Положение ОАО РЖД от 19.09.2014 N 390
ОАО «РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ»
УТВЕРЖДАЮ
Старший вице-президент ОАО «РЖД»
В.А.Гапанович
19 сентября 2014 г. N 390
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ МИКРОПРОЦЕССОРНЫХ СИСТЕМ УПРАВЛЕНИЯ ОАО «РЖД»
Настоящее положение разработано в соответствии с распоряжением Президента ОАО «РЖД» Якунина В.И. «О головной организации по оценке кибербезопасности микропроцессорных систем управления ОАО «РЖД» от 28 сентября 2013 года N 2062р.
Положение определяет единый порядок проведения мероприятий по обеспечению кибербезопасности микропроцессорных систем управления (далее — МПСУ) в ОАО «РЖД».
К МПСУ, на которые распространяется данный документ, относятся следующие:
— локомотивные системы управления и диагностики подвижного состава;
— локомотивные системы безопасности подвижного состава;
— системы автоведения;
— микропроцессорные системы электрической и диспетчерской централизации, диспетчерского контроля, автоблокировки, полуавтоматической блокировки (ЭЦ, ДЦ, ДК, АБ, ПАБ), MAЛC;
— системы управления устройствами технологического электроснабжения;
— системы связи, являющиеся элементом информационно- управляющих систем, отвечающих за безопасность перевозочного процесса.
Функциональными заказчиками работ, связанных с оценкой кибербезопасности МПСУ, разрабатываемых и эксплуатируемых ОАО «РЖД», являются: Центральная дирекция инфраструктуры — филиал ОАО «РЖД» (далее — ЦДИ), Дирекция тяги — филиал ОАО «РЖД» (далее — ЦТ), Центральная дирекция моторвагонного подвижного состава (далее — ЦД MB), Дирекция скоростного сообщения (далее — ДОСС) и Центральная станция связи — филиал ОАО «РЖД» (далее — ЦСС) в зависимости от принадлежности МПСУ.
Головной организацией ОАО «РЖД» по проведению работ по оценке кибербезопасности МПСУ ОАО «РЖД» является ОАО «НИИАС».
Проведение исследований по оценке кибербезопасности новых типов, модернизированных, модифицированных и серийно выпускаемых МПСУ осуществляется по заявкам разработчиков или поставщиков этих систем.
Аудит кибербезопасности находящихся в эксплуатации МПСУ организуется и проводится ЦДИ, ЦТ, ЦЛ и ЦСС с привлечением внешних специализированных организаций в соответствии с требованиями российского законодательства и с участием Центра кибербезопасности ОАО «НИИАС».
Проведение исследований по оценке кибербезопасности эксплуатируемых МПСУ осуществляется по заявкам ЦДИ, ЦТ, ЦЛ или ЦСС.
Структурным подразделением ОАО «НИИАС», выполняющим исследования по данной тематике, является Центр кибербезопасности.
Решение вопросов, связанных с обеспечением информационной безопасности, Центр кибербезопасности ОАО «НИИАС» согласовывает с Департаментом безопасности ОАО «РЖД».
1.1. Мероприятия по обеспечению кибербезопасности МПСУ проводятся по следующим основным направлениям, охватывающим все этапы жизненного цикла систем:
— согласование технических заданий на разработку новых типов, модернизацию и модификацию МПСУ в части выполнения требований кибербезопасности и реализации мер защиты;
— проведение исследований (экспертизы и испытаний) по оценке кибербезопасности новых типов, модернизируемых и модифицированных МПСУ перед вводом в эксплуатацию;
— проведение исследований (аудита) с целью оценки уровня кибербезопасности МПСУ, находящихся в эксплуатации;
— согласование с ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС и Департаментом безопасности ОАО «РЖД» перечня мероприятий, направленных на выполнение требований по киберзащите;
— анализ функционирования МПСУ в ходе эксплуатации;
— согласование перечня мероприятий по выводу МПСУ из эксплуатации с учетом требований кибербезопасности.
1.2. Центр кибербезопасности ОАО «НИИАС» согласовывает проекты технических заданий и координирует проведение экспертиз на соответствие требованиям кибербезопасности схемотехнических решений и программного обеспечения новых, модернизированных и модифицированных МПСУ.
1.3. Проведение исследований по оценке кибербезопасности новых, модернизированных, модифицированных и серийно выпускаемых МПСУ организуется Центром кибербезопасности ОАО «НИИАС» с привлечением внешних специализированных организаций.
При необходимости к проведению отдельных видов работ могут привлекаться независимые эксперты.
1.4. По результатам проведенных исследований Центр кибербезопасности ОАО «РЖД» подготавливает и направляет функциональному заказчику комплексное экспертное заключение.
1.5. Ввод в эксплуатацию новых, модернизированных, модифицированных и серийных МПСУ в ОАО «РЖД» осуществляется только после получения от Центра кибербезопасности ОАО «НИИАС» комплексных экспертных заключений по кибербезопасности и предлагаемым мерам защиты.
1.6. Оценка кибербезопасности МПСУ, находящихся в эксплуатации, производится на основании комплексного экспертного заключения о результатах проведения аудита и рекомендаций по реализации организационных и технических средств защиты.
1.7. Привлечение внешних организаций к обслуживанию и ремонту МПСУ в процессе эксплуатации допускается только по согласованию с Центром кибербезопасности ОАО «НИИАС».
