОСТ Р 1.0-2004 Стандартизация в Российской Федерации. Основные положения ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов по указателю «Национальные стандарты», составленному по состоянию на 1 января текущего года, и по соответствующим информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку. 3 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями: 3.1 продукция: Результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях. 3.2 средства информационной поддержки жизненного цикла продукции (СИПЖЦП): Аппаратные, программно-аппаратные, программные средства, реализующие процессы сбора, обработки, накопления, хранения и поиска информации в интегрированной информационной среде. 3.3 информационная поддержка жизненного цикла продукции: Концепция и идеология информационной поддержки жизненного цикла продукции на всех его стадиях, основанные на использовании единого информационного пространства (интегрированной информационной среды), обеспечивающие единообразные способы информационного взаимодействия всех участников этого цикла: заказчиков продукции (включая государственные учреждения и ведомства), поставщиков (производителей) продукции, эксплуатационного и обслуживающего персонала, реализованные посредством нормативных документов (НД), регламентирующих правила указанного взаимодействия преимущественно посредством электронного обмена данными. 3.4 интегрированная информационная среда (ИИС): Совокупность распределенных баз данных, содержащих сведения о продукции, производственной среде, ресурсах и процессах предприятия, обеспечивающая корректность, актуальность, сохранность и доступность данных субъектов производственно-хозяйственной деятельности, участвующих в осуществлении жизненного цикла продукции. Все данные в ИИС хранятся в виде информационных объектов. 3.5 жизненный цикл продукции (ЖЦП): Совокупность взаимосвязанных процессов (этапов) создания и последовательного изменения состояния продукции, обеспечивающей потребности заказчика. 3.6 участник обеспечения жизненного цикла продукции: Юридическое или физическое лицо, выполняющее (реализующее) один или несколько этапов жизненного цикла продукции и выступающее в роли заказчика либо исполнителя одного или нескольких этапов жизненного цикла продукции. 3.7 обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. 3.8 конфиденциальность информации: Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 3.9 доступность информации: Требование, обязательное для соблюдения владельцем СИПЖЦП, выполнение которого обеспечивает правомочным способом своевременный и надежный доступ к интерпретируемой в соответствии с определенной моделью информации о продукции и/или к функциональным возможностям СИПЖЦП. 3.10 целостность информации: Требование, обязательное для соблюдения владельцем СИПЖЦП, выполнение которого обеспечивает защиту информации от модификации, подмены и уничтожения неправомочным способом. 3.11 требования безопасности информации, обрабатываемой СИПЖЦП: Требования, выполнение которых обеспечивает конфиденциальность, целостность и доступность обрабатываемой СИПЖЦП информации о продукции на протяжении всех этапов ЖЦП. 3.12 функциональные требования: Требования, определяющие уровень функциональных возможностей СИПЖЦП, обеспечивающих безопасность обрабатываемой информации о продукции. 3.13 требования доверия: Требования, определяющие уровень уверенности в корректности и эффективности реализации функциональных возможностей СИПЖЦП. 3.14 владелец СИПЖЦП: Субъект, осуществляющий владение и пользование СИПЖЦП и реализующий право распоряжения в пределах, установленных договором между ним и собственником. 3.15 собственник СИПЖЦП: Субъект, в полном объеме реализующий право владения, пользования, распоряжения СИПЖЦП. 3.16 специальные средства информационной поддержки жизненного цикла продукции: Средства информационной поддержки жизненного цикла продукции, соответствующие установленным требованиям безопасности информации и предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну. 4 Основные положения4.1 Требования настоящего стандарта, применяемые участниками обеспечения жизненного цикла продукции с целью обеспечения безопасности обрабатываемой СИПЖЦП информации о продукции, предъявляются также к самим СИПЖЦП. 4.2 К программным средствам информационной поддержки жизненного цикла продукции относят: общесистемные средства (операционные системы, драйверы, системы управления базами данных, средства защиты информации и средства их реализации) и прикладные средства (средства управления предприятиями и средства управления жизненным циклом продукции). К аппаратным средствам информационной поддержки жизненного цикла продукции относят средства вычислительной техники, сетевое оборудование. К защищаемым ресурсам относят структуру и содержание информации о продукции на всех этапах ее жизненного цикла, а также СИПЖЦП. Структура информации описывается системой информационных моделей, классификация которых приведена в таблице 1. 4.3 Угрозы защищаемым ресурсам подразделяют на следующие основные группы: - угрозы, связанные с осуществлением несанкционированного доступа к информации, содержащей сведения о продукции, при ее обработке и хранении; - угрозы, связанные с несанкционированным копированием информации, содержащей сведения о продукции; - угрозы, связанные с перехватом информации, содержащей сведения о продукции, из каналов передачи данных с использованием специализированных программно-технических средств; - угрозы, связанные с нарушением целостности информации, содержащей сведения о продукции, вследствие сбоев (отказов) программного и аппаратного обеспечения; - угрозы, связанные с отсутствием санкционированного доступа к информации о продукции для участников обеспечения жизненного цикла продукции; - угрозы, связанные с нарушением доступности и целостности СИПЖЦП. Таблица 1 - Классификация информационных моделей
