- Алфавитный указатель терминов на английском языке
- ГОСТ 33358-2015
- 1 Область применения
- 10 Мероприятия по управлению информационной безопасностью, подлежащие реализации в ОАО «РЖД»
- 3 Сокращения
- 8 Нормативно-методическое обеспечение управления информационной безопасностью ОАО «РЖД»
- 9 Принципы организации планирования мероприятий по управлению ИБ ОАО «РЖД»
- 4 Термины и определения
- Предисловие
- 1 Область применения
- Алфавитный указатель терминов на русском языке
- Сведения о стандарте
- Приложение А (рекомендуемое)
- 5 Задачи и принципы управления информационной безопасностью ОАО «РЖД»
- 7 Организационная структура управления информационной безопасностью ОАО «РЖД»
Алфавитный указатель терминов на английском языке
active safeguarding 44
acceptable risk 41
acceptable risk level 41
allocation of functional safety requirements 21
analytical functional safety assessment 23
analytical-experimental functional safety assessment 24
common cause failures 13
consequence analysis 39
error control 65
error protection 65
experimental functional safety assessment 25
external safeguarding 47
failure flow 14
fault tolerance 17
frequency analysis 38
functional safety 2
functional safety assessment 22
functional safety assurance 19
functional safety control 18
functional safety measure 48
hazard log 33
hazard rate 52
hazardous event 4
hazardous failure 7
hazardous failure criteria 8
hazardous failure flow 15
hazardous failure probability 50
hazardous state 6
mean time to hazardous failure 51
message errors 64
passive safeguarding 45
probability of safe functionality 49
protective failure 10
protective measure 43
protective state 9
random failure 12
redundancy check 67
risk analysis 36
risk based approach 35
risk evaluation 40
risk identification 37
risk reduction 42
safe state 5
safety case 31
safety code 66
safety conception 28
ГОСТ 33358-2015
Применение для железнодорожного транспорта — Системы связи, сигнализации и обработки данных — Программное обеспечение для железнодорожных систем управления и защиты (Railway applications — Communications, signaling and processing systems -Software for railway control and protection systems)
УДК 629.4.058:006.354 МКС 01.040.45
Ключевые слова: термин, определение, система управления, функциональная безопасность, риск, защита, показатель
Редактор М.И. Максимова Технический редактор А.Б. Заварзина Корректор В.Г. Смолин Компьютерная верстка Д.Е. Першин
Подписано в печать 24.11.2016. Формат 60x84V8. Гарнитура Ариал. Уел. печ. л. 2,32. Уч.-изд. л. 2,10. Тираж 5 экз. Зак. 2974.
Планирование мероприятий по совершенствованию системы
управления ИБ и защите информационных активов ОАО «РЖД» должно осуществляться
на двух уровнях (рисунок 6):
Рисунок 6 — Планирование мероприятий по совершенствованию
СУИБ
1-ый уровень планирования — Департамент безопасности ОАО
«РЖД»
2-ой уровень планирования — филиалы ОАО «РЖД».
Департамент безопасности ОАО «РЖД» осуществляет следующие
виды планирования:
— долгосрочное планирование развития системы управления ИБ
ОАО «РЖД»;
— среднесрочное планирование совершенствования системы
управления ИБ ОАО «РЖД»;
— планирование защиты общих информационных активов
(ресурсов) ОАО «РЖД»;
— планирование создания и развития системы оценки
защищенности в масштабах ОАО «РЖД»;
— планирование переподготовки и повышения квалификации
персонала системы управления ИБ ОАО «РЖД»;
— планирование работы Департамента безопасности ОАО «РЖД» в
соответствии с планами ОАО «РЖД».
— Филиалы ОАО «РЖД» осуществляют следующие виды
планирования:
— планирование внедрения элементов системы управления ИБ в
соответствии с планами ОАО «РЖД»;
— планирование защиты собственных информационных активов
(ресурсов), не являющихся общими для ОАО «РЖД» в целом;
— планирование работы отделов (должностных лиц) по ИБ в
соответствии с планами филиалов ОАО «РЖД».
1 Область применения
Настоящий стандарт устанавливает термины и определения в области функциональной безопасности систем управления и обеспечения безопасности движения поездов.
Термины, устанавливаемые настоящим стандартом, применяют во всех видах документации и литературы, входящих в сферу деятельности железнодорожного транспорта или использующих результаты этой деятельности.
