标准规范下载简介
Q/CR 853-2021 铁路网络安全等级保护定级指南.pdfICS 03.220.30
**铁路集团有限公司企业标准
某办公楼内装施工组织设计铁路网络安全等级保护定级指南
中***铁路集团有限公司发布
0 范围 规范性引用文件 术语和定义 定级原理 4.1安全保护等级 4.2定级要素 确定定级对象 5.1系统定级对象 5.2网络设施定级对象 确定安全保护等级 6.1定级方法概述 6.2确定受侵害的客体· 6.3确定对客体的侵害程度 6.4综合判定等级 等级变更 附录A(资料性)确定受侵害的客体及对客体的侵害程度 附录B(资料性)定级报告模板 1
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中*铁道科学研究院集团有限公司电子计算技术研究所归口。 本文件起草单位:中*铁道科学研究院集团有限公司电子计算技术研究所、公安部第三研究所、中 *铁路信息科技集团有限公司。 本文件主要起草人:朱广劫、周泽岩、姚洪磊、王文婷、王彤、王瑞民、朱涛、刘刚、罗峥、袁静、尹湘培 付晓丹、杨晓冬、卫婧、司群、吴晓南、李琪。 本文件版*归中***铁路集团有限公司所有,任何单位和个人未经许可不得复制及转让。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中*铁道科学研究院集团有限公司电子计算技术研究所归口。 本文件起草单位:中*铁道科学研究院集团有限公司电子计算技术研究所、公安部第三研究所、中 *铁路信息科技集团有限公司。 本文件主要起草人:朱广劫、周泽岩、姚洪磊、王文婷、王彤、王瑞民、朱涛、刘刚、罗峥、袁静、尹湘培 付晓丹、杨晓冬、卫婧、司群、吴晓南、李琪。 本文件版*归中***铁路集团有限公司所有,任何单位和个人未经许可不得复制及转让,
铁路网络安全等级保护定级指南
本文件规定了*铁集团非涉及**秘密等级保护对象的安全保护等级定级原理及各阶段的要求。 本文件适用于指导*铁集团(*铁集团及所属各单位、控股合资公司)开展非涉及**秘密的等级 保护对象的定级工作。
GB/T22239—2019、GB/T29246—2017和GB/T22240—2020县 本文件。 3.1 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、人侵、干扰、破坏和非法 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的前 [来源:GB/T22239—2019,3.1] 3.2 等级保护对象targetofclassifiedprotection 网络安全等级保护工作直接作用的对象。 注:主要包含信息系统、通信网络设施和数据资源等。 [来源:GB/T22240—2020,3.2] 3.3 受侵害的客体objectofinfringement 受法律保护的、等级保护对象受到破坏时所侵害的社会关系。 注:本标准中简称“客体”。 [来源:GB/T22240—2020,3.6] 3.4 客观方面objective 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。 [来源:GB/T22240—2020.3.7]
根据等级保护对象在**安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能 或者数据被纂改、泄露、丢失、损毁后,对**安全、社会秩序、公共利益以及公民、法人和其他组织的合 法*益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: a)第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法*益造成损害,但 不危害**安全、社会秩序和公共利益; b)第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法*益造成严重损害 或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害**安全; c)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对**安全 造成危害; d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对** 安全造成严重危害; e)第五级,等级保护对象受到破坏后,会对**安全造成特别严重危害。 [本酒CBT222402020.41]
等级保护对象的定级要素包括 a) 铁路业务重要性级别; b)业务信息类别; c)系统服务范围; d) 受侵害的客体; 对客体的侵害程度。
a)运输生产调度、控制和涉及行车安全的监控业务; b)直接影响*铁集团客货运生产和客户服务业务; c)存储和处理*铁集团重要数据的网络和系统; d)*铁集团非常重要的经营开发业务; e)服务于*铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中 心等; f)服务于工程建设中重大工程的关键系统和基础设施; g)其他经*铁集团确定为非常重要业务的。 4.2.2.2重要业务包括: a)行车监测、检测、维护等辅助业务; b)客货运服务辅助管理系统;
a)运输生产调度、控制和涉及行车安全的监控业务; b)直接影响*铁集团客货运生产和客户服务业务; c)存储和处理*铁集团重要数据的网络和系统; d)*铁集团非常重要的经营开发业务; e)服务于*铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中 心等; f) 服务于工程建设中重大工程的关键系统和基础设施; g)其他经*铁集团确定为非常重要业务的。
a)行车监测、检测、维护等辅助业务; b)客货运服务辅助管理系统; c)*铁集团及所属各单位、控股合资公司公文流转、日常办公、邮件处理等管理业 d)*铁集团经营开发相关业务:
e)月 服务于铁路局(单位)范围内的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平 台数据中心等; f)服务于工程建设的重要系统和基础设施; g)其他经*铁集团确定为重要业务的。 4.2.2.3一般业务包括: a)不属于非常重要、重要的业务; b)经*铁集团确定为一般业务的。
4.2.3业务信息类别