1.8. Для обеспечения анализа функционирования МПСУ в ходе эксплуатации ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС обеспечивают передачу в Центр кибербезопасности ОАО «НИИАС» сведений о нарушениях в работе МПСУ, связанных с кибербезопасностью, в курируемых подразделениях ОАО «РЖД».
1.9. Центр кибербезопасности ОАО «НИИАС» принимает участие в расследованиях компьютерных инцидентов с МПСУ, которые находятся в эксплуатации.
1.10. Вывод МПСУ из эксплуатации осуществляется в соответствии с установленным в ОАО «РЖД» порядком с обязательным уведомлением Центра кибербезопасности ОАО «НИИАС».
1.11. Центр кибербезопасности ОАО «НИИАС» обеспечивает разработку Требований по кибербезопасности МПСУ и предложений по совершенствованию нормативных документов в этой области.
2.1. Для проведения исследований по оценке кибербезопасности эксплуатируемых, новых, модернизированных, модифицированных и серийных МПСУ разработчиком или поставщиком должны предъявляться:
— программно-аппаратный комплекс МПСУ;
— техническая и эксплуатационная документация;
— доказательство безопасности (для систем, к которым предъявляются требования функциональной безопасности);
— описание архитектуры технологического процесса;
— протоколы заводских испытаний;
— алгоритмы, их описание, исходные коды программного обеспечения;
— инструкции и инструментальные средства, используемые для разработки и тестирования программного обеспечения;
— результаты сертификационных испытаний на соответствие требованиям ФСТЭК России.
2.2. После проведения работ по оценке кибербезопасности проверенное программное обеспечение (включая исходный код) и комплект эталонной документации на МПСУ передается для хранения в ОАО «РЖД».
2.3. Проведение исследований по оценке кибербезопасности новых, модернизированных, модифицированных и серийных МПСУ до ввода в эксплуатацию предусматривает:
— разработку модели угроз и модели нарушителя;
— согласование этих моделей с Департаментом безопасности ОАО «РЖД» (в части информационной безопасности);
— разработку программ и методик испытаний киберзащиты МПСУ;
— проведение проверок МПСУ на соответствие разработанным Требованиям, с привлечением экспертных независимых специализированных организаций.
2.4. Для организации исследований по оценке кибербезопасности МПСУ Центр кибербезопасности ОАО «НИИАС» проводит следующие мероприятия:
— согласование технических заданий на проведение работ экспертными организациями по оценке кибербезопасности новых, модернизированных, модифицированных и находящихся в эксплуатации на объектах инфраструктуры МПСУ для проверки на расширенный класс угроз;
— участие в организации и проведении комплексного аудита кибербезопасности МПСУ на выбранных объектах железных дорог в соответствии с планами, разрабатываемыми ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС.
2.5. ОАО «НИИАС» проводит комплексный анализ полученных результатов исследований по оценке кибербезопасности МПСУ, выполненных экспертными специализированными аккредитованными организациями, а также предложенных этими организациями организационных и технических мер защиты.
2.6. Экспертизе подлежат также результаты исследований по оценке функциональной безопасности МПСУ, если к ним предъявляются такие требования.
2.7. ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС организуют проведение аудита кибербезопасности МПСУ, находящихся в эксплуатации, с привлечением экспертных специализированных организаций и с участием Центра кибербезопасности ОАО «НИИАС» и причастных структур ОАО «РЖД» по утвержденным программам.
2.8. Центр кибербезопасности ОАО «НИИАС» представляет в ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС актуальный перечень внешних аккредитованных в установленном законом порядке специализированных организаций, которые могут привлекаться на конкурсной основе для проведения исследований по оценке кибербезопасности, включая обеспечение функциональной безопасности МПСУ.
2.9. Аудит кибербезопасности проводится на основе перспективных планов, подготавливаемых ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС на основе классификации МПСУ с учетом выбранных приоритетов и согласованных с Центром кибербезопасности ОАО «НИИАС».
2.10. По результатам экспертиз и исследований Центр кибербезопасности ОАО «НИИАС» подготавливает и направляет в ЦДИ, ЦТ, ЦЛ, ДОСС и ЦСС комплексные заключения по оценке кибербезопасности МПСУ и перечни рекомендуемых организационных и технических мер защиты.
3.1. Исследования по оценке кибербезопасности эксплуатируемых (для новых объектов внедрения), новых, модернизированных и модифицированных МПСУ проводятся за счет средств разработчика (поставщика)-МПСУ.
В случае, если разработчик (поставщик) МПСУ прекратил свое существование как юридическое лицо, то проведение исследований по оценке кибербезопасности уже находящихся в эксплуатации МПСУ проводится Центром кибербезопасности по распоряжению ОАО «РЖД», за счет средств выделяемых по статье «Эксплуатационные расходы».
Если МПСУ, разрабатываемая организацией, финансируется ОАО «РЖД», то исследование ее кибербезопасности проводится за счет средств того же источника.
3.2. Исследования по оценке кибербезопасности МПСУ, разрабатываемых ОАО «РЖД», проводится за счет средств, выделяемых функциональному заказчику от ОАО «РЖД» на разработку МПСУ.
3.3. Проведение исследований по оценке кибербезопасности находящихся в эксплуатации МПСУ проводится за счет средств ОАО «РЖД» выделяемых ОАО «НИИАС» в рамках корпоративного заказа по статье «Эксплуатационные расходы».
3.4. Финансирование разработок нормативно-методической документации по обеспечению кибербезопасности МПСУ осуществляется Департаментом технической политики ОАО «РЖД» в рамках плана научно-технического развития ОАО «РЖД».