10 Мероприятия по управлению информационной
безопасностью, подлежащие реализации в ОАО «РЖД»
К мероприятиям управления ИБ, подлежащим реализации в ОАО
«РЖД», относятся следующие:
— активная поддержка процессов ИБ со стороны руководства ОАО
«РЖД»;
— координация деятельности, связанной с ИБ;
— четкое распределение и разделение обязанностей, связанных
с ИБ;
— инвентаризация всех значимых информационных активов;
— оценка значимости и категорирование информационных активов
и АИТС;
— эффективная организация информационных активов и АИТС как
объектов ИБ;
— анализ уязвимостей, формирование перечней угроз и характеристик
вероятных нарушителей;
— анализ и оценка рисков нарушения ИБ;
— эффективное проектирование мер, средств и систем
обеспечения ИБ;
— документирование должностных обязанностей персонала,
связанных с ИБ;
— проведение регулярного обучения персонала в области ИБ;
— определение мер дисциплинарного характера к нарушителям
ИБ;
— проведение предупредительных мероприятий при увольнении
сотрудников ОАО «РЖД»;
— физическая защита средств хранения и обработки информации;
— резервирование электропитания для критичных ресурсов;
— защита (контроль) кабелей электропитания и
телекоммуникационных кабелей;
— надлежащее регламентное обслуживание оборудования;
— контроль за перемещением оборудования;
— надлежащее документирование эксплуатационных процедур;
— разделение средств разработки, средств тестирования от
эксплуатируемых средств обработки информации;
— мониторинг производительности ресурсов АИТС и поддержание
необходимых эксплуатационных характеристик АИТС в случаях их масштабирования;
— наличие единых требований ИБ при разработке новых АИТС,
модернизации существующих АИТС;
— контроль за включением в АИТС новых средств обработки
информации, а также за модификацией (заменой) используемых;
— применение надлежащих методов идентификации и
аутентификации;
— разграничение доступа пользователей к ресурсам АИТС и
документирование процедур предоставления доступа пользователей к ресурсам АИТС;
— защита от компьютерных вирусов и вредоносного программного
обеспечения;
— осуществление регламентного резервного копирования
информации;
— реализация мер управления ИБ в вычислительных сетях;
— защита передаваемой информации;
— реализация надлежащих процедур управления съемными
носителями информации;
— реализация мероприятий по защите персональных данных при
их обработке в АИТС ОАО «РЖД»;
— реализация мониторинга ИБ и обеспечение аудита событий,
связанных с ИБ;
— периодическое проведение внутреннего аудита ИБ;
— реализация технологии «поддержки доверия» к оцененным
(аттестованным) по требованиям ИБ АИТС;
— периодический независимый анализ (оценка) состояния ИБ в
ОАО «РЖД».
3 Сокращения
АИТС — автоматизированная информационная и
телекоммуникационная система
ГВЦ — главный вычислительный центр
ЗБ — задание по безопасности
ИБ — информационная безопасность
ИВЦ — информационно-вычислительный центр — структурное
подразделение ГВЦ
ИТ — информационная технология
ПЗ — профиль защиты
ПО — программное обеспечение
СУИБ — система управления информационной безопасностью
СОИБ — система обеспечения информационной безопасности
8 Нормативно-методическое обеспечение управления
информационной безопасностью ОАО «РЖД»
Нормативно-методическое обеспечение управления ИБ ОАО «РЖД»
включает настоящий стандарт, другие стандарты и нормативные документы ОАО «РЖД»
по вопросам управления ИБ.
Основные типы стандартов (документов) по управлению ИБ,
выпускаемые в развитие и поддержку настоящего стандарта, представлены на
рисунке 5.
Рисунок 5 — Основные типы документов по управлению ИБ в
развитие и поддержку настоящего стандарта
Стандарт ОАО «РЖД» Управление ИБ. Общие положения определяет
организационную структуру СУИБ, основные принципы и общие требования к
управлению ИБ в ОАО «РЖД».
Политика ИБ ОАО «РЖД» определяет цели и задачи ОАО «РЖД» в
области обеспечения ИБ, реализуемые в соответствии с действующим
законодательством Российской Федерации и нормативными документами регулирующих
органов в области ИБ.
Положение определяет общий порядок выполнения некоторой
комплексной деятельности по управлению ИБ.
Руководство содержит рекомендации по подходам, способам и
методам выполнения некоторой деятельности по управлению ИБ.
Методика является детализированным описанием шагов по
выполнению некоторой деятельности или составляющей некоторой деятельности (то
есть, описание того, как делать).
Регламент является предписанием по выполнению конкретной
последовательности действий (этапов, шагов) в процессе выполнения некоторой
деятельности по управлению ИБ (то есть, описание того, кому, что, когда и в
какой последовательности необходимо делать).