商业信息:关系*铁集团及所属各单位、控股合资公司的经济利益和竞争优势,涉及与科研、生产 经营相关的技术信息和经营信息。 工作信息:关系*铁集团及所属各单位、控股合资公司的公务活动和内部管理的事项,如文件类 信息类、*务类、专项业务类、内部管理类等与工作相关信息。 个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反 映特定自然人活动情况的各种信息。
4.2.4系统服务范围
系统服务范围包括全路性、区域性、局部性。 全路性指服务范围为*铁集团统建系统。 区域性指服务范围为*铁集团本级,或两个及以上路局级单位,路局级自建系统。 局部性指服务范围为路局级本级,或站段级自建系统。
4.2.5受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)2 公民、法人和其他组织的合法*益; b)社会秩序、公共利益; c)**安全。 [来源:GB/T22240—2020,4.2.2]
定级对象应具有如下基本特征:
a)具有确定的主要安全责任主体; b)承载相对独立的业务应用,不应将不同功能业务数据类型的应用合并定级; c)包含相互关联的多个资源,不应将某个单一的系统组件,如服务器、终端或网络设备作为定级 对象。 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满 足以上基本特征的基础上,还应符合GB/T22240—2020中5.1.2~5.1.5的相关规定。
5.2网络设施定级对象
对铁路通信网络和铁路信息网络,宜根据安全责任主体、服务类型或服务地域等因素将其划分为 不同的定级对象。 对铁路通信网络可作为一个整体对象定级,或按照*铁集团所属单位管辖区域进行划分,分别作 为定级对象。 对铁路综合信息网等铁路信息网络可作为一个整体对象定级,或按照*铁集团所属单位管辖区域 进行划分,分别作为定级对象
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害 程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角 度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安 全保护等级称为系统服务安全保护等级。 定级方法流程应符合图1的规定。
1)确定业务信息受到破坏时所侵害的客体; 2)确定系统服务受到侵害时所侵害的客体。 b)确定对客体的侵害程度: 1)根据不同的受侵害客体市体育会展中心体育场桩基工程施工组织设计,分别评定业务信息安全被破坏对客体的侵害程度; 2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。 c)确定安全保护等级: 1)确定业务信息安全保护等级; 2)确定系统服务安全保护等级:
3) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保 护等级
定级对象受到破坏时所侵害的客体包括**安全、社会秩序、公共利益以及公民、法人和其他组织 内合法*益。 侵害**安全的事项包括以下方面: a)影响****稳固和领土主*、海洋*益完整; b)影响**统一、民族团结和社会稳定; c)影响**社会主义市场经济秩序和文化实力; d)其他影响**安全的事项。 侵害社会秩序的事项包括以下方面: e)影响*铁集团的运输秩序、经营秩序、生产建设秩序、科研秩序、公共卫生秩序; f)影响客货运组织、旅客出行秩序; g)其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面: h)影响社会成员使用客货运公共设施; i)影响社会成员获取*铁集团提供的公开数据; j)影响社会成员接受铁路公共服务等方面; k)其他影响公共利益的事项。 侵害公民、法人和其他组织的合法*益是指受法律保护的公民、法人和其他组织所享有的社会* 利和利益等受到损害。 确定受侵害的客体时,首先判断是否侵害**安全,然后判断是否侵害社会秩序或公共利益,最后 利断是否侵害公民、法人和其他组织的合法*益
6.3.1侵害的客观方面
侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同的受侵害客体、不同侵害后 果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同,例 如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或 业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信 息恢复费用等方面进行确定。 在针对不同的受侵害客体进行侵害程度的判断时,参照以下不同的判别基准: a)如果受侵害客体是公民、法人或其他组织的合法*益,则以本人或本单位的总体利益作为判 断侵害程度的基准; b)如果受侵害客体是社会秩序、公共利益或**安全,则以整个行业或**的总体利益作为判 断侵害程度的基准。 不同侵害后果的三种侵害程度描述如下: c)一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的 ? 法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害; d)严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严 重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高 损害; 2 e)特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无 法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和 个人造成非常高损害。 通过对不同侵害后果的侵害程度进行综合评定得出对客体的侵害程度,
分析定级对象的铁路业务重要性级别和业务信息类别,判断受侵害的客体,参考表A.1,确 体的侵害程度,依据表1得到业务信息安全保护等级
表1 业务信息安全保护等级矩阵表
根据定级对象的铁路业务重要性级别,分析系统服务范围重庆市中医药大学教学综合楼外墙石材干挂施工方案,判断受侵害的客体,参考表A.2,确定 对客体的侵害程度,依据表2得到系统服务安全保护等级