GB/T 30976.1-2014
基本信息
标准号: GB/T 30976.1-2014
中文名称:工业控制系统信息安全 第1部分:评估规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:GB/T 30976.1-2014
标准名称:工业控制系统信息安全 第1部分:评估规范
英文名称:Industrial control system security-Part 1: Assessment specification
标准格式:PDF
发布时间:2014-07-24
实施时间:2015-02-01
标准大小:12.4K
标准介绍:GB/T30976工业控制系统信息安全》分为两个部分
—第1部分:评估规范;
第2部分:验收规范
本部分为GB/T30976的第1部分
本部分按照GB/T1.1-2009给出的规则起草
本部分由中国机械工业联合会提出
本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术
委员会(SAC/TC260)归口 GB/T30976的本部分规定了工业控制系统( SCADA,DCS,PlC,PCS等)信息安全评估的目标、评
估的内容、实施过程等。
本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机
构等对工业控制系统的信息安全进行评估时使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22081-2008信息技术安全技术信息安全管理实用规则(lSO/IEC27002:2005,DT)
IEC62443-3-3-2013工业过程测量和控制安全网络和系统安全第3-3系统安全要求和安全
等级(SL)
标准名称:工业控制系统信息安全 第1部分:评估规范
英文名称:Industrial control system security-Part 1: Assessment specification
标准格式:PDF
发布时间:2014-07-24
实施时间:2015-02-01
标准大小:12.4K
标准介绍:GB/T30976工业控制系统信息安全》分为两个部分
—第1部分:评估规范;
第2部分:验收规范
本部分为GB/T30976的第1部分
本部分按照GB/T1.1-2009给出的规则起草
本部分由中国机械工业联合会提出
本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术
委员会(SAC/TC260)归口 GB/T30976的本部分规定了工业控制系统( SCADA,DCS,PlC,PCS等)信息安全评估的目标、评
估的内容、实施过程等。
本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机
构等对工业控制系统的信息安全进行评估时使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22081-2008信息技术安全技术信息安全管理实用规则(lSO/IEC27002:2005,DT)
IEC62443-3-3-2013工业过程测量和控制安全网络和系统安全第3-3系统安全要求和安全
等级(SL)
标准图片预览
标准内容
ICS25.040
中华人民北和国国家标准
GB/T 30976.1—2014
工业控制系统信息安全
第1部分:评估规范
Indusirial control syslem sccurity-Part 1:Assessmcnt specification2014-07-24发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2015-02-01实施
规范性引文件
术语定义缩略语
术语和定义
缩略语
4工业控制系统信息安企概述
危险引人点
传播途径
危险后果的受体及其影响
工业控制系统信息安全评估的内容概述评估结果
5组织机构管理评估
安伞力针
信息安全组织机构
资产管理
人力资源安全
物理和环境安全
通信和操作管理·
访问控制
信息系统获取、升发和维护
信息安全准件管理
业务连续性管理
符合性
系统能力(技术)评估
基本要求(FR)、系统要求(SR)和系统能力等级(C1.)的说明FRL:标识和认证控制
FR2:使用控制
FR3:系统完整性
FR4:数据保密性
FR5:制的数据流
FRG;对事件的放时响成
FR7:资源可用性
评估程序
评估工作过程
评估方法的确定
GB/T 30976.1—2014
GB/T 30976.1-2014
8T业控制系统4命周期各阶段的风险评剂S.1生命周期概述
规划阶段的风险评估
设计阶段的风险评估
实随阶段的风险评估·
8.5运行维扩阶段的风险评估
8.6废弃阶段的风险评估
5评估报告的格式要求
附录A(规范性附录)
管理评估列丧
附录(规范性附录)系统能力(技术)准估列表风险评估工其和1业控制系统常见的测试内容附录((资料性附录)
参考支献
图1风险叫接受的程度
表」后果造成的侵再等级·
表2工业挖制系统的评估结果
表评估的主流程
表A.!信息安全管理评估列表
表13.1系统要求和增强要求与安全等级的映射88
G13/T0976工业控制系统待息安全》分为网个部分:第1部分:评估规范;
第2部分验收规范.