Профили защиты (по ГОСТ
Р ИСО/МЭК 15408) определяют информационные активы конкретных типов АИТС ОАО
«РЖД», угрозы безопасности этим активам, положения применимых нормативных
документов, требования ИБ, предъявляемые к АИТС ОАО «РЖД» данного типа для
противостояния угрозам безопасности, реализации положений нормативных
документов и оценки достигнутого уровня ИБ.
Таким образом, профили защиты определяют для АИТС ОАО «РЖД»
конкретных типов требуемое состояние ИБ.
Текущее состояние ИБ конкретной АИТС ОАО «РЖД» отражается в
документе — задание по безопасности (по ГОСТ
Р ИСО/МЭК 15408). Текущее состояние ИБ АИТС ОАО «РЖД» (зафиксированное в
заданиях по безопасности) может отличаться от зафиксированного в профилях
защиты. В таких случаях имеющиеся расхождения являются предметом
краткосрочного, среднесрочного и долгосрочного планирования совершенствования
систем обеспечения ИБ АИТС ОАО «РЖД».
9 Принципы организации планирования мероприятий по
управлению ИБ ОАО «РЖД»
4 Термины и определения
В настоящем стандарте применены следующие термины с
соответствующими определениями:
4.1 анализ рисков: Систематическое использование информации
для определения источников и величины рисков.
4.2 безопасность ИТ: Состояние ИТ, определяющее защищенность
информационных активов от воздействия объективных и субъективных, внешних и
внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять
предписанные функции без нанесения неприемлемого ущерба.
4.3 доверие: Основание для уверенности в том, что ИТ-изделие
или АИТС отвечает целям безопасности и реализует предписанные функциональные
возможности безопасности.
4.4 доступность: Характеристика активов, определяющая
возможность своевременного и надежного доступа к ним.
4.5 задание по безопасности: Совокупность требований ИБ и
спецификаций, предназначенная для использования в качестве основы для оценки
конкретного ИТ-изделия или АИТС.
4.6 информационная безопасность: Состояние защищенности
информации, при котором обеспечиваются такие ее характеристики, как
конфиденциальность, целостность и доступность.
4.7 информационные активы: Информация или информационные
ресурсы, подлежащие защите в АИТС.
4.8 инцидент, относящийся к информационной безопасности:
Одно или ряд нежелательных или непредвиденных событий, относящихся к
информационной безопасности (событий безопасности), которые имеют существенную
вероятность компрометации бизнес-операций, нарушения ИБ автоматизированных
систем и/или информационных активов ОАО «РЖД».
4.9 ИТ-изделие: Обобщенный термин для ИТ-продуктов и
ИТ-систем.
4.10 конфиденциальность: Характеристика информации,
связанная с тем, что информация не станет доступной и не будет раскрыта
неуполномоченным лицам.
4.11 обработка рисков: Процесс выбора и реализации мер и
средств обеспечения безопасности ИТ для снижения риска нарушения ИБ.
4.12 остаточный риск: Риск нарушения ИБ, остающийся после
обработки рисков.
4.13 оценивание риска: Процесс сравнения риска нарушения ИБ
определенной величины с установленными критериями риска для определения
значимости риска.
4.14 оценка рисков: Общий процесс анализа рисков и
оценивания рисков.
4.15 принятие рисков: Решение принять существующий риск без
его обработки.
4.16 ИТ-продукт: Совокупность программных,
программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные
функциональные возможности и предназначенная для непосредственного
использования или включения в различные ИТ-системы и АИТС.
4.17 профиль защиты: Совокупность требований ИБ для
некоторого типа ИТ-изделий или АИТС, отвечающая существующим потребностям в
обеспечении ИБ.
4.18 ИТ-система: Специфическое воплощение ИТ с конкретным
назначением и условиями эксплуатации — программно-техническая основа АИТС.
4.19 система управления информационной безопасностью (СУИБ):
Система управления, предназначенная для разработки, внедрения, применения,
мониторинга, анализа, поддержания и совершенствования ИБ(1) ОАО
«РЖД».
— СУИБ включает
организационную структуру, нормативно-методическую базу ИБ (корпоративный
стандарт, политика ИБ, положения, руководства, методики, регламенты,
инструкции, процедуры), процессы, информационные, технические и другие ресурсы
4.20 событие, относящееся к информационной безопасности:
Определенное проявление состояния АИТС, информационной службы (сервиса) или
информационного ресурса, указывающее на возможные недостатки в политике ИБ или
недостатки мер защиты, или ранее неизвестную ситуацию, которая может повлиять
на ИБ ОАО «РЖД».
4.21 угроза: Совокупность условий и факторов, определяющих
потенциальную или реально существующую опасность возникновения инцидента,
который может привести к нанесению ущерба функционированию АИТС или
информационным ресурсам.
