ГОСТ Р 52611-2006 Системы промышленной автоматизации и их интеграция. Средства информационной поддержки жизненного цикла продукции. Безопасность информации. Основные положения и общие требования
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ |
||
|
НАЦИОНАЛЬНЫЙ |
ГОСТ P |
Системы промышленной автоматизации и их интеграция
СРЕДСТВА ИНФОРМАЦИОННОЙ ПОДДЕРЖКИ ЖИЗНЕННОГО ЦИКЛА ПРОДУКЦИИ
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
Основные положения и общие требования
|
Москва Стандартинформ 2007 |
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г . № 184- ФЗ «О техническом регулировании» , а правила применения национальных стандартов Российской Федерации - ГОСТ P 1.0- 2004 «Стандартизация в Российской Федерации . Основные положения»
Сведения о стандарте
1. РАЗРАБОТАН Открытым акционерным обществом «Финансовая лизинговая компания» совместно с Закрытым акционерным обществом «РНТ» при участии Федерального государственного образовательного учреждения дополнительного профессионального образования «Государственный центр профессиональной переподготовки и повышения квалификации кадров в области CALS - технологий» и Ассоциации ЕВРААС
2. ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»
3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 14 декабря 2006 г . № 304- ст
4. ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие ( прекращении действия ) настоящего стандарта , изменениях и поправках к нему , а также тексты изменений и поправок к ним публикуются в ежегодно издаваемом информационном указателе «Национальные стандарты» , а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты» . В случае пересмотра ( замены ) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты» . Соответствующая информация , уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Содержание
1. Область применения 2. Нормативные ссылки 3 . Термины и определения 4. Основные положения 5. Общие требования |
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Системы промышленной автоматизации и их интеграция СРЕДСТВА ИНФОРМАЦИОННОЙ ПОДДЕРЖКИ ЖИЗНЕННОГО ЦИКЛА ПРОДУКЦИИ . БЕЗОПАСНОСТЬ ИНФОРМАЦИИ Основные положения и общие требования Industrial automation systems and integration. Product life cycle information support means. Information security. Basic provisions and general requirements |
Дата введения - 2007 - 07 - 01
1. Область применения
Настоящий стандарт устанавливает основные положения при задании требований и общие требования по безопасности информации к средствам информационной поддержки жизненного цикла продукции и предназначен для использования заказчиками , разработчиками , владельцами и пользователями средств информационной поддержки жизненного цикла продукции .
2. Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие стандарты :
ГОСТ P 1.0- 2004 Стандартизация в Российской Федерации . Основные положения
ГОСТ P ИСО /МЭК 15408-2- 2002 Информационная технология . Методы и средства обеспечения безопасности . Критерии оценки безопасности информационных технологий . Часть 2. Функциональные требования безопасности
ГОСТ P ИСО /МЭК 15408-3- 2002 Информационная технология . Методы и средства обеспечения безопасности . Критерии оценки безопасности информационных технологий . Часть 3. Требования доверия к безопасности
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов по указателю «Национальные стандарты» , составленному по состоянию на 1 января текущего года , и по соответствующим информационным указателям , опубликованным в текущем году . Если ссылочный стандарт заменен ( изменен ), то при пользовании настоящим стандартом следует руководствоваться замененным ( измененным ) стандартом . Если ссылочный стандарт отменен без замены , то положение , в котором дана ссылка на него , применяется в части , не затрагивающей эту ссылку .
3. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями :
3.1. продукция : Результат деятельности , представленный в материально - вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях .
3.2. средства информационной поддержки жизненного цикла продукции ( СИПЖЦП ): Аппаратные , программно - аппаратные , программные средства , реализующие процессы сбора , обработки , накопления , хранения и поиска информации в интегрированной информационной среде .
3.3. информационная поддержка жизненного цикла продукции : Концепция и идеология информационной поддержки жизненного цикла продукции на всех его стадиях , основанные на использовании единого информационного пространства ( интегрированной информационной среды ), обеспечивающие единообразные способы информационного взаимодействия всех участников этого цикла : заказчиков продукции ( включая государственные учреждения и ведомства ), поставщиков ( производителей ) продукции , эксплуатационного и обслуживающего персонала , реализованные посредством нормативных документов ( НД ), регламентирующих правила указанного взаимодействия преимущественно посредством электронного обмена данными .
