ГОСТ Р 56205—2014
знанную проблему. А это в свою очередь требует более структурированных директив и регламентов
для определения кибербезоласности, применимой к системам промышленной автоматики и контроля, а
также возможности их соответствующего взаимодействия с другими системами.
4.4 Потенциальные воздействия
Л
ица, которым известны особенности открытых операционных систем (OS) и сетей, потенци
ально способны получать несанкционированный доступ к консольным устройствам, дистанционным
устройствам, базам данных и. в некоторых случаях, управляющим платформам. Последствия про
никновений злоумышленников в системы промышленной автоматики и контроля могут включать в
себя:
a) несанкционированный доступ, кража или ненадлежащее использование конфиденциальной
информации;
b
) разглашение информации неавторизованным адресатам;
c) потерю целостности или надежности технологических данных и информации о производстве;
d) потерю работоспособности систем;
e) технологические сбои, ведущие к нарушению функционирования процессов, ухудшению каче
ства продукции, увеличению производственных потерь, нарушению безопасности процессов или вы
бросам в окружающую среду;
f) повреждение оборудования;
д) причинение вреда здоровью работников;
h) нарушение нормативно-правовых требований;
i) угрозу здоровью населения и потери доверия со стороны общественности;
j) угрозу национальной безопасности.
5 Базовые концепции
5.1 Общие положения
В настоящем разделе изложены несколько базовых концепций, которые образуют основу для
понимания последующих разделов настоящего стандарта и других стандартов серии МЭК 62443. В
частности, в настоящем разделе рассмотрены следующие вопросы:
a) в чем заключаются главные концепции, используемые для описания безопасности:
b
) в чем заключаются важные концепции, образующие основу исчерпывающей программы безо
пасности.
5.2 Цели безопасности
Информационная безопасность изначально была направлена на достижение трех целей —
конфиденциальности, целостности и доступности, которые часто обозначаются аббревиатурой CIA.
Стратегия информационно-технической безопасности для типичного бэк-офиса или бизнес-системы
может ставить на первое место конфиденциальность и меры по управлению доступом, необходимые
для ее достижения. Второй по приоритетности может быть целостность, а последней —
доступность.
В контексте систем промышленной автоматики и контроля общая приоритетность этих целей
зачастую различна. Безопасность в таких системах затрагивает в основном поддержание работоспо
собности всех компонентов систем. Существуют риски, относящиеся к промышленному оборудова
нию. которое управляется, контролируется или подвергается иному воздействию со стороны систем
промышленной автоматики и контроля. Таким образом, целостность часто стоит на втором месте по
значимости. Обычно конфиденциальность еще менее важна, поскольку данные часто бывают «сы
рыми» и требуют анализа в рамках контекста, который позволит получить конкретные значения.
Существенную роль играет аспект времени отклика. Требуемое время отклика систем управле
ния может составлять порядка одной миллисекунды, в то время как традиционные бизнес-системы
способны успешно функционировать при времени отклика от одной до нескольких секунд.
В некоторых случаях приоритеты обратны, как показано на рисунке 1.
17