4.22 управление рисками: Скоординированные действия по
руководству и управлению ОАО «РЖД» в отношении рисков нарушения ИБ.
4.23 целостность: Характеристика информации, характеризующая
ее защищенность от модификации, подмены и уничтожения неправомочным способом.
Предисловие
1 РАЗРАБОТАН Обществом с ограниченной ответственностью
«Центр безопасности информации» (ООО «ЦБИ»)
2 ВНЕСЕН Департаментом безопасности ОАО «РЖД»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Распоряжением ОАО РЖД» от 11
марта 2009 г. № 480р
4 ВВЕДЕН ВПЕРВЫЕ
1 Область применения
Настоящий стандарт устанавливает: задачи и принципы
построения системы управления информационной безопасностью ОАО «РЖД»,
требования к организационной структуре и мерам управления информационной
безопасностью ОАО «РЖД», требования к нормативной и методической документации
по управлению информационной безопасностью ОАО «РЖД», принципы организации
планирования мероприятий по управлению информационной безопасностью ОАО «РЖД»,
основные меры управления информационной безопасностью ОАО «РЖД».
Настоящий стандарт предназначен для применения
подразделениями аппарата управления ОАО «РЖД», филиалами ОАО «РЖД» и иными
структурными подразделениями ОАО «РЖД».
Применение настоящего стандарта сторонними организациями
оговаривается в договорах (соглашениях) с ОАО «РЖД».
Алфавитный указатель терминов на русском языке
анализ последствий 39
анализ риска 36
анализ частоты 38
архитектура программного обеспечения 58
аттестация программного обеспечения 62
безопасность движения поездов 1
безопасность системы управления и обеспечения безопасности движения поездов функциональная 2
безопасность функциональная 2
вероятность безопасной работы 49
вероятность опасного отказа 50
время возврата к безопасному состоянию 53
доказательство безопасности 31
доказательство безопасности системы управления и обеспечения безопасности движения поездов 31
журнал учета опасностей 33
защита активная 44
защита пассивная 45
защита от ошибок 65
идентификация риска 37
интеграция системы 61
интенсивность опасных отказов 52
код безопасный 66
контроль по избыточости 67
концепция безопасности 28
концепция безопасности системы управления и обеспечения безопасности движения поездов 28
коэффициент безопасности 54
критерий опасного отказа 8
критерий опасного отказа системы управления и обеспечения безопасности движения поездов 8
мера защитная 43
метод оценки функциональной безопасности расчетно-экспериментальный 24
метод оценки функциональной безопасности расчетный 23
метод оценки функциональной безопасности экспериментальный 25
наработка до опасного отказа средняя 51
обеспечение программное, связанное с безопасностью 57
обеспечение функциональной безопасности 19
обеспечение функциональной безопасности системы управления и обеспечения безопасности движения поездов 19
отказ аппаратных средств случайный 12
отказ защитный 10
отказобезопасность системы управления и обеспечения
безопасности движения поездов 16
отказ опасный 7
отказоустойчивость железнодорожной техники 17
отказ систематический 11
отказ системы управления и обеспечения безопасности движения поездов защитный 10
отказ системы управления и обеспечения безопасности движения поездов опасный 7
отказ случайный 12
отказы по общей причине 13
отчет о состоянии функциональной безопасности 32
оценивание риска 40
оценка функциональной безопасности 22
ошибка при передаче сообщений 64
подход на основе риска 35
показатель функциональной безопасности 48
полнота безопасности 56
полнота безопасности программного обеспечения 59
полнота безопасности системы управления и обеспечения
безопасности движения поездов 56
поток опасных отказов 15
поток отказов 14
приемка программного обеспечения 63
программа обеспечения безопасности 29
программа обеспечения безопасности системы управления и обеспечения безопасности движения поездов 29
распределение требований функциональной безопасности 21
реакция по обеспечению функциональной безопасности 20
риск допустимый 41
снижение риска 42
событие опасное 4
состояние безопасное 5
состояние защитное 9
состояние опасное 6
состояние системы управления и обеспечения безопасности движения поездов безопасное 5
состояние системы управления и обеспечения безопасности движения поездов защитное 9
состояние системы управления и обеспечения безопасности движения поездов опасное 6
спецификация требований безопасности 30
спецификация требований безопасности системы управления и обеспечения безопасности движения поездов 30
средство защиты 46
средство защиты внешнее 47
управление функциональной безопасностью 18
управление функциональной безопасностью системы управления и обеспечения безопасности движения поездов 18