3.4. интегрированная информационная среда ( ИИС ): Совокупность распределенных баз данных , содержащих сведения о продукции , производственной среде , ресурсах и процессах предприятия , обеспечивающая корректность , актуальность , сохранность и доступность данных субъектов производственно - хозяйственной деятельности , участвующих в осуществлении жизненного цикла продукции . Все данные в ИИС хранятся в виде информационных объектов .
3.5. жизненный цикл продукции ( ЖЦП ): Совокупность взаимосвязанных процессов ( этапов ) создания и последовательного изменения состояния продукции , обеспечивающей потребности заказчика .
3.6. участник обеспечения жизненного цикла продукции : Юридическое или физическое лицо , выполняющее ( реализующее ) один или несколько этапов жизненного цикла продукции и выступающее в роли заказчика либо исполнителя одного или нескольких этапов жизненного цикла продукции .
3.7. обладатель информации : Лицо , самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации , определяемой по каким - либо признакам .
3.8. конфиденциальность информации : Обязательное для выполнения лицом , получившим доступ к определенной информации , требование не передавать такую информацию третьим лицам без согласия ее обладателя .
3.9. доступность информации : Требование , обязательное для соблюдения владельцем СИПЖЦП , выполнение которого обеспечивает правомочным способом своевременный и надежный доступ к интерпретируемой в соответствии с определенной моделью информации о продукции и / или к функциональным возможностям СИПЖЦП .
3.10. целостность информации : Требование , обязательное для соблюдения владельцем СИПЖЦП , выполнение которого обеспечивает защиту информации от модификации , подмены и уничтожения неправомочным способом .
3.11. требования безопасности информации , обрабатываемой СИПЖЦП : Требования , выполнение которых обеспечивает конфиденциальность , целостность и доступность обрабатываемой СИПЖЦП информации о продукции на протяжении всех этапов ЖЦП .
3.12. функциональные требования : Требования , определяющие уровень функциональных возможностей СИПЖЦП , обеспечивающих безопасность обрабатываемой информации о продукции .
3.13. требования доверия : Требования , определяющие уровень уверенности в корректности и эффективности реализации функциональных возможностей СИПЖЦП .
3.14. владелец СИПЖЦП : Субъект , осуществляющий владение и пользование СИПЖЦП и реализующий право распоряжения в пределах , установленных договором между ним и собственником .
3.15. собственник СИПЖЦП : Субъект , в полном объеме реализующий право владения , пользования , распоряжения СИПЖЦП .
3.16. специальные средства информационной поддержки жизненного цикла продукции : Средства информационной поддержки жизненного цикла продукции , соответствующие установленным требованиям безопасности информации и предназначенные для обработки информации , содержащей сведения , составляющие государственную тайну .
4. Основные положения
4.1. Требования настоящего стандарта , применяемые участниками обеспечения жизненного цикла продукции с целью обеспечения безопасности обрабатываемой СИПЖЦП информации о продукции , предъявляются также к самим СИПЖЦП .
4.2. К программным средствам информационной поддержки жизненного цикла продукции относят : общесистемные средства ( операционные системы , драйверы , системы управления базами данных , средства защиты информации и средства их реализации ) и прикладные средства ( средства управления предприятиями и средства управления жизненным циклом продукции ).
К аппаратным средствам информационной поддержки жизненного цикла продукции относят средства вычислительной техники , сетевое оборудование .
К защищаемым ресурсам относят структуру и содержание информации о продукции на всех этапах ее жизненного цикла , а также СИПЖЦП .
Структура информации описывается системой информационных моделей , классификация которых приведена в таблице 1.
