GB/T 44861-2024
Оценка риска безопасности при проектировании систем промышленной автоматизации и управления (Англоязычная версия)

Стандартный №

GB/T 44861-2024

язык

Китайский, Доступно на английском

Дата публикации

2024

Разместил

General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China

Последняя версия

GB/T 44861-2024

сфера применения

GB/T 44861-2024 Стандартный анализ структуры оценки рисков безопасности промышленных систем управления

GB/T 44861-2024 использует международный стандарт IEC 62443-3-2:2020, что означает полное соответствие системы оценки рисков безопасности промышленных систем управления (IACS) моей страны передовым международным стандартам. Этот стандарт предлагает систематическую методологию и конкретные требования к оценке рисков безопасности на этапе проектирования системы, обеспечивая научную основу для защиты безопасности в области промышленной автоматизации.

---

Предпосылки и технологическая эволюция разработки стандартов

С развитием Индустрии 4.0 и интеллектуального производства промышленные системы управления переходят от закрытых к открытым, сталкиваясь со все более сложными угрозами кибербезопасности.

Традиционные методы оценки информационной безопасности плохо подходят для уникальных характеристик систем автоматизированного проектирования и контроля (САП), таких как высокие требования к работе в реальном времени, длительные жизненные циклы системы и взаимосвязь безопасности и функциональной безопасности. Данный стандарт был разработан именно с учетом этих особенностей, на основе зрелой структуры серии стандартов IEC 62443 и с учетом реальных потребностей промышленности моей страны. Путь технологической эволюции показывает, что методы оценки рисков развились от первоначальной качественной оценки до современной комплексной системы оценки, сочетающей полуколичественный и качественный подходы. Стандарт вводит основные понятия «зона» и «канал», разбивая сложную систему САП на управляемые единицы безопасности. Эта концепция, вытекающая из стратегии многоуровневой защиты, получила глобальное подтверждение.

---

Основная терминология и концептуальная система

Стандарт устанавливает полную терминологическую систему, в которой ключевые понятия включают:

• Система, находящаяся на стадии оценки (SUC): набор активов IACS, необходимых для обеспечения полного решения по автоматизации, включая соответствующую сетевую инфраструктуру
• Уровень безопасности (SL): уверенность в том, что система не подвержена уязвимостям и будет функционировать должным образом, разделенная на три измерения: SL-T (Цель), SL-C (Возможности) и SL-A (Достижение).
• Допустимый риск: уровень риска, который организация считает приемлемым, принимая во внимание юридические требования и непрерывность бизнеса.
• Спецификация требований кибербезопасности (CRS): технический документ, описывающий обязательные меры противодействия безопасности.

В частности, Примечательно, что стандарт четко различает Базовую систему управления технологическими процессами (BPCS), Систему безопасности с контрольно-измерительными приборами (SIS) и .... Требования безопасности для различных типов систем, таких как распределенные системы управления (DCS), различаются.

---

Сравнительный анализ структуры процесса оценки рисков

Семь требований к зонам и трубопроводам (ZCR), предложенные в стандарте, составляют полный процесс оценки рисков.

По сравнению с традиционными методами оценки рисков, данный стандарт характеризуется:

Измерения оценки	Традиционная оценка ИТ-рисков	Метод GB/T 44861-2024	Анализ преимуществ
Определение границ системы	На основе разделения сетевой топологии	Региональное разделение трубопроводов на основе функций, критичности и физического местоположения	Более соответствует логике работы промышленных систем, обеспечивая целенаправленную защиту
Идентификация угроз	Общая модель угроз	В сочетании с анализом опасностей технологического процесса (PHA) и анализом конкретных угроз	Полное рассмотрение интеграции промышленной безопасности технологического процесса и сетевой безопасности
Методология оценки рисков	Единый качественный или количественный метод	Двухуровневая архитектура, объединяющая первоначальную и детальную оценки	Повышение эффективности оценки и более рациональное распределение ресурсов
Определение уровня безопасности	На основе требований соответствия	На основе анализа разрывов между неустраненными и Допустимые риски	Оценка рисков, более целенаправленная и экономичная
Требования к документации	Общие документы по безопасности	Структурированная спецификация требований кибербезопасности (CRS)	Облегчает передачу и проверку на этапах проектирования, внедрения и эксплуатации