уровень полноты безопасности 55
уровень полноты безопасности программного обеспечения 60
уровень риска допустимый 41
функция безопасности 3
функция безопасности системы управления и обеспечения безопасности движения поездов 3
5.1 Задачи управления информационной безопасностью ОАО «РЖД»
В процессе управления ИБ ОАО «РЖД» в рамках СУИБ должны решаться
следующие задачи:
а) выполнение требований законодательства и нормативных
документов уполномоченных в области обеспечения ИБ государственных органов;
б) обеспечение информационной безопасности ОАО «РЖД» при
обработке и использовании информационных активов ОАО «РЖД»;
в) определение информационных активов ОАО «РЖД», подлежащих
защите;
г) определение категорий АИТС и информационных активов ОАО
«РЖД» с целью определения приоритетов и требуемых уровней защиты информации;
д) анализ уязвимостей, построение моделей нарушителей и
угроз безопасности информационных активов ОАО «РЖД»;
е) анализ и оценка рисков нарушения ИБ АИТС и информационных
активов ОАО «РЖД»;
ж) разработка моделей защиты АИТС и информационных активов
ОАО «РЖД»;
з) формирование требований безопасности информационных
активов ОАО «РЖД», предъявляемых к АИТС ОАО «РЖД»;
и) определение направлений обеспечения ИБ АИТС ОАО «РЖД»;
к) разработка общих тактико-технических требований по
обеспечению безопасности информации в АИТС ОАО «РЖД»;
л) определение рационального баланса технических и
организационных мер обеспечения безопасности информации, обрабатываемой в АИТС
ОАО «РЖД»;
м) разработка требований к подсистемам обеспечения ИБ АИТС,
используемых в ОАО «РЖД», оценка их соответствия и контроль выполнения;
н) обеспечение требуемого уровня ИБ посредством
проектирования, разработки, внедрения, оценки соответствия и сопровождения
систем обеспечения информационной безопасности АИТС ОАО «РЖД»;
о) разработка и внедрение системы управления ИБ в ОАО «РЖД»,
включая:
— разработку Политики ИБ и других документов по управлению
ИБ в ОАО «РЖД»;
— разработку, внедрение и сопровождение
инструментально-методического обеспечения управления ИБ, категорирование АИТС и
информационных активов, анализ и оценку рисков, формирование требований ИБ,
мониторинг ИБ, контроль и оценку защищенности АИТС и информационных активов ОАО
«РЖД»;
— разработку, внедрение и ведение информационно-справочного
обеспечения по вопросам ИБ, включая необходимые инструментальные средства;
п) разработка планов долгосрочного и среднесрочного развития
программы информационной безопасности ОАО «РЖД»;
р) обеспечение взаимоувязанного по времени, целям и задачам
взаимодействия структурных подразделений защиты информации ГВЦ и ИВЦ в
эксплуатационном сегменте информационного обеспечения производственной
деятельности ОАО «РЖД» в части реализации единой технической политики в области
защиты информационных ресурсов ОАО «РЖД»;
с) взаимодействие с уполномоченными в области обеспечения ИБ
государственными органами в ходе проведения проверок, инспекций и по текущим
вопросам обеспечения ИБ.
5.2 Принципы управления информационной безопасностью ОАО
«РЖД»
Устанавливаются следующие принципы управления ИБ ОАО «РЖД».
Законность — соответствие правовым нормам.
Достаточность и нормирование защиты — реализация технически
и экономически обоснованных уровней ИБ и мер защиты.
Базирование на рисках — выбор уровня ИБ, требований и мер ИБ
основывается на результатах анализа и оценки рисков реализации угроз
безопасности информационным активам ОАО «РЖД».
Надежность — сохранение безопасного состояния в случае сбоев
АИТС.
Соразмерность затрат на защиту — затраты на обеспечение ИБ
не должны превышать величину возможного ущерба, связанного с нарушением ИБ.
Простота — меры и механизмы обеспечения ИБ должны быть
насколько это возможно простыми.
Контроль доступа (управление доступом) — доступ к информации
должен осуществляться только с использованием средств, реализующих политику
разграничения доступа.
Открытость — безопасность АИТС ОАО «РЖД» не должна зависеть
от мер по ограничению доступа к информации относительно реализации компонентов
соответствующих систем обеспечения ИБ.
Разделение привилегий (прав) — функции безопасности АИТС,
используемых в ОАО «РЖД», должны быть разделены между подсистемами их
реализующими; роли администраторов, операторов и пользователей системы должны
быть разделены между персоналом ОАО «РЖД».
Приемлемость — пользователи АИТС должны осознавать
необходимость в обеспечении ИБ, а также участвовать в регулярных тренировках и
проходить обучение по вопросам организации ИБ. Реализованные механизмы ИБ не
должны быть излишне обременительными для пользователей.