4.3. Угрозы защищаемым ресурсам подразделяют на следующие основные группы :
- угрозы , связанные с осуществлением несанкционированного доступа к информации , содержащей сведения о продукции , при ее обработке и хранении ;
- угрозы , связанные с несанкционированным копированием информации , содержащей сведения о продукции ;
- угрозы , связанные с перехватом информации , содержащей сведения о продукции , из каналов передачи данных с использованием специализированных программно - технических средств ;
- угрозы , связанные с нарушением целостности информации , содержащей сведения о продукции , вследствие сбоев ( отказов ) программного и аппаратного обеспечения ;
- угрозы , связанные с отсутствием санкционированного доступа к информации о продукции для участников обеспечения жизненного цикла продукции ;
- угрозы , связанные с нарушением доступности и целостности СИПЖЦП .
Таблица 1 - Классификация информационных моделей
Предметная область информации |
Этапы ЖЦП |
||||
Маркетинг |
Проектирование и разработка продукции, планирование и разработка процессов закупки |
Производство или предоставление услуг, упаковка и хранение |
Реализация |
Установка и ввод в эксплуатацию, техническое обслуживание, эксплуатация, утилизация |
|
Информация о продукции (изделии) |
Маркетинговая модель продукции (модель требований) |
Конструкторская модель продукции |
Производственно-технологическая модель продукции |
Сбытовая модель продукции |
Эксплуатационная модель изделия |
Информация о процессах, происходящих в ходе ЖЦП |
Модель процессов маркетинга |
Модель процессов проектирования, разработки, планирования, закупок |
Модель процессов производства |
Модель процессов продаж |
Модель процессов эксплуатации, обслуживания и утилизации |
Информация о среде, в которой реализуются соответствующие стадии ЖЦП |
Модели рынка и его сегментов |
Модель инженерно-управленческой среды |
Модель производственно-технологической среды |
Модели рынка и его сегментов |
Модель эксплуатационной среды, среды утилизации |
5. Общие требования
5.1. Аппаратные средства информационной поддержки жизненного цикла продукции должны соответствовать требованиям по защите информации ограниченного доступа от утечки по техническим каналам .
5.2. Требования безопасности информации к СИПЖЦП должны включать в себя функциональные требования и требования доверия .
5.3. Функциональные требования должны включать в себя требования к :
- аудиту безопасности ;
- идентификации и аутентификации субъектов доступа ;
- управлению доступом ;
- обеспечению доступности используемых ресурсов .
5.4. СИПЖЦП должны обеспечивать :
а ) регистрацию событий , которые потенциально могут являться признаками реализации видов угроз в соответствии с 4.3;
б ) проверку подлинности субъектов доступа ( пользователей , программных процессов ), участвующих в обработке информации о продукции ;
в ) управление доступом субъектов , допущенных к обработке информации о продукции , в соответствии с их полномочиями ;
г ) возможность восстановления информации о продукции при сбоях и отказах программно - аппаратных средств ;
д ) гарантированный доступ к информации о продукции на всех этапах ее жизненного цикла .
5.5. Порядок задания и конкретизация содержания требований 5.4 к СИПЖЦП определяются в соответствии с ГОСТ P ИСО /МЭК 15408-2 .
5.6. Требования доверия к СИПЖЦП должны включать в себя требования к :
- безопасности разработки ;
- методическому и инструментальному обеспечению разработки ;
- мерам и процедурам устранения ошибок в СИПЖЦП ;
- проектной документации ;
- управлению конфигурацией ;
- эксплуатационным документам ;
- функциональному тестированию ;
- поставке и вводу в эксплуатацию .
5.7. Для обеспечения требований безопасности разработки в комплект СИПЖЦП должны входить документы по безопасности разработки , содержащие описание методов и среды разработки . Описание среды разработки должно включать в себя описание всех опций инструментальных средств , от которых зависит реализация СИПЖЦП .
5.8. Для обеспечения требований по устранению выявленных в процессе эксплуатации ошибок в комплект СИПЖЦП должны входить документы с описанием процедур устранения ошибок в СИПЖЦП .