Номер ZCR	Название требования	Ключевые результаты	Участвующие роли
ZCR1	Идентифицировать SUC	Границы SUC, список точек доступа, схема системной архитектуры	Владелец активов, системный интегратор
ZCR2	Первоначальная оценка рисков кибербезопасности	Анализ воздействия наихудшей ситуации, приоритизация рисков	Эксперт по безопасности, инженер-технолог
ZCR3	Разделение зон и трубопроводов	Схема трубопроводов зон, схема группировки активов	Системный архитектор, сетевой инженер
ZCR4	Сравнение рисков	Оценка допустимого уровня риска	Комитет по управлению рисками
ZCR5	Подробная оценка рисков кибербезопасности	Список угроз, анализ уязвимостей, оценка остаточных рисков	Группа оценки безопасности
ZCR6	Документированные требования к кибербезопасности	Документация CRS, спецификации требований безопасности	Инженеры-документаторы, разработчики безопасности
ZCR7	Утверждение владельца актива	Официальные документы утверждения	Управление владельцем актива

---

Практические рекомендации по разделению зон и трубопроводов

Раздел 4.4 стандарта подробно описывает конкретные требования к разделению SUC, основной принцип которого заключается в создании логических или физических групп на основе общих требований безопасности. При разделении зоны следует учитывать следующие факторы:

Типичный пример разделения: система DCS в нефтехимической промышленности

Практика разделения зон распределенной системы управления (DCS) на нефтеперерабатывающем заводе:

• Зона 1 - Зона управления диспетчерской: включает в себя рабочие места операторов, рабочие места инженеров и серверы исторических данных; SL-T установлен на уровень 3
• Область 2 — Зона полевого управления: включает полевые контроллеры и модули ввода-вывода, дополнительно подразделенные по блокам.
• Область 3 — Зона системы безопасности: система безопасности (SIS) разделена независимо; SL-T установлен на уровень 4.
• Область 4 — Зона беспроводного оборудования: беспроводные приборы и мобильные терминалы разделены отдельно.
• Конвейер 1 — Сеть управления: промышленный Ethernet, соединяющий Зону 1 и Зону 2.
• Конвейер 2 — Защищенная сеть: выделенная сеть для защищенных систем, использующая физическую изоляцию

Особенно важно отметить, что стандарт 4.4.4 требует, чтобы активы, связанные с безопасностью, были отделены от активов, не связанных с безопасностью, например, разделение **SIS** и **BPCS**. Это основано на требовании синергии функциональной безопасности и сетевой безопасности.

Для новых технологий, таких как устройства **промышленного интернета вещей (IIoT)** и облачные сервисы, стандарт рекомендует разделить их на отдельные области и учитывать их уникальные векторы угроз и модели доступа.

---

Методология детальной оценки рисков

Детальная оценка рисков, указанная в ZCR5, представляет собой итеративный процесс, содержащий 13 подэтапов:

1. Идентификация угроз (ZCR5.1): Учет трех элементов: источника угрозы, возможностей и вектора угрозы
2. Идентификация уязвимостей (ZCR5.2): Обращение к авторитетным источникам, таким как ICS-CERT и объявления поставщиков
3. Определение последствий (ZCR5.3-5.4): Объединение Результаты анализа опасностей на производстве, оценивающие многомерное воздействие на здоровье, безопасность, окружающую среду и бизнес
4. Определение неустраненного риска (ZCR5.5-5.6): Использование расчетов матрицы рисков для установления SL-T
5. Оценка существующих контрмер (ZCR5.8-5.10): Оценка эффективности технических, управленческих и процедурных мер контроля
6. Идентификация и управление остаточным риском (ZCR5.11-5.13): Принятие, передача или смягчение посредством дополнительных мер

Стандарт допускает использование различных систем оценки рисков, таких как ISO 31000, NIST SP 800-39 и ISO/IEC 27005, но подчеркивает согласованность методов первоначальной оценки и детальной оценки. Выбор матрицы оценки рисков имеет решающее значение. В Приложении B приведены несколько примеров матриц:

Тип матрицы	Размеры	Применимые сценарии	Характеристики
Простая матрица 3×3	Вероятность (Уровень 3) × Серьезность (Уровень 3)	Первоначальный отбор, малые системы	Легко понять, но грубозернисто
Стандартная матрица 3×5	Вероятность (Уровень 5) × Серьезность (Уровень 3)	Большинство промышленных Сценарии	Баланс между детализацией и практичностью
Подробная матрица 5×5	Возможность (Уровень 5) × Серьезность (Уровень 5)	Критическая инфраструктура высокого риска	Подробная оценка, но сложная реализация
Индивидуальная матрица	Индивидуальная матрица	Индивидуальная матрица в соответствии с потребностями организации	Отраслевая или организационная матрица	Наиболее реалистичный вариант, но требует одобрения владельца актива

Оценка вероятности должна учитывать такие факторы, как мотивация источника угрозы, возможности, исторические данные и возможность использования уязвимостей. В стандарте конкретно указано, что при оценке неустранимой вероятности не следует рассматривать меры противодействия кибербезопасности, но можно учитывать несамостоятельные уровни защиты (IPL), такие как физическая и механическая защита.

---

Подробный анализ системы уровней безопасности (SL)

В Приложении A подробно рассматривается система уровней безопасности, которая является ключевым нововведением серии стандартов IEC 62443:

Уровень безопасности	Цель защиты	Характеристики угроз	Типичные меры противодействия
SL1	Предотвращение случайных или совпадающих событий нарушения	Отсутствие злонамеренных намерений, общие навыки	Базовый контроль доступа, конфигурация по умолчанию
SL2	Предотвращение злонамеренных нарушений простыми средствами	Низкая мотивация, мало ресурсов, низкий уровень навыков	Аутентификация личности, ведение журналов, базовая сегментация сети
SL3	Предотвращение злонамеренных нарушений с использованием сложных методов	Соответствующая мотивация, соответствующие ресурсы, навыки, специфичные для IACS	Эшелонированная защита, белый список приложений, мониторинг безопасности
SL4	Предотвращение Нарушения с использованием ресурсоемких комплексных методов	Высокая мотивация, большие ресурсы, продвинутые навыки IACS	Физическая изоляция, расширенное шифрование, обнаружение постоянных угроз

Существует несколько методов определения SL-T:

• Метод разрыва риска: основан на разрыве между неустраненным риском и приемлемым риском
• Метод прямого определения: см. GB/T. Определение SL в 35673-2017 напрямую указывает:
• Метод итеративной проверки: начиная с первоначальной оценки, корректировки вносятся посредством проверки с использованием матрицы рисков

На практике для областей, содержащих системы безопасности (SIS), обычно используется SL3 или SL4 требуется; для зон подключения офисной сети может быть достаточно SL2.

---

Система документации по требованиям кибербезопасности (CRS)

ZCR6 определяет полные требования к содержанию CRS, которая является связующим звеном между оценкой рисков и проектированием безопасности:

Разделы CRS	Основное содержание	Справочные документы	Ответственные стороны
Описание SUC	Функции системы, предполагаемое использование, описание контролируемого процесса	Спецификации системы, схемы P&ID	Владельцы активов
Трубопроводы зоны Диаграммы	Логические и физические границы, распределение активов	Схемы топологии сети, схемы компоновки	Системный интегратор
Атрибуты регионального трубопровода	14 подробных атрибутов (4.7.5.1an)	Инвентаризация активов, политики контроля доступа	Разработчик безопасности
Предположения об условиях эксплуатации	Физические и логические условия окружающей среды	План безопасности объекта, схема сетевой архитектуры	Инженер по эксплуатации
Угроза Окружающая среда	Источники информации об угрозах, возникающие угрозы	Объявления CERT, отчеты ISAC	Аналитик по безопасности
Политика безопасности организации	Базовые требования безопасности	Документация по политике безопасности предприятия	Отдел информационной безопасности
Допустимый риск	Критерии принятия организационных рисков	Структура управления рисками	Комитет по управлению рисками
Нормативные требования	Применимые законы, правила и стандарты	Список Требования к соответствию отраслевым стандартам	Отдел соответствия

Стандарт подчеркивает, что требования к соответствию отраслевым стандартам не обязательно должны быть единым документом и могут быть интегрированы в существующие проектные документы IACS. Однако, независимо от формы, требования к безопасности должны быть **четкими, отслеживаемыми и проверяемыми**.