Многоуровневая защита — механизмы, обеспечивающие ИБ, должны
применяться на нескольких уровнях защиты таким образом, что компрометация
одного механизма безопасности не являлась бы достаточным условием компрометации
конкретной АИТС, какой-либо ее части или других АИТС ОАО «РЖД».
Регистрация нарушений безопасности — нарушения ИБ АИТС ОАО
«РЖД» должны регистрироваться в соответствующих электронных журналах. На основе
анализа этой информации должен обеспечиваться возврат АИТС в безопасное
состояние, производиться определение уязвимостей АИТС и способов нападения,
использованных нарушителем, а также выявляться и привлекаться к ответственности
нарушители.
Непрерывность защиты — обеспечение ИБ производится на всех
стадиях и этапах жизненного цикла АИТС.
Периодическая оценка — требования и меры по обеспечению ИБ
периодически контролируются, пересматриваются и переоцениваются.
В качестве основных принципов оценки ИБ рассматриваются
следующие принципы:
Объективность — результаты оценки должны основываться на
фактических свидетельствах (исходных документов) и не зависеть от личных мнений
оценщиков.
Беспристрастность — результаты оценки должны быть
непредубежденными, когда требуется субъективное суждение.
Воспроизводимость — действия оценщиков, выполняемые с
использованием одной и той же совокупности свидетельств (исходных документов),
должны приводить к одним и тем же результатам.
Корректность — действия оценщиков должны обеспечивать
корректную техническую оценку.
Достаточность — все действия по оценке должны осуществляться
до уровня, необходимого для получения уверенности в правильности реализации
функций, механизмов и мер ИБ.
Все создаваемые АИТС ОАО «РЖД» должны разрабатываться с
учетом требований нормативно-правовых документов, российских национальных
стандартов, гармонизированных с международными (ГОСТ
Р ИСО/МЭК 15408, ГОСТ
Р ИСО/МЭК ТО 13335), и отдельных международных стандартов (ISO/IEC ТО
19791, серия стандартов ISO/IEC 2700Х), что позволит обеспечить необходимый
уровень информационной безопасности и создать дополнительные конкурентные
преимущества при работе ОАО «РЖД». При создании АИТС ОАО «РЖД» должна также
использоваться группа национальных стандартов ГОСТ
Р 51275, ГОСТ
Р 51583, ГОСТ Р 51624, определяющая требования к порядку создания АИТС в
защищенном исполнении.
Сведения о стандарте
1 РАЗРАБОТАН Открытым акционерным обществом «Научно-исследовательский и проектноконструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте» (ОАО «НИИАС»)
2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 524 «Железнодорожный транспорт»
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 18 июня 2015 г. № 47)
4 Приказом Федерального агентства по техническому регулированию и метрологии от 25 августа 2015 г. № 1191-ст межгосударственный стандарт ГОСТ 33358-2015 введен в действие в качестве национального стандарта Российской Федерации с 1 марта 2016 г.
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Ноябрь 2016 г.
Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе «Национальные стандарты», а текст изменений и поправок- в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
60 уровень полноты безопасности программного обеспечения:
Классификационное число, которое определяет методы и меры, которые должны быть применены по отношению к программному обеспечению.
61 интеграция системы: Процесс объединения аппаратных средств и программного обеспечения в единую систему и обеспечение того, что они будут функционировать совместно, как единая система.
Примечание — Для обеспечения совместной работы аппаратные средства и программное обеспечение должны обладать технической, информационной, программной и эксплуатационной совместимостью, что подтверждается в рамках квалификационного тестирования на соответствие предъявляемым к системе требованиям.
62 аттестация программного обеспечения: Подтверждение и оценка достоверности проведенного тестирования программного обеспечения.
63 приемка программного обеспечения: Оценка результатов квалификационного тестирования программного обеспечения и системы и документирование результатов оценки, которые проводятся заказчиком с помощью разработчика.
64 ошибка при передаче сообщений: Набор всех возможных вариантов неудачной передачи сообщений, которые могут привести к потенциально опасным ситуациям или к снижению доступности системы управления и обеспечения безопасности движения поездов.
65 защита от ошибок: Часть протокола, обеспечивающая обнаружение и, по возможности, исправление ошибок, возникающих при передаче данных в системе управления и обеспечения безопасности движения поездов.
66 безопасный код: Сообщение, передаваемое в системе управления и обеспечения безопасности движения поездов, содержащее избыточные данные для обнаружения нарушений целостности данных в процессе передачи сообщения.
