GB_T 42457-2023 工业自动化和控制系统信息安全 产品安全开发生命周期要求.docx

ICS25.040CCSN10中华人民共和家标准GBf1.424572023/1EC62443-4-1:2018工业自动化和控制系统信息安全产品安全开发生命周期要求Securityforindustria1.automationandcontro1.systemsSecureproductdeve1.opment1.ifecyc1.erequirements(IEC62443-4-1:2018,Securityforindustria1.automationandcontro1.systemsPart4-1.:Secureproductdeve1.opment1.ifecyc1.erequirements,IDT)2023-10-01月202±0A17发布国家市场监督管理总局国家标准化管理委员会本文件按照GB,T1.1-20204标准化工作导则第1部分：标准化文件的结构和起草规则？的规定起草,木文件等同采用IEC62443-1-1:2018工业自动化和控制系统信息安全第，卜1部分：产品安全开发生命同期要求.本文件做了下列做小限位的编辑性改动：一一为与现有标准协调，将标准名称改为彳工业自动化和控制系统信息安全产品安全开发生命周期要求令。本文件由中IS机械工业联合会提出。本文件出全国工业过程测量控制和自动化标准化技术委员会（SACC124）归口。本文件起草服位：北京威努特技术有限公司、机械工业仪器仪衣综合技术经济研究所、电力规划总院有限公司、施耐德电气（中国）仃限公司、西门子（中国）行限公司、北京四方继保自动化股份有限公司、北京国能智深拄制技术右眼公司、华北电力大学、重庆信安网络安全等级测评有限公F、重庆帆电大学、西南大学、华中科技大学、中国电子科技集团公F第三十研尢所、北京广利核系统工程行限公司、辽宁大我国际新能源有限公司、国网江宁省电力有限公司检修分公司、中车株洲电力机车研究所有限公司、北京西南交大寤阳科技股份有限公司、交控科技股份有限公司、杭州电子科技大学、中IB第一汽车集团有限公司、西安热工研究院有限公司、上海工业自动化仪表研究院有限公司、工业和信息化部电子第五研究所、国家工业信息安全发展研究中心、岁克韦尔上海"黑公司、上海电器科学研究所（集团）有限公司、和利时科技集团有眼公司、西安空间无战电技术研究所，木文件主要起草人：黄般、1.KiS、尚羽佳、正春跖张匿宾、扬建平、龙国东、张东旗、工勇、国韬、杜振华、朱镜灵、蝌军、周彦晖、魏旻、刘枫、周纯杰、丝昆、英昌瑜、越硼、汪心明、曾阳、王锦、唐军、邹智荣、杨浜茂、杨W涛、麻搜、徐向华、王然、李.南、张子佳、柳源、刘博芳、刘杰、赵冉、高钺楣、任悦、刘辿、王爱粥、王英、张凝、徐进、王佳'胡博、杨超.附录A（资料性）可能的指标根据5.15的要求,开发组织采取步骤持续改进其过程.使用显示开发过程有效性的指标有助于确定是否正在进行可度量的改进.要收集的具体指标（如果有的话由产品开发人员决定可能会有很大的不同，但本附录A中包含了一些示例.例如.基线安全态势科分（SPS）可计算如下.注1:供应商使用的实际方法可能有所不同，使用Oroo分制，其中100分代表n雉，将多个因素平均起来确定御分.a）信息安全功能一一基于IEC62443-4-2中定义的信刖安全功能示例IKST-MO1.标准化为100。其中:NSFIEC62443T-2中定义的信恩安全功能致6：NRM满足这些需求的故城。b）实施安全1 ）基于SCA的结果其中：NSCA已启用并且返回警告数为C1.的SCA安全规则数量:NSR安全规则的总数.注2:本项可以由多个模块的平均得出2 ）基于knned.h的结果*3,（1.-p1.0U其中：P处接到banncdh的项目数成；TP需要链接的顶11总数，C）构建安全一基丁编译器选项和标志*W4,（1.-p-）×1.其中：B纯净的BinScope祖件报告&求；C一组件数Sb<1）部若安全基于对产品攻击面的分析结果*M5,（-）a1o其机A缓解的攻击途径数愤：N全部的攻山途径数;匕C）当前缺陷一基于产品中的关梃或重要安全缺陷数量示例6:MIN（SOCSINKMSDJOO）其中：CSI关键安全何题数显：ISI用要安全问甥数地,0培训一一菸干对工程加的评估褥分其中:CA己完成的评估数量：SE全部软件工程师的数51.g)SD1.J1.Mi基于与SD1.安全编码指南的偏差*w"JM'P：C1.安全代码符合项清单中符合的条月数收;CT安全代码符合项清单中的条目总数.M«B求我表B.1.总结了所有需求以给出本文件的总貌。«b.i*M再根S*型-1:开发过汽SN-2:JJS1.R<ft。1-3：明确适用性SMT:安全专业知识0IT：过程的IH界定Sf:文件完整性可-7:开发环境安全性SP8:私的控件SNf:外就提供部件的安全求SUT0：来f1.尔三方跳应商定制开发的肌件SMTI:HtVift1.解决与安全相关的问题ST2:过ft!证界彼改送SRT:产乩安全上下文SR-2:喊的KtESR-3;产1.安全需求SR-4:产t安全需求内容SR5:安全荷求讨中SA1.:安全i2iH0则SA2i¾U1.榔设计SA3:安全设计审查SP4:安全i1.秋佳实践SI-I:安全实曲中选SI-2:安全编码标准SVV-I:安全需求溯试SVY-2:Ife邨¾M描旗瑞试SVY-3:%¾<测试SVY-1.:港透测试SVY-5：满试人外的独立性*B.I全修务求总结（蚓需求一号和名葬NT：接收安全相关豺鹿的通知DM-2:安全相关问虺的审近IW3;评估安全相关Hgg1.>MT:解决安全相关用处DHi:披据安全相关向阳PM-6:定期审我安全缺陷管理实践S1.M1.:安全更新合格条件SUM-2:安全更新文档SUM-3:依赖组件或操作系统安全更新文档SIM-4:安全更新交付S1.+5:安全补丁的及时交付SGT:产1.纵浣防御SG-2:环境中例期的纵深助辨!