本部分为13/T30976的第部分
本部分按照(GB/T1.1一2000给山的规则起草:本部分由中国机械1业联合会凝出。GB/T 30976.1-2014
本部分山全国工业过程测量和控制标准化技术委员会(SAC/工C124)和全国倍息安全标准化技术委员会(SAC/T260)归口。
本部分起单单位:机械「.业仪器仪表综企技术经济研究所、中国电子技术标准化研究院、北京和利时系统!程有限公司、中国孩电工程有限公司、海白动化仪表股份有限公司、东土科技股份有限公司、中国电力科学研究院、清华大学,西门子(闽)有限公司、浙江大学、西南大学.卓庆邮电人学、施耐德市气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克市尔白动化(中国)有限公司、中国仪器仪表学会、中国科学院沈叫白动化研究所、无线网络安全技术网家工程实验室、西安西电捷通光线网络通行股份有限公司、中央办公厅电了科技举院、北京海泰方圆科技有眼公司、青岛多分诺信息安全技术有限公司、北式丽电智深控制技术有限公司、北京力控华康科技有限公司、广东航宁卫犀科技有限公司、华北电力设计院1程有限公司、华为技术有限公司,三菱电机动化(中国)有限公司,中标软件有限公司沔电机润)有限公司北京研发巾心:本部分主要起单人:土正敏、店鸿、爱芬、罗安、月冬宝、张建车、辟白华、陈小涂、高昆仑、工当、冯冬芹、刘枫、正浩、周纯杰、陈小枫、华罐、张料、宋碧、李琴、豆德海、别亚椭、工雄、胡们良、梅恪、刘安正、川雨聪、方亮、乌欣欣、张建勋、杨应良、丁磷、工勇、杜佳琳、士小甘、陈日翌、张游、工玉畏、刘利氏、」青芝、刘文龙、钱晓斌、朱镜灵、张智、龚明、何佳,杨磊:1范围
工业控制系统信息安全
第1部分:评估规范
GB/T 30976.12014
GB/T30976的本部分规定了I业控制系统(SCA1)A,I'S.PLC,FCS等)信息安全评估的口标,评估的内容、实施过程等,
本部分适用十系统设计方,设备牛产商、系统集成商,1理公司、用广、资产所有人以及评估认证机构等对1业控制系统的信息安全进行评估时使币2规范性引用文件
下列件对于木文件的应用是必不叫少的,凡法日期的引文件,仅注门期的版本适用士本文件:凡是不注期的引川文件,其最新版术(包括所右的修改单)适而于本文件,GB/T22081--2008信息技术安全技术信息安全管理实用规则(IS0/IEC27002:2005.1D1))IFC 62443-3-3-2013-T:业过程测量和控測安企-网络和系统安全第 3-3系统安全要求和安全等级(SI)
3术语、定义和缩略语
3.1术语和定义
下列术语利定义适用于本文件:3.1.1
脆弱性 vulnerability
系统设计实现或操作和管理中存在的缺陷或弱点、可被利用束危害系统的完整性或安保策略:3.1,2
identify
对某一-评估要素逝行标识与辩别的过程。3.1.3
评估自标
assessment targel
评估所动所要达到的最终几的
accctan
风险评代活动用于结束项甘实施的·-种法,主装出被评估存组织机构·对评清动进行逐顶检验,以是否达到评估月标为接受标准。3.1.5
risk treatment
风险处置
避择并儿执行措施米更改风险的划程,1
GB/T 30976.1--2014
残余风险residual risk
终过风险处置后遗留的风险
风险接受
risk aceeptance
接受风险的决定。
risk analysis
风险分析
系统地使用信息来识别风险来源和估计风险3.1.9
风险评估
risk assessment
风险分析和风险评价的整个过程,3.1.10
风险管理risk managcinent
指导和控制--个组织机构相关风险的协调活动3.1.11
risk trealmeni
风险处置
选择并且热行措施米更改风险的过程。3.1.12
工业控制系统industrial conirol sysicm;ICS对工业生产过理安全(ay)、信息安个《seurity)和可带运行产生作用排影响的人员,破件和软件的集合。
注:系欲包准不限:
1)1非控制系统据分布式系统S可综程变辑控制器(:到能电于设备(ED)监视控制与书采集:SADA)系统、诊动择制:M)系统、网络电子传感和控鼠,脂视利诊断系绕|在本标册中:不论物理上是分+的还是集成的过程经制系统(1CS)化折H本过程控制系统和安个仪表系统(SIS)。2;美的信息系统,例如先过控制成界化变缺控鼠、在级优化器,专用设备盘视器、图形界而、过程历更记录制造热行系统(MESi和企业资源计划CRP)理系统相美范部,人员、网络或机器接门.为烂续的、批处理、离做的和其他证程提供控制安企和制造探作3
安全satety
免」不可接受的风险。
信息安全
security
保扩系统所采取的措源;
山处立和维护保护统的措研润产件的系统状态:能够见于非授权访间和非接权成意外的变建,被坏成者损失的系统资源的状态:基丁计算机系统的能力·能够提供充分的把据使非授权人员和系统既无法修收致件及其数带他无法访间系统功能.却保证授夜人贯和系统不被阻山:心)防止对!业自动化和控制系统的非法或有害的人疫,或者1扰其正确和计划的操作。注:措可以是与物门信息发(招制物理流间计算新的资心,成片逻解信息发全(等录给进系统和应川的能力相美的持剂股。
3.2缩略语
下列缩略语适用于本文件。
能力等级
分布式控制系统
企业资源计划
基本要求
健康、环境和安伞
T.业控制系统
智能电设备
制造执行系统
管埋等级
过程控制系统
增强要求
可编程序控制器wwW.bzxz.Net
(Capetbility le:vel)