67 контроль по избыточности: Вид проверки соответствия, основанный на использовании определенной взаимосвязи, существующей между избыточными и пользовательскими данными внутри сообщения для определения его целостности.
software safety integrity level
software validation software acceptance
error control (error protection)
safety code redundancy check
Приложение А (рекомендуемое)
Показатели функциональной безопасности
Показателями функциональной безопасности являются:
— вероятность безопасной работы Рб(х);
— вероятность опасного отказа Qon(x);
— средняя наработка до опасного отказа Хоп, ч;
— интенсивность опасных отказов Хоп(х), 1 /ч;
— время возврата к безопасному состоянию Тв б, ч;
— коэффициент безопасности /Сбез;
— уровень полноты безопасности S/L1.
Уровень полноты безопасности является качественным показателем.
5 Задачи и принципы управления информационной
безопасностью ОАО «РЖД»
Все создаваемые АИТС ОАО «РЖД» должны разрабатываться с
учетом требований нормативно-правовых документов, российских национальных
стандартов, гармонизированных с международными (ГОСТ
Р ИСО/МЭК 15408, ГОСТ
Р ИСО/МЭК ТО 13335), и отдельных международных стандартов (ISO/IEC ТО
19791, серия стандартов ISO/IEC 2700Х), что позволит обеспечить необходимый
уровень информационной безопасности и создать дополнительные конкурентные
преимущества при работе ОАО «РЖД». При создании АИТС ОАО «РЖД» должна также
использоваться группа национальных стандартов , ГОСТ
Р 51583, ГОСТ Р 51624, определяющая требования к порядку создания АИТС в
защищенном исполнении.
7 Организационная структура управления
информационной безопасностью ОАО «РЖД»
Организационная структура управления информационной
безопасностью ОАО «РЖД» представлена на рисунке 4 и включает:
Рисунок 4 — Организационная структура управления ИБ ОАО
«РЖД»
— президента ОАО «РЖД»;
— вице-президента ОАО «РЖД», курирующего вопросы обеспечения
ИБ ОАО «РЖД»;
— Комитет по информационной безопасности ОАО «РЖД»;
— Департамент безопасности ОАО «РЖД»;
— Департамент информатизации и корпоративных процессов
управления ОАО «РЖД»;
— департаменты и управления ОАО «РЖД» — функциональные
заказчики автоматизированных систем управления;
— подразделения защиты информации Региональных центров
безопасности — структурных подразделений ОАО «РЖД»;
— подразделения информационной безопасности ГВЦ и ИВЦ —
структурных подразделений ГВЦ;
— подразделения и работники, организующие работу по защите информации
филиалов ОАО «РЖД».
Вице-президент ОАО «РЖД», курирующий вопросы обеспечения ИБ
ОАО «РЖД», ответственен за подготовку и принятие решений по стратегическим
вопросам развития СУИБ АИТС ОАО «РЖД»:
— утверждение направлений развития СУИБ в контексте общих
бизнес-процессов ОАО «РЖД»;
— создание организационной структуры управления ИБ;
— согласование и утверждение документов ОАО «РЖД» в области
обеспечения ИБ.
Комитет по информационной безопасности (коллегиальный
совещательный орган ОАО «РЖД» по вопросам управления ИБ) решает следующие
задачи:
— поддержка корпоративной стандартизации в области ИБ;
— обеспечение выполнения мероприятий по реализации Политики
ИБ ОАО «РЖД»;
— обеспечение реформирования СУИБ ОАО «РЖД»;
— контроль за выполнением настоящего стандарта и Политики ИБ
ОАО «РЖД»;
— координация деятельности подразделений ОАО «РЖД» в области
корпоративной информатизации в части учета требований ИБ.
Руководит работой Комитета по информационной безопасности ОАО
«РЖД» вице-президент ОАО «РЖД», курирующий вопросы обеспечения ИБОАО «РЖД».
На Департамент безопасности ОАО «РЖД» возлагается
организация следующих работ:
— разработка нормативно-методической базы ИБ АИТС ОАО «РЖД»,
включая требования к конкретным АИТС и типам АИТС ОАО «РЖД»;
— внедрение нормативно-методической базы ИБ в практику
деятельности структурных подразделений и предприятий ОАО «РЖД»;
— организация разработки и внедрения систем обеспечения ИБ
АИТС ОАО «РЖД»;
— организация обучения персонала по вопросам ИБ;
— мониторинг ИБ АИТС ОАО «РЖД»;
— планирование и формирование заявок на выделение
финансирования в части решения задач по обеспечению ИБ ОАО «РЖД»;
— подготовка предложений по совершенствованию СУИБ и
отдельных систем обеспечения ИБ АИТС ОАО «РЖД»;
— участие в формировании организационной структуры СУИБ ОАО
«РЖД»;
— согласование предлагаемых решений по обеспечению ИБ АИТС.