出依SG-3:安全加向指南SGT:安全废弃指南SG-5:安全操作指南SGW:账户普理指南SG-T:文档审杳考文Itt本部分包括参考木文件创建过程中使用的资料来源，以及参考资料，这"资料可帮助读者更好地了解整个网络安全并开发管理系统。本参考文献中的所有文献并非都在本文件的全文中引用。根据引用的源类型,这些引用被分解为不同的类别己发布和即将发布的62443系列其他标准:(1IECTS62443-1.-1.ImunicationnetworksNetworkandsystemsecurityPart1-1:Terminnno1.ogy,conceptsandmode1.s2IEC,R62443-1-2Securityforindustria1.automationandcontro1.systemsPart1.-2:Mas-tcrg1.ossar)oftermsandabbreviations31ECTS62443-1-3Securityforindustria1.automationandcont11>1.systemsPart1.-3:Sys-te11securitycomp1.iancemetrics4IECTR62443-1-4Securityforindustria1.autonu1.iona1.contro1.systemsPai1.1-4:1ACSrnacuri1.y1.ifa*cyc1.ftanda-ca&.aa51EC62443-2-1ImunicationnetworksNetworkandsystemsecurity-Part2-11Estab1.ishinganindustria1.automationandcontro1.systemsecurityprogram61ECTR62443-2-2Securitytorindustria1.automationandcontro1.systemsPart2-2:Imp1.ementationguidanceforanIACSsecuritymanagementsystem7IECTR62443-2-3Securityforindustria1.au1.o<na(ionandcontro1.systemsPart2-3:PatchHwnagementinIhcIACSenvironment81ECTR62443-3-1:2009ImunicationnetworksNetworkanasystemsecurity一Part3-1.Securitytechno1.ogiestorindustria1.automationandcontro1.systems91EC62443-3-2Securityforindustria1.automationandcontro1.systemsPart3-2:Securityriskassessmentandsystemdesign(10IEC62443-3-3Industria1.CommunicaiionnetworksNetworkandsystemsecurityPart3-3:Sys(emsecurityrequirementsandsecurity1.eve1.s111IEC62443-4-2Securityf>rindustria1.automationandcontro1.systemsPart4-2:Techni-ca1.securityrequirementsforIACScomponents其他参考标准：112ISOIECDirectivesPart2,Princip1.csandru1.esforthestructureanddraftingofISOandIECdocuments13ISO9001Qua1.itymanagementsystemsRequirenwnts114ISO/IEC107461.Informationtechno1.ogyOpendistributedprocessingRcfcruncemode1.:OVCview115ISO/IECI07462Information(cchno1.ogyOpendistributedprocessingReferencemode1.:Foundations161SOIEC15408-1Informationtechno1.ogySecuritytechniquesEva1.uationcriteriaforITsecurityPar1.1.Jnt11)duc1.ionandgenera1.mode)(I7ISO/IEC15408-2Infomutiontechno1.ogySecuritytechniquesEva1.uationcriteriaforITsecurityPart2:SeCUponents18)ISO1EC154083Informationtechno1.ogySecuritytechniquesEva1.uationcriteriaforITsecurityPart3:SCCUEyassurancecomponents119ISO,IEC27002Informationtcchnok>gySecuritytechniquesC<1.cofpracticeforinformationsecuritycontro1.s20ISO?IEC27)Informationtechno1.ogySecuri1.ytechniquesInformationsecuritymanagementsystemsRequirements2111SO,1EC27036-3Informationtechno1.ogySecuritytechniquesInfbnnaIiOnsecurityibrsupp1.ierre1.ationshipsPart3:GUideIineStorinformationandcommunicationtechno1.ogysupp1.ychainsecurity221SOIEC29147Informationtechno1.ogy-SecuritytechniquesVu1.nerabi1.itydisc1.osure23ISOIEC30111Informationtechno1.ogy-SecuritytechniquesVu1.nerabi1.ityhand1.ingprocesses24IEC61.5O8(a1.1.PartS)FUnCiiona1.safe1.yofe1.ecrica1.e1.ec(ronic,programnab1.ee1.ec(ronicsafety-re1.atedsystems(25IEC62740ROotcauseana1.ysis(RCA)26ISCISD1.