(Histrihuled Control Systern)(Fnir:rprise Resource Planning (Fcundaional requirenen)
(Health.erviromcnt and securiiy)(Industrial conircl system)
(Intelligent Eleetronic Device)(Manufacturing Hxccution Systen)(Management level)
(Process Control System)
(Rcquirement enhanrcmcnt)
(Progtammalhe Logic Controller)GB/T 30976.1—2014
(Supervisory Control Ant Dal Arquisition)监视控制与数据采集系统
安全仪表系统
信息安全等级
系统要求
虚拟专而网
4工业控制系统信息安全概述
4.1总则
(Safety Instriunened Systen)(Security level)
(Systen requircmcnt)
(Virtual privele rmetwork)
1业控制系统的借息安全特性取决丁其设计、管理、健北性和环境条件等各种因素,系统信息安全的评估应位括作系统生命周期内的设计开发、安装、运行维护、退山使用等各阶段与系统村关的所有活动。必项认识到系统面临的风险在整个生命周期内会发生变化,评估系统信息安全特性附,应考虑以下各方面:a)危险引人点:
b)危险后架的受体及H影响;
c)传播途径:
d)降低风险的措施:
坏境条件:
)红机构管理,
注;在系统生命周期的不间阶段.力」束些新危险系件的出现,系统的凌企等级会发生变化,4.2危险引入点
危险引人点是1业控制系统与非安个设备、系统和网络的接入点,危险源可能来口于工业控制系统的系统外部,也可能来口丁工业控制系统的系统内部:安全威胁通过危险引人点并利用传播途径可能对受体造成伤害。危险引人点结为以下儿类们不限十:a)网络和通信的连接点:例如,远程技术支持和访问点、无线接人点、调制解调器网络连接、因特网或物联网连按、遥测网络连接、开放的业控制系统网络连接、与工业控制系统专网4联的其他网络连接配置不当防火墙等;3
GB/T 30976.1—2014
移动媒体:例如.L'SB设备、光盘、移动硬盘等:b)
)不操作例如.恶意攻击、意误操作等;l)受感染的现场设备等。
4.3传播途径
抢险源川能通过传播途径刘受体道成伤害。通常,川识别单的传播途径,但在多数情况下,一个完整的传播途径是出若下单类型的传播途径纠合而成:传播途径·般分为以下儿类,但不限于:外部公非网络如因特网:
内部信息网络:
)「控专网(点刘点、无线):)移动存储装置。
4.4危险后果的受体及其影响
险后果的受体是指受创破坏时所侵害的客体.包括以下,个方面:a)人员:
)坏境:
“)资产
对客体造成的侵害的理度归结为种.分别对应于:)造成特别严革的损害.A级;
b)造成严重损害.B级:
)造成般损神级
注:表丨络非了后果造成俊害的级别表1后果造成的侵害等级
风险区域
业务连续
个品点,多个斯点
牛产中断生产中断
直接经降
损失(亿
人民币
信惠安全
刑事责在
重罪型
轻滑刑
补会影响
品牌形
象投失
以去客产
的信征
业操作安全
非现场
现场人员
死亡坡
会事件
损失[作!投游或而
万或重
大伤害
地社区的
无投诉
环境安全
大面积长
期过度的
更大损害
受地方
机均通报
可释放
的极限
恒家经济影响
其础段施
和服务
影响象个业
务部门或忧
乱补区服务
在超越一个
公川的水平可
能影响到业
务部门,
礼区服务
几乎无影响
4.5工业控制系统信息安全评估的内容概述4.5.1组织机构管理评估
GB/T30976.1-2014
纠织机构管理通带对构戒管理体系的基本要索提出相应的要求和为满足这些要求需要实现戒解决哪些方面的内容.而不提供如何去开发管理体系,工业控制系统管理机构(资产所有省)所对其有挑战性的新问题时应当把信息安全作为一个关键内容融合到整个安个运行体系中。那么常见的1程方法是将问题分解成更小的子问题,按照分治方式解决每个了问题。这是解决ICS信息安全风险的现途径。然而,在解决信息安全方面常犯的错误是,试图用一·套系统一次解决所有的孔S信息安全问题ICS信息安个是个史人的挑战,需妄考虑整个ICS以技环绕和利而ICS的收策、规程、实践和人员等各个方而。实施这样人范围的管埋川能需要纠织机构内部的文化变毕。在整个组织机构管埋范用的基础1解决1S倍息总安全管埋是一项艰巨的任务。因为没适合所有情况的工业控制系统信息安企实践,信息安全实际上是一个风险和成本的平衡:行业不同而对的情况有所不同,在某些情况下,风险叫能与健康、安个,环境(1ISE)因素有关而不是单纯的经济影响。风险可能带来不可恢复的底果而不仅仅是暂时性的财务损失纽织机构管理评估基丁(GB/T22U8」200)8第三章第15率标准制定、但是引入一个重要的概念,工业控制系统的信总安全风险对HSF影响.应与现有风险管理实践结合求应对这些风险。其体的评估内容见第5章和附录A
4.5.2工业控制系统能力(技术)评估系统能力(技术)评估日的是保证系统能够在技术1.免受收。对于一个运行很好的系统,他应该满足操作和安全两个要求,要提前决定的是仆么时候开发项月测试以及供应商和集成商对于网络安全设备或系统的要求保证什么级别。对特殊设备或系统的保证的级别将决定系统能力实现的要求。供应商可能推举测试方法对丁特殊的设备和系统,似是用户将需要确定这些技术是否满是安全要求,理想情况下,将系统所有状态都进行能力评估,以保证每个安全措施能够满是或川以判道其余的风险。尽管完整的系统评估埋论上是叫能的,们是出下财务和人为约束而不能获得人多数的认证,因此,现在询临的问题是决定可接受的风险等级,执行可接受风险的评估,本部分的内容要见IEC62443-3-3:2013的第4章~第[0章,分别对应于本部分的第6章和附录13。4.5.3与其他安全措施的关联