Департаменты и управления ОАО «РЖД» — функциональные
заказчики представляют на согласование в Департамент безопасности ОАО «РЖД»
технические задания на разработку АИТС, согласовывают решения по обеспечению ИБ
АИТС и принимают участие в работе комиссий по приемке разработок в
эксплуатацию.
Подразделения защиты информации Региональных центров
безопасности — структурных подразделений ОАО «РЖД» — обеспечивают:
— организацию обеспечения и контроль выполнения требований
по ИБ в филиалах;
— разработку инструкций и другой
организационно-распорядительной документации по вопросам ИБ в филиалах;
— организацию мониторинга ИБ АИТС ОАО «РЖД», функционирующих
в аппарате управления ОАО «РЖД», его филиалах и других структурных
подразделениях, дочерних и зависимых обществах;
— организацию контроля выполнения требований лицензирующих
органов (в части выполнения требований по защите информации);
— подготовку и представление в Департамент безопасности
предложений по совершенствованию СОИБ;
— организацию устранения выявленных уязвимостей и нарушений
информационной безопасности;
— представление отчетности по ИБ в Департамент безопасности
ОАО «РЖД».
Подразделения информационной безопасности ГВЦ и ИВЦ —
структурных подразделений ГВЦ ОАО «РЖД» обеспечивают:
— координацию информационной безопасности АИТС ОАО «РЖД» в
пределах зоны ведения;
— разработку инструкций и другой
организационно-распорядительной документации по вопросам обеспечения ИБ
сопровождаемых АИТС ОАО «РЖД» в сфере своей ответственности;
— назначение и контроль прав доступа пользователей к
собственным информационным системам;
— организацию сдачи-приемки в эксплуатацию АИТС ОАО «РЖД» и
СОИБ;
— эксплуатацию АИТС ОАО «РЖД» в соответствии с
эксплуатационной документацией;
— условия проведения мониторинга и мониторинг ИБ
эксплуатируемых АИТС ОАО «РЖД» и непосредственное участие в проводимых
мероприятиях по контролю защищенности АИТС ОАО «РЖД»;
— устранение выявленных уязвимостей и нарушений ИБ
эксплуатируемых АИТС ОАО «РЖД»;
— внедрение и эксплуатацию технических средств
инфраструктуры открытых ключей (ИОК) и систем электронно-цифровой подписи (ЭЦП)
ОАО «РЖД»;
— организацию обучения администраторов безопасности ГВЦ и
ИВЦ-структурных подразделений ГВЦ, обеспечивающих опытную и постоянную
эксплуатацию СОИБ ОАО «РЖД»;
— подготовку предложений и рекомендаций по совершенствованию
СОИБ и представление этих предложений в Департамент безопасности ОАО «РЖД».
— проведение лицензионной работы в СОИБ, требующих наличия
лицензий, разработку рекомендаций по лицензионной работе;
— подготовку отчетных материалов по результатам работы
средств защиты и контроля по всем эксплуатируемым АИТС и нарушениям ИБ и
представление предложений по совершенствованию функционирования средств защиты
и контроля в Департамент безопасности ОАО «РЖД»;
— организацию консультирования пользователей различного
уровня по вопросам эксплуатации применяемых средств защиты и контроля.
Подразделения и работники, организующие работу по защите
информации филиалов ОАО «РЖД», обеспечивают:
— координацию информационной безопасности в АИТС ОАО «РЖД»;
— настройку систем обеспечения ИБ эксплуатируемых систем в
соответствии с требованиями ИБ, организационно-распорядительной и
эксплуатационной документацией;
— назначение и контроль прав доступа пользователей;
— администрирование эксплуатируемых СОИБ;
— разработку инструкций и другой
организационно-распорядительной документации по вопросам эксплуатации СОИБ АИТС
ОАО «РЖД» в сфере своей ответственности;
— эксплуатацию СОИБ в соответствии с эксплуатационной
документацией;
— условия проведения мониторинга и мониторинг ИБ
эксплуатируемых АИТС и непосредственное участие в проводимых мероприятиях по
контролю защищенности АИТС ОАО «РЖД»;
— устранение выявленных уязвимостей и нарушений ИБ
эксплуатируемых АИТС;
— подготовку предложений по финансированию мероприятий,
связанных с обеспечением ИБ АИТС ОАО «РЖД»;
— подготовку предложений и рекомендаций по совершенствованию
СОИБ АИТС ОАО «РЖД» и представление этих предложений в Департамент безопасности
ОАО «РЖД»;
— подготовку отчетных материалов по результатам работы
средств защиты и контроля по всем эксплуатируемым АИТС и нарушениям ИБ и
представление их в Департамент безопасности ОАО «РЖД»;