-3SecurityDeve1.opment1.ife-cyc1.e/XssuranceCertificationRequirement.VersionI,Revision327ISCIEDSA-312EmbeddedDeviceSecurityAssuranceCertificationRequirementsSpecificationsSoftwareDeve1.opmentSecurityAssessment28ISCIEDSA-310EmbeddedDeviceSecurityAssurunccCertificationRequirementsSpecificationsRequirementsforCmbCddCddevicerobustnesstesting.Version2.2DO-178B.SoftwarcConsiderationsinAirbomeSystemsandEquipmentCertification29JNISTSpecia1.Pub1.ication800-30GuideforConductingRiskAsscssnwnts30NISTSpecia1.Pub1.ication800-37GuideforApp1.yingtheRiskManagementFraniewoitioFedera1.InformationSystems311NISTSpecia1.Pub1.ication800-55PerformanceMeasurementGuideIbrInformationSecurity32NISTSpecia1.Pub1.ication8(X>61ComputerSecurityIncidentHand1.ingGuide33NISTSpecia1.Pub1.ication800-82GuideioIndustria1.Contro1.SystenMICS)Security134 NISTPrDCCSSContro1.SecurityRequirementsForUm(PCSRF)andtheFutureofIndustria1.Contro1.SystemSecurity35ISOjIEC27034(a1.Iparts)1.nformationtechno1.ogySecuritytechniquesApp1.icationsecurity特定行业和额域参考：(6OWASPComprchcnsivc.1.ightwcightApp1.icationSecurityProixss(C1.ASP).avai1.ab1.eat<http:/www.owasp.Org>>irK1.ex.php.,Category:OWASP_C1.ASP_Project>(viewc<1.2017-08-171371ReportontheEva1.uationofCybersecuritySe1.f-assessmentT1.sandMethodseNovember2004,Chcm1.TC.avaiIab1.cat<httpwww.chcnica1.cybciNccuri1.y.org,>(vicved2017-08-1738)U.S.Chcmica1.sSectorCyberSecurityStraICgy,September2006,avai1.ab1.cat<http:/www.chemica1.cybersccuri1.y.org.f>viewed2017-08-17)39BuiIdingSecurityInMaturityMode1.September2011»GaryMcGraw.Ph.D.BrianChess.Ph.D.SammyMiguejsavai1.ab1.eat<hup7w.,>(viewed2017-08-17其他文档和出版物：40CAR1.SON,Tom,InformationSecurityManagcmcnC1.JndcrstandingISO17799.200141ICarnegieMe1.1.onsoftwarebngincenng1.nstite.CMMitorSystemsEngineering/SoftwareEngineering1.fIniegratedPrOdUC1.andProcessDeve1.opnienvSuppIierSourcing.Version1.1.StagedRcprcscntation.2002,CMU/SEI-20()2.TR4)12(42CamcgicMe1.1.onSoftwareEngineering1.nstitutc.CMM1.forDcvc1.opmcnt(CMM1.-DEV),Version132010CMUSEI2010TR033林43HOWARD.MichadandIJPNER,Stcvc1ThcSecurityDeve1.opment1.ifbYyde;SD1.AProcessforDeve1.opingDcmonstrab1.yMoreSecureSoftwarc,2(M>6.MicrosoftPrcss,RcdmondVashington(44McGRAW.Gary.SoftwarcSecurityBui1.dingSccuri1.y1.n2006.Addison-Wes1.ey.UppcrSadd1.eRiver.NJ