在工业控制系统环境下,评估人员应该完全理解企业计竞机安全政策,规程、与特定设施租/或1业操作相关的健康、安全、环境风险。应小心确保评估不会十扰出1业控制系统设备提供的控制功能,在评估实施前,可能需要使系统离线。信息安全、物现安全和功能安全可能是密划杆关的。在某些情况下,其他安全错施有川能为信总安全提供独立保护层.而附加的信息安仑措施也有可能破坏其他安全猎施的完整性。凶此.在具体的风险评估活动中、成考惩者潜在的相与作用及其影响后果,4.5.4过程环境制约因素
在评估工.业控制系统信总安全特性时.应考虑过程环境条件的制约闪索,特别尼针对在用【业白化控制系统,应考虑现场测试和引人安全技术措施对正常生产过程的影响。作实施现场测试和引人安全技术措施之前·必须分析下列过程环境条件.以确保行动不会影响止常生产过程。a)工业控制系统或H其了系统敏扭的任务:b)操作人员的能力;
B/T 30976.1—2014
()工业择制系统所连接的工业过程的特性;附加工兵或系统对1业控制正常逻辑的影响;+)与工业控制系统连接的公用设施(气、电等)4.6评估结果
4.6.1风险可接受程度
信息安全采收的管理和技术措施建议采收最小影响的原则。根据工业控制系统的纽织机构管理以及系统(技术)能评估系统的风险,计对风险产生的结果采川信息安全等级(xrcmri1ylevel.Sl)来表示风险管理过程中的不同风险,这样的结果比较白规,根据SI来确定组织机构的整体安全策略和机成的技术防御措施。同.组织机构应当综合考虑风险控制成木与风险造或的影响,提山个可接受的风险范同。对某些资产的风险,如果风险计算值在可接受的范调内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持记经有的安全措施:如桌风险评值可按受的范困外-似是低丁不可按受范询的下限值:则该风险需要采取安全挡施降低、并控制风险到可接受的程度:如果评估的风险从经济,康,安个和坏境方面近行评估后发现风险是不可以接受的.那么就要对现有的系统重新设计信息安个程序。见图1。其中的风险评估的只和方法参见附录
不叫接受风险/新的IACS
京全系统
采取猎液
降低风酸
叫接变风险
图1 风险可接受的程度
注:下业格制系统光利川订共选用的各种配者的功能和元件执行要求的任务,系统的该特征炸以仅通过证定售个单键办能和完作的特征来综求估个系统的信惠安全能力注2:1业控制系统信息安个评估的深度办积大程度最决下系统的复杂程度和迎界影询条件以技评估的月的;注3:评估的范市时以采汇总统计表将形式.在“个能线丨机出系筑的特性好轴线上列业需号虑的发个影响条件:流汁丧的方格川录列十华一种系统特性溅种安个影响条件帝要加以学感,4.6.2评估结果等级的划分
评估分为替埋评估和系统能力(技术)评估,管理评估宜对照风险接受准则和组织机构相关标。识别、量化并区分风险的优先次序,风险评估的结果宜指导并确定适当的管措施及其优先级,评估风险和选择控制措施的过程品要执行多次,以爱盖组织机构的不同部门成各个工业控制系统,管理评估分为个级别.分别为管理等级(m!EgCImcntlcvel)的MI.l.MI.2、ML.3,由低到高分别对应低级、级和高级。H体的评估内容别第5章.长格参成表A.1。系统能力技术)评估分为测个级别,由小到人分别对成系统能力等级(patilitylel)的I.1Cl23和i4.具体的评估内容见第6GB/1 30976.1-—2014
章,表格见表B.!、综企管理评征和系统能力评估的结果,得到工业控制系统的评估结果,亦即信总安伞等级(SLI、SL2、SIL.3、SL4) 见表 2表2工业控制系统的评估结果
信息安企等级
件理等级
5 组织机构管理评估
5.1安全方针
信息安全方针
系统能力等级
日标:依据业务要求和机关法律法规提供管理指导并支持信息安全,Ct.
要求:管理者应根据业务日标制定清晰的方针指导、并通过在整个组织机构中颁作和维护信息安个方针来表明对信息安全的支持和承诺。5.1.1.1信息安全方针文件
控制措施:
信息安个方针文件应由管理者批准、发布并传达给所有员工和外部杆关方。评估指南:
信息安全方针文件应说明管理服诺,并提出组织机构的管理信息安全的方法:方个文件建议包括以下明:
信息安全、整体标和范周的定义,以及在允许信总其享机制下安全的重要性:a)
管理者意图的声明.以支持符合业务策略和门标的信息安全H标和原则:t
设告控制日标和控制措施的框架,包括风险评估和风险管理的结构:对组织机构特别重要的安全力计策略原则、标和符合性要求的简要说明·包括:d)
1)符合法律法规和合同要求;
安全教行、培训和意识要求:
业务连续性管理:
违反信息安企方们的后果
信息安全管理!(包括报告倍息安全事件)的般和特定职贵的范义:对支持方针的文件的引用,例如,特定信总系统的史详细的安策略和规程,或用广要遵守安门
企规则。
信息安全方针的评审
控制措施:
应按计别的时间隔戒当革人变化发生时进行信息安全方印评审,以确保持续的适们性,充分性和7
GB/T 30976.1—2014
行效性。
评指南:
信息安企方针成有专人负支.他质有要全方创制定、评中和评价的管理职资,评审要包括评估组织机构信息安全疗计进的机会和管理估息安全适应组织机构环境,业务状况、法律条件或技术环境变化的方法,