---

Рекомендации по внедрению и лучшие практики

1. Организация и разделение труда по ролям

Успешная реализация этого стандарта требует сотрудничества между несколькими ролями:

• Владелец актива: Несет полную ответственность за принятие рисков, предоставляя бизнес-требования и приемлемые стандарты риска
• Системный интегратор: Отвечает за техническую реализацию, обеспечивая соответствие проекта требованиям SL-T
• Поставщик продукции: Предоставляет компоненты, соответствующие стандарту SL-C, поддерживая безопасную интеграцию
• Эксперт по безопасности: Руководит оценкой рисков, предоставляя профессиональную информацию об угрозах
• Инженер-технолог: Предоставляет результаты анализа опасностей процесса и знания в области технологической безопасности

2. Выбор инструментов и методов оценки рисков

Рекомендуется следующая комбинация методов:

• Первоначальная оценка: Быстрое выявление зон высокого риска с использованием упрощенной матрицы рисков
• Детальная оценка: Использование подробной матрицы 5×5 для критических зон в сочетании с методами моделирования угроз
• Поддержка инструментов: Использование профессиональных инструментов оценки рисков IACS, но проверка их соответствия стандартным требованиям.
• Постоянные обновления: Создание механизма регулярной переоценки для реагирования на изменения в среде угроз.

3. Координация с соответствующими стандартами

Этот стандарт должен быть внедрен в координации со следующими стандартами:

• GB/T 35673-2017: Предоставляет конкретные требования безопасности и технические меры противодействия.
• Серия IEC 61511: Стандарты функциональной безопасности для обеспечения координации между кибербезопасностью и функциональной безопасностью.
• ISO/IEC 27001: Система управления информационной безопасностью для достижения интеграции безопасности на уровне предприятия.
• Отраслевые стандарты: Требования безопасности для таких отраслей, как энергетика и нефтехимия.

4. Рекомендации по работе со специальными системами

Для специальных типов систем IACS:

• Система безопасности с контрольно-измерительными приборами (SIS): Должна быть независимо разделена, уровень безопасности SL-T обычно не ниже 3
• Беспроводная система: Отдельный раздел, учитывайте помехи сигнала и риски несанкционированного доступа
• Облачный сервис/IIoT: Четко определите границы ответственности, задокументируйте требования безопасности в Соглашении об уровне обслуживания (SLA)
• Устаревшая система: Компенсируйте присущие ей уязвимости с помощью компенсационных мер

5. Управление документами и контроль версий

Создайте комплексную систему управления документами:

• Все документы по оценке рисков должны быть помечены датой, участниками и информацией о версии
• CRS следует управлять как контролируемыми документами для обеспечения анализа воздействия на безопасность при внесении изменений
• Результаты оценки рисков должны быть соответствующим образом оценены и защищены для предотвращения утечки конфиденциальной информации

---

Ценность и перспективы применения стандарта

Внедрение GB/T стандарта 44861-2024 принесет множество преимуществ для безопасности промышленных систем управления в моей стране:

Демонстрация ценности: пример внедрения на интеллектуальном производственном предприятии

После внедрения этого стандарта автомобильный завод:

• Эффективность инвестиций в безопасность повысилась на 35%, обеспечив точную защиту за счет регионального разделения
• Время оценки рисков сократилось на 40%, внедрение стандартизированных процессов и инструментов
• Скорость реагирования на инциденты безопасности увеличена на 50%, четкие региональные границы облегчают изоляцию и отслеживаемость
• Процент прохождения аудита соответствия 100%, полная система документации соответствует нормативным требованиям

В перспективе, с применением новых технологий, таких как цифровые двойники, искусственный интеллект и 5G в промышленной сфере, структура оценки рисков, предоставляемая этим стандартом, должна постоянно развиваться:

Динамическая оценка рисков: переход к оценке рисков в режиме реального времени и непрерывной оценке рисков. Аналитика с использованием ИИ: выявление сложных моделей угроз с помощью машинного обучения. Интеграция безопасности цепочки поставок: расширение оценки рисков безопасности на всю цепочку поставок. Соответствие международным стандартам: отслеживание обновлений и разработок в серии стандартов IEC 62443. Внедрение стандарта GB/T 44861-2024, являющегося авторитетным стандартом оценки рисков безопасности промышленных систем управления в моей стране, значительно повысит возможности защиты критической инфраструктуры и важных промышленных секторов, обеспечив надежную гарантию безопасности для создания производственной и кибердержавы.