5.8.1. Документы с описанием процедур устранения ошибок в СИПЖЦП должны содержать :
- описание процедур , используемых при устранении ошибок в каждой версии ( редакции , выпуске ) СИПЖЦП ;
- руководства по внесению исправлений в СИПЖЦП , описание механизмов , используемых для предоставления потребителям СИПЖЦП информации об ошибках и исправлениях ;
- описание ошибок и исправлений в СИПЖЦП , признаков их проявления , а также степени завершенности исправлений ;
- описание процедуры установления контактов потребителей с разработчиками ( производителями ) СИПЖЦП ;
- описание процедуры приема и обработки информации об ошибках и исправлениях в СИПЖЦП .
5.8.2. Процедуры устранения ошибок и внесения исправлений в СИПЖЦП должны включать в себя процедуры уведомления зарегистрированных потребителей и исправления ошибок оперативными методами .
5.9. Для обеспечения выполнения требований к проектной документации в состав проектной документации должна входить функциональная спецификация , содержащая описание всех функций СИПЖЦП и их внешних интерфейсов , описание всех базовых аппаратных , программно - аппаратных и / или программных средств ( платформ ), необходимых для выполнения функций СИПЖЦП .
5.10. Для обеспечения выполнения требований к управлению конфигурацией СИПЖЦП должны маркироваться специальными знаками . Маркировка должна быть уникальной для каждой версии ( редакции , выпуска ) СИПЖЦП . Разработчиком СИПЖЦП должен быть организован строгий учет специальных знаков . Документы по управлению конфигурацией должны содержать описание мер и процедур , обеспечивающих внесение только санкционированных изменений в СИПЖЦП .
5.11. Для обеспечения выполнения требований к эксплуатационным документам в их состав должны входить руководство администратора и руководство пользователя .
5.11.1. Руководство администратора должно включать в себя описание :
- функций СИПЖЦП , выполняемых администратором , и правил их настройки ;
- условий применения СИПЖЦП ;
- процедур установки ( при необходимости - генерации ) и запуска СИПЖЦП ;
- контролируемых администратором параметров СИПЖЦП и их значений .
5.11.2 Руководство пользователя должно включать в себя описание :
- функций , доступных пользователям ;
- ограничений на применение функций , доступных для пользователей ;
- процедур установки ( при необходимости - генерации ) и запуска СИПЖЦП ;
- условий применения СИПЖЦП .
5.12. Для обеспечения требований к функциональному тестированию СИПЖЦП в тестовых документах должно быть приведено описание тестов , процедур и результатов тестирования .
5.13. В состав требований доверия к СИПЖЦП должны быть включены требования к их поставке и вводу в эксплуатацию .
5.13.1. Организация поставки должна включать в себя процедуры обеспечения безопасности при передаче СИПЖЦП от производителя собственнику ( владельцу ).
5.13.2. Процедуры обеспечения безопасности должны предусматривать передачу от производителя собственнику ( владельцу ) описания процедур установки , генерации и запуска СИПЖЦП .
5.13.3. Процедуры обеспечения безопасности при передаче СИПЖЦП от производителя собственнику должны , при наличии требований безопасности информации , предусматривать порядок предоставления / передачи исходных текстов программных средств .
5.14. Порядок задания и конкретизация содержания требований 5.7 - 5.13 определяются в соответствии с ГОСТ P ИСО / МЭК 15408-3.
5.15. Для обработки информации , содержащей сведения , составляющие государственную тайну , применяют специальные СИПЖЦП .
5.16. Специальные СИПЖЦП должны соответствовать требованиям , заданным в 5.7 - 5.13, и , кроме того , подвергаться контролю , включая проверку отсутствия недекларированных возможностей , в соответствии с требованиями правомерно принятых нормативных документов федеральных органов исполнительной власти .
Результаты контроля должны быть включены в состав документов по безопасности разработки специальных СИПЖЦП .
5.17. В случае использования криптографических средств ( шифровальных , имитозащиты , электронной цифровой подписи ) для обеспечения безопасности информации необходимо руководствоваться требованиями правомерно принятых нормативных документов федеральных органов исполнительной власти .
Ключевые слова: системы автоматизации производства, информационная поддержка жизненного цикла продукции, безопасность информации, стандартизация |