信息安全方针评市应考虑管理评的结果,定义管埋评审规程,包括时间表成评伟周期。管理评中的瑜人建议包拆议下信总a)相美方的反馈;
b)征立评的结果(见5.2.1.7);预防和纠正造施的状态(见5.2.1.7和5,11.2.1)(l)以往管埋评审的结果;
过程执行情况和信息安个方针衍合性;f)可能影响组织机构管理信息安全的方法的变史·包括纠织机构环境、业务状况、资源川用性、合同、规章和法伴条件或技术环境的变也:贼胁和脆骗性的烂势:
h)已报件的信息安个事件(见5.9.1);i)美政府部汀的建议(驰2.1.),管理评市的输山建议包括与以下方面有美的征何决定和措施:组织机构管理信息安全的力法及其过程的政进:a)
)控制目标和控制措施的改进;资源和或职责分配的收进;
d)维护誉理评市的记录并获得管理者划修的方针的批准5.2信息安全组织机构
5.2.1内部组织机构
用标:管理组织机构范制内信息安全:应建立管理杠架,以启动租控制组织机构范国内的信总安全的实施。管理者应批准信息安全方饣,指派安个角色以及协调和评审整个组织机构安全的实施若必要.在纽织机构范用内让立专家信息安企建议库,并在纠织机构内可川。发展与外部安专家或组织机构(包括杆关权威人十)的联系,以使跟上行业趋势,跟踪标准和评低方法,并当处理信息安全事件,提供合适的联络点。
5.2.1.1信息安全的管理承诺
控制携施:
管理者应谣过消晰的说明,可证实的承诺,切确的倍息安全帜质分配及确认来积极支持组织机构内的安食,
评估揭南:
建设管瑞!名:
a)确保信息安全口标得以识别,满是组织机树要求,并己被整合到相关过程中;的制定,评审、批准信息安片;评中信息安全方计实施的有效性:d)为安全启动提供朗确的方向和支持;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民北和国国家标准
GB/T 30976.1—2014
工业控制系统信息安全
第1部分:评估规范
Indusirial control syslem sccurity-Part 1:Assessmcnt specification2014-07-24发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2015-02-01实施
规范性引文件
术语定义缩略语
术语和定义
缩略语
4工业控制系统信息安企概述
危险引人点
传播途径
危险后果的受体及其影响
工业控制系统信息安全评估的内容概述评估结果
5组织机构管理评估
安伞力针
信息安全组织机构
资产管理
人力资源安全
物理和环境安全
通信和操作管理·
访问控制
信息系统获取、升发和维护
信息安全准件管理
业务连续性管理
符合性
系统能力(技术)评估
基本要求(FR)、系统要求(SR)和系统能力等级(C1.)的说明FRL:标识和认证控制
FR2:使用控制
FR3:系统完整性
FR4:数据保密性
FR5:制的数据流
FRG;对事件的放时响成
FR7:资源可用性
评估程序
评估工作过程
评估方法的确定
GB/T 30976.1—2014
GB/T 30976.1-2014
8T业控制系统4命周期各阶段的风险评剂S.1生命周期概述
规划阶段的风险评估
设计阶段的风险评估
实随阶段的风险评估·
8.5运行维扩阶段的风险评估
8.6废弃阶段的风险评估
5评估报告的格式要求
附录A(规范性附录)
管理评估列丧
附录(规范性附录)系统能力(技术)准估列表风险评估工其和1业控制系统常见的测试内容附录((资料性附录)
参考支献
图1风险叫接受的程度
表」后果造成的侵再等级·
表2工业挖制系统的评估结果
表评估的主流程
表A.!信息安全管理评估列表
表13.1系统要求和增强要求与安全等级的映射88
G13/T0976工业控制系统待息安全》分为网个部分:第1部分:评估规范;
第2部分验收规范.
本部分为13/T30976的第部分
本部分按照(GB/T1.1一2000给山的规则起草:本部分由中国机械1业联合会凝出。GB/T 30976.1-2014
本部分山全国工业过程测量和控制标准化技术委员会(SAC/工C124)和全国倍息安全标准化技术委员会(SAC/T260)归口。
本部分起单单位:机械「.业仪器仪表综企技术经济研究所、中国电子技术标准化研究院、北京和利时系统!程有限公司、中国孩电工程有限公司、海白动化仪表股份有限公司、东土科技股份有限公司、中国电力科学研究院、清华大学,西门子(闽)有限公司、浙江大学、西南大学.卓庆邮电人学、施耐德市气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克市尔白动化(中国)有限公司、中国仪器仪表学会、中国科学院沈叫白动化研究所、无线网络安全技术网家工程实验室、西安西电捷通光线网络通行股份有限公司、中央办公厅电了科技举院、北京海泰方圆科技有眼公司、青岛多分诺信息安全技术有限公司、北式丽电智深控制技术有限公司、北京力控华康科技有限公司、广东航宁卫犀科技有限公司、华北电力设计院1程有限公司、华为技术有限公司,三菱电机动化(中国)有限公司,中标软件有限公司沔电机润)有限公司北京研发巾心:本部分主要起单人:土正敏、店鸿、爱芬、罗安、月冬宝、张建车、辟白华、陈小涂、高昆仑、工当、冯冬芹、刘枫、正浩、周纯杰、陈小枫、华罐、张料、宋碧、李琴、豆德海、别亚椭、工雄、胡们良、梅恪、刘安正、川雨聪、方亮、乌欣欣、张建勋、杨应良、丁磷、工勇、杜佳琳、士小甘、陈日翌、张游、工玉畏、刘利氏、」青芝、刘文龙、钱晓斌、朱镜灵、张智、龚明、何佳,杨磊:1范围
工业控制系统信息安全
第1部分:评估规范
GB/T 30976.12014