5 Общие требования5.1 Аппаратные средства информационной поддержки жизненного цикла продукции должны соответствовать требованиям по защите информации ограниченного доступа от утечки по техническим каналам. 5.2 Требования безопасности информации к СИПЖЦП должны включать в себя функциональные требования и требования доверия. 5.3 Функциональные требования должны включать в себя требования к: - аудиту безопасности; - идентификации и аутентификации субъектов доступа; - управлению доступом; - обеспечению доступности используемых ресурсов. 5.4 СИПЖЦП должны обеспечивать: а) регистрацию событий, которые потенциально могут являться признаками реализации видов угроз в соответствии с 4.3; б) проверку подлинности субъектов доступа (пользователей, программных процессов), участвующих в обработке информации о продукции; в) управление доступом субъектов, допущенных к обработке информации о продукции, в соответствии с их полномочиями; г) возможность восстановления информации о продукции при сбоях и отказах программно-аппаратных средств; д) гарантированный доступ к информации о продукции на всех этапах ее жизненного цикла. 5.5 Порядок задания и конкретизация содержания требований 5.4 к СИПЖЦП определяются в соответствии с ГОСТ Р ИСО/МЭК 15408-2. 5.6 Требования доверия к СИПЖЦП должны включать в себя требования к: - безопасности разработки; - методическому и инструментальному обеспечению разработки; - мерам и процедурам устранения ошибок в СИПЖЦП; - проектной документации; - управлению конфигурацией; - эксплуатационным документам; - функциональному тестированию; - поставке и вводу в эксплуатацию. 5.7 Для обеспечения требований безопасности разработки в комплект СИПЖЦП должны входить документы по безопасности разработки, содержащие описание методов и среды разработки. Описание среды разработки должно включать в себя описание всех опций инструментальных средств, от которых зависит реализация СИПЖЦП. 5.8 Для обеспечения требований по устранению выявленных в процессе эксплуатации ошибок в комплект СИПЖЦП должны входить документы с описанием процедур устранения ошибок в СИПЖЦП. 5.8.1 Документы с описанием процедур устранения ошибок в СИПЖЦП должны содержать: - описание процедур, используемых при устранении ошибок в каждой версии (редакции, выпуске) СИПЖЦП; - руководства по внесению исправлений в СИПЖЦП, описание механизмов, используемых для предоставления потребителям СИПЖЦП информации об ошибках и исправлениях; - описание ошибок и исправлений в СИПЖЦП, признаков их проявления, а также степени завершенности исправлений; - описание процедуры установления контактов потребителей с разработчиками (производителями) СИПЖЦП; - описание процедуры приема и обработки информации об ошибках и исправлениях в СИПЖЦП. 5.8.2 Процедуры устранения ошибок и внесения исправлений в СИПЖЦП должны включать в себя процедуры уведомления зарегистрированных потребителей и исправления ошибок оперативными методами. 5.9 Для обеспечения выполнения требований к проектной документации в состав проектной документации должна входить функциональная спецификация, содержащая описание всех функций СИПЖЦП и их внешних интерфейсов, описание всех базовых аппаратных, программно-аппаратных и/или программных средств (платформ), необходимых для выполнения функций СИПЖЦП. 5.10 Для обеспечения выполнения требований к управлению конфигурацией СИПЖЦП должны маркироваться специальными знаками. Маркировка должна быть уникальной для каждой версии (редакции, выпуска) СИПЖЦП. Разработчиком СИПЖЦП должен быть организован строгий учет специальных знаков. Документы по управлению конфигурацией должны содержать описание мер и процедур, обеспечивающих внесение только санкционированных изменений в СИПЖЦП. 5.11 Для обеспечения выполнения требований к эксплуатационным документам в их состав должны входить руководство администратора и руководство пользователя. 5.11.1 Руководство администратора должно включать в себя описание: - функций СИПЖЦП, выполняемых администратором, и правил их настройки; - условий применения СИПЖЦП; - процедур установки (при необходимости - генерации) и запуска СИПЖЦП; - контролируемых администратором параметров СИПЖЦП и их значений. 5.11.2 Руководство пользователя должно включать в себя описание: - функций, доступных пользователям; - ограничений на применение функций, доступных для пользователей; - процедур установки (при необходимости - генерации) и запуска СИПЖЦП; - условий применения СИПЖЦП. 5.12 Для обеспечения требований к функциональному тестированию СИПЖЦП в тестовых документах должно быть приведено описание тестов, процедур и результатов тестирования. 5.13 В состав требований доверия к СИПЖЦП должны быть включены требования к их поставке и вводу в эксплуатацию. 5.13.1 Организация поставки должна включать в себя процедуры обеспечения безопасности при передаче СИПЖЦП от производителя собственнику (владельцу). 5.13.2 Процедуры обеспечения безопасности должны предусматривать передачу от производителя собственнику (владельцу) описания процедур установки, генерации и запуска СИПЖЦП. 5.13.3 Процедуры обеспечения безопасности при передаче СИПЖЦП от производителя собственнику должны, при наличии требований безопасности информации, предусматривать порядок предоставления/передачи исходных текстов программных средств. 5.14 Порядок задания и конкретизация содержания требований 5.7 - 5.13 определяются в соответствии с ГОСТ Р ИСО/МЭК 15408-3. 5.15 Для обработки информации, содержащей сведения, составляющие государственную тайну, применяют специальные СИПЖЦП. 5.16 Специальные СИПЖЦП должны соответствовать требованиям, заданным в 5.7 - 5.13, и, кроме того, подвергаться контролю, включая проверку отсутствия недекларированных возможностей, в соответствии с требованиями правомерно принятых нормативных документов федеральных органов исполнительной власти. Результаты контроля должны быть включены в состав документов по безопасности разработки специальных СИПЖЦП. 5.17 В случае использования криптографических средств (шифровальных, имитозащиты, электронной цифровой подписи) для обеспечения безопасности информации необходимо руководствоваться требованиями правомерно принятых нормативных документов федеральных органов исполнительной власти.
Ключевые слова: системы автоматизации производства, информационная поддержка жизненного цикла продукции, безопасность информации, стандартизация
|