ГОСТ Р 56205—2014
e) стратегию безопасности, направленную на достижение необходимых целей;
f) меры безопасности, подлежащие соблюдению;
д) типы каналов, разрешенные в пределах тракта;
h) документацию, раскрывающую атрибуты тракта.
Перечисленная выше информация документируется и объединяется в политику безопасности
тракта, используемую в качестве руководства и критериев оценки для конструирования и