GB/T30976的本部分规定了I业控制系统(SCA1)A,I'S.PLC,FCS等)信息安全评估的口标,评估的内容、实施过程等,
本部分适用十系统设计方,设备牛产商、系统集成商,1理公司、用广、资产所有人以及评估认证机构等对1业控制系统的信息安全进行评估时使币2规范性引用文件
下列件对于木文件的应用是必不叫少的,凡法日期的引文件,仅注门期的版本适用士本文件:凡是不注期的引川文件,其最新版术(包括所右的修改单)适而于本文件,GB/T22081--2008信息技术安全技术信息安全管理实用规则(IS0/IEC27002:2005.1D1))IFC 62443-3-3-2013-T:业过程测量和控測安企-网络和系统安全第 3-3系统安全要求和安全等级(SI)
3术语、定义和缩略语
3.1术语和定义
下列术语利定义适用于本文件:3.1.1
脆弱性 vulnerability
系统设计实现或操作和管理中存在的缺陷或弱点、可被利用束危害系统的完整性或安保策略:3.1,2
identify
对某一-评估要素逝行标识与辩别的过程。3.1.3
评估自标
assessment targel
评估所动所要达到的最终几的
accctan
风险评代活动用于结束项甘实施的·-种法,主装出被评估存组织机构·对评清动进行逐顶检验,以是否达到评估月标为接受标准。3.1.5
risk treatment
风险处置
避择并儿执行措施米更改风险的划程,1
GB/T 30976.1--2014
残余风险residual risk
终过风险处置后遗留的风险
风险接受
risk aceeptance
接受风险的决定。
risk analysis
风险分析
系统地使用信息来识别风险来源和估计风险3.1.9
风险评估
risk assessment
风险分析和风险评价的整个过程,3.1.10
风险管理risk managcinent
指导和控制--个组织机构相关风险的协调活动3.1.11
risk trealmeni
风险处置
选择并且热行措施米更改风险的过程。3.1.12
工业控制系统industrial conirol sysicm;ICS对工业生产过理安全(ay)、信息安个《seurity)和可带运行产生作用排影响的人员,破件和软件的集合。
注:系欲包准不限:
1)1非控制系统据分布式系统S可综程变辑控制器(:到能电于设备(ED)监视控制与书采集:SADA)系统、诊动择制:M)系统、网络电子传感和控鼠,脂视利诊断系绕|在本标册中:不论物理上是分+的还是集成的过程经制系统(1CS)化折H本过程控制系统和安个仪表系统(SIS)。2;美的信息系统,例如先过控制成界化变缺控鼠、在级优化器,专用设备盘视器、图形界而、过程历更记录制造热行系统(MESi和企业资源计划CRP)理系统相美范部,人员、网络或机器接门.为烂续的、批处理、离做的和其他证程提供控制安企和制造探作3
安全satety
免」不可接受的风险。
信息安全
security
保扩系统所采取的措源;
山处立和维护保护统的措研润产件的系统状态:能够见于非授权访间和非接权成意外的变建,被坏成者损失的系统资源的状态:基丁计算机系统的能力·能够提供充分的把据使非授权人员和系统既无法修收致件及其数带他无法访间系统功能.却保证授夜人贯和系统不被阻山:心)防止对!业自动化和控制系统的非法或有害的人疫,或者1扰其正确和计划的操作。注:措可以是与物门信息发(招制物理流间计算新的资心,成片逻解信息发全(等录给进系统和应川的能力相美的持剂股。
3.2缩略语
下列缩略语适用于本文件。
能力等级
分布式控制系统
企业资源计划
基本要求
健康、环境和安伞
T.业控制系统
智能电设备
制造执行系统
管埋等级
过程控制系统
增强要求
可编程序控制器wwW.bzxz.Net
(Capetbility le:vel)
(Histrihuled Control Systern)(Fnir:rprise Resource Planning (Fcundaional requirenen)
(Health.erviromcnt and securiiy)(Industrial conircl system)
(Intelligent Eleetronic Device)(Manufacturing Hxccution Systen)(Management level)
(Process Control System)
(Rcquirement enhanrcmcnt)
(Progtammalhe Logic Controller)GB/T 30976.1—2014
(Supervisory Control Ant Dal Arquisition)监视控制与数据采集系统
安全仪表系统
信息安全等级
系统要求
虚拟专而网
4工业控制系统信息安全概述
4.1总则
(Safety Instriunened Systen)(Security level)
(Systen requircmcnt)
(Virtual privele rmetwork)
1业控制系统的借息安全特性取决丁其设计、管理、健北性和环境条件等各种因素,系统信息安全的评估应位括作系统生命周期内的设计开发、安装、运行维护、退山使用等各阶段与系统村关的所有活动。必项认识到系统面临的风险在整个生命周期内会发生变化,评估系统信息安全特性附,应考虑以下各方面:a)危险引人点:
b)危险后架的受体及H影响;
c)传播途径:
d)降低风险的措施:
坏境条件:
)红机构管理,
注;在系统生命周期的不间阶段.力」束些新危险系件的出现,系统的凌企等级会发生变化,4.2危险引入点
危险引人点是1业控制系统与非安个设备、系统和网络的接入点,危险源可能来口于工业控制系统的系统外部,也可能来口丁工业控制系统的系统内部:安全威胁通过危险引人点并利用传播途径可能对受体造成伤害。危险引人点结为以下儿类们不限十:a)网络和通信的连接点:例如,远程技术支持和访问点、无线接人点、调制解调器网络连接、因特网或物联网连按、遥测网络连接、开放的业控制系统网络连接、与工业控制系统专网4联的其他网络连接配置不当防火墙等;3
GB/T 30976.1—2014
移动媒体:例如.L'SB设备、光盘、移动硬盘等:b)
)不操作例如.恶意攻击、意误操作等;l)受感染的现场设备等。
4.3传播途径
抢险源川能通过传播途径刘受体道成伤害。通常,川识别单的传播途径,但在多数情况下,一个完整的传播途径是出若下单类型的传播途径纠合而成:传播途径·般分为以下儿类,但不限于:外部公非网络如因特网:
内部信息网络:
)「控专网(点刘点、无线):)移动存储装置。
4.4危险后果的受体及其影响
险后果的受体是指受创破坏时所侵害的客体.包括以下,个方面:a)人员:
)坏境:
“)资产
对客体造成的侵害的理度归结为种.分别对应于:)造成特别严革的损害.A级;
b)造成严重损害.B级:
)造成般损神级
注:表丨络非了后果造成俊害的级别表1后果造成的侵害等级
风险区域
业务连续
个品点,多个斯点
牛产中断生产中断
直接经降
损失(亿
人民币
信惠安全
刑事责在
重罪型
轻滑刑
补会影响
品牌形
象投失
以去客产
的信征
业操作安全
非现场
现场人员
死亡坡
会事件
损失[作!投游或而
万或重
大伤害
地社区的
无投诉
环境安全
大面积长
期过度的
更大损害
受地方
机均通报
可释放
的极限
恒家经济影响
其础段施
和服务
影响象个业
务部门或忧
乱补区服务
在超越一个
公川的水平可
能影响到业
务部门,
礼区服务
几乎无影响
4.5工业控制系统信息安全评估的内容概述4.5.1组织机构管理评估
GB/T30976.1-2014
纠织机构管理通带对构戒管理体系的基本要索提出相应的要求和为满足这些要求需要实现戒解决哪些方面的内容.而不提供如何去开发管理体系,工业控制系统管理机构(资产所有省)所对其有挑战性的新问题时应当把信息安全作为一个关键内容融合到整个安个运行体系中。那么常见的1程方法是将问题分解成更小的子问题,按照分治方式解决每个了问题。这是解决ICS信息安全风险的现途径。然而,在解决信息安全方面常犯的错误是,试图用一·套系统一次解决所有的孔S信息安全问题ICS信息安个是个史人的挑战,需妄考虑整个ICS以技环绕和利而ICS的收策、规程、实践和人员等各个方而。实施这样人范围的管埋川能需要纠织机构内部的文化变毕。在整个组织机构管埋范用的基础1解决1S倍息总安全管埋是一项艰巨的任务。因为没适合所有情况的工业控制系统信息安企实践,信息安全实际上是一个风险和成本的平衡:行业不同而对的情况有所不同,在某些情况下,风险叫能与健康、安个,环境(1ISE)因素有关而不是单纯的经济影响。风险可能带来不可恢复的底果而不仅仅是暂时性的财务损失纽织机构管理评估基丁(GB/T22U8」200)8第三章第15率标准制定、但是引入一个重要的概念,工业控制系统的信总安全风险对HSF影响.应与现有风险管理实践结合求应对这些风险。其体的评估内容见第5章和附录A
4.5.2工业控制系统能力(技术)评估系统能力(技术)评估日的是保证系统能够在技术1.免受收。对于一个运行很好的系统,他应该满足操作和安全两个要求,要提前决定的是仆么时候开发项月测试以及供应商和集成商对于网络安全设备或系统的要求保证什么级别。对特殊设备或系统的保证的级别将决定系统能力实现的要求。供应商可能推举测试方法对丁特殊的设备和系统,似是用户将需要确定这些技术是否满是安全要求,理想情况下,将系统所有状态都进行能力评估,以保证每个安全措施能够满是或川以判道其余的风险。尽管完整的系统评估埋论上是叫能的,们是出下财务和人为约束而不能获得人多数的认证,因此,现在询临的问题是决定可接受的风险等级,执行可接受风险的评估,本部分的内容要见IEC62443-3-3:2013的第4章~第[0章,分别对应于本部分的第6章和附录13。4.5.3与其他安全措施的关联
在工业控制系统环境下,评估人员应该完全理解企业计竞机安全政策,规程、与特定设施租/或1业操作相关的健康、安全、环境风险。应小心确保评估不会十扰出1业控制系统设备提供的控制功能,在评估实施前,可能需要使系统离线。信息安全、物现安全和功能安全可能是密划杆关的。在某些情况下,其他安全错施有川能为信总安全提供独立保护层.而附加的信息安仑措施也有可能破坏其他安全猎施的完整性。凶此.在具体的风险评估活动中、成考惩者潜在的相与作用及其影响后果,4.5.4过程环境制约因素
在评估工.业控制系统信总安全特性时.应考虑过程环境条件的制约闪索,特别尼针对在用【业白化控制系统,应考虑现场测试和引人安全技术措施对正常生产过程的影响。作实施现场测试和引人安全技术措施之前·必须分析下列过程环境条件.以确保行动不会影响止常生产过程。a)工业控制系统或H其了系统敏扭的任务:b)操作人员的能力;
B/T 30976.1—2014
()工业择制系统所连接的工业过程的特性;附加工兵或系统对1业控制正常逻辑的影响;+)与工业控制系统连接的公用设施(气、电等)4.6评估结果
4.6.1风险可接受程度
信息安全采收的管理和技术措施建议采收最小影响的原则。根据工业控制系统的纽织机构管理以及系统(技术)能评估系统的风险,计对风险产生的结果采川信息安全等级(xrcmri1ylevel.Sl)来表示风险管理过程中的不同风险,这样的结果比较白规,根据SI来确定组织机构的整体安全策略和机成的技术防御措施。同.组织机构应当综合考虑风险控制成木与风险造或的影响,提山个可接受的风险范同。对某些资产的风险,如果风险计算值在可接受的范调内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持记经有的安全措施:如桌风险评值可按受的范困外-似是低丁不可按受范询的下限值:则该风险需要采取安全挡施降低、并控制风险到可接受的程度:如果评估的风险从经济,康,安个和坏境方面近行评估后发现风险是不可以接受的.那么就要对现有的系统重新设计信息安个程序。见图1。其中的风险评估的只和方法参见附录
不叫接受风险/新的IACS
京全系统
采取猎液
降低风酸
叫接变风险
图1 风险可接受的程度
注:下业格制系统光利川订共选用的各种配者的功能和元件执行要求的任务,系统的该特征炸以仅通过证定售个单键办能和完作的特征来综求估个系统的信惠安全能力注2:1业控制系统信息安个评估的深度办积大程度最决下系统的复杂程度和迎界影询条件以技评估的月的;注3:评估的范市时以采汇总统计表将形式.在“个能线丨机出系筑的特性好轴线上列业需号虑的发个影响条件:流汁丧的方格川录列十华一种系统特性溅种安个影响条件帝要加以学感,4.6.2评估结果等级的划分
评估分为替埋评估和系统能力(技术)评估,管理评估宜对照风险接受准则和组织机构相关标。识别、量化并区分风险的优先次序,风险评估的结果宜指导并确定适当的管措施及其优先级,评估风险和选择控制措施的过程品要执行多次,以爱盖组织机构的不同部门成各个工业控制系统,管理评估分为个级别.分别为管理等级(m!EgCImcntlcvel)的MI.l.MI.2、ML.3,由低到高分别对应低级、级和高级。H体的评估内容别第5章.长格参成表A.1。系统能力技术)评估分为测个级别,由小到人分别对成系统能力等级(patilitylel)的I.1Cl23和i4.具体的评估内容见第6GB/1 30976.1-—2014
章,表格见表B.!、综企管理评征和系统能力评估的结果,得到工业控制系统的评估结果,亦即信总安伞等级(SLI、SL2、SIL.3、SL4) 见表 2表2工业控制系统的评估结果
信息安企等级
件理等级
5 组织机构管理评估
5.1安全方针
信息安全方针
系统能力等级
日标:依据业务要求和机关法律法规提供管理指导并支持信息安全,Ct.
要求:管理者应根据业务日标制定清晰的方针指导、并通过在整个组织机构中颁作和维护信息安个方针来表明对信息安全的支持和承诺。5.1.1.1信息安全方针文件
控制措施:
信息安个方针文件应由管理者批准、发布并传达给所有员工和外部杆关方。评估指南:
信息安全方针文件应说明管理服诺,并提出组织机构的管理信息安全的方法:方个文件建议包括以下明:
信息安全、整体标和范周的定义,以及在允许信总其享机制下安全的重要性:a)
管理者意图的声明.以支持符合业务策略和门标的信息安全H标和原则:t
设告控制日标和控制措施的框架,包括风险评估和风险管理的结构:对组织机构特别重要的安全力计策略原则、标和符合性要求的简要说明·包括:d)
1)符合法律法规和合同要求;
安全教行、培训和意识要求:
业务连续性管理:
违反信息安企方们的后果
信息安全管理!(包括报告倍息安全事件)的般和特定职贵的范义:对支持方针的文件的引用,例如,特定信总系统的史详细的安策略和规程,或用广要遵守安门
企规则。
信息安全方针的评审
控制措施:
应按计别的时间隔戒当革人变化发生时进行信息安全方印评审,以确保持续的适们性,充分性和7
GB/T 30976.1—2014
行效性。
评指南:
信息安企方针成有专人负支.他质有要全方创制定、评中和评价的管理职资,评审要包括评估组织机构信息安全疗计进的机会和管理估息安全适应组织机构环境,业务状况、法律条件或技术环境变化的方法,
信息安全方针评市应考虑管理评的结果,定义管埋评审规程,包括时间表成评伟周期。管理评中的瑜人建议包拆议下信总a)相美方的反馈;
b)征立评的结果(见5.2.1.7);预防和纠正造施的状态(见5.2.1.7和5,11.2.1)(l)以往管埋评审的结果;
过程执行情况和信息安个方针衍合性;f)可能影响组织机构管理信息安全的方法的变史·包括纠织机构环境、业务状况、资源川用性、合同、规章和法伴条件或技术环境的变也:贼胁和脆骗性的烂势:
h)已报件的信息安个事件(见5.9.1);i)美政府部汀的建议(驰2.1.),管理评市的输山建议包括与以下方面有美的征何决定和措施:组织机构管理信息安全的力法及其过程的政进:a)
)控制目标和控制措施的改进;资源和或职责分配的收进;
d)维护誉理评市的记录并获得管理者划修的方针的批准5.2信息安全组织机构
5.2.1内部组织机构
用标:管理组织机构范制内信息安全:应建立管理杠架,以启动租控制组织机构范国内的信总安全的实施。管理者应批准信息安全方饣,指派安个角色以及协调和评审整个组织机构安全的实施若必要.在纽织机构范用内让立专家信息安企建议库,并在纠织机构内可川。发展与外部安专家或组织机构(包括杆关权威人十)的联系,以使跟上行业趋势,跟踪标准和评低方法,并当处理信息安全事件,提供合适的联络点。
5.2.1.1信息安全的管理承诺
控制携施:
管理者应谣过消晰的说明,可证实的承诺,切确的倍息安全帜质分配及确认来积极支持组织机构内的安食,
评估揭南:
建设管瑞!名:
a)确保信息安全口标得以识别,满是组织机树要求,并己被整合到相关过程中;的制定,评审、批准信息安片;评中信息安全方计实施的有效性:d)为安全启动提供朗确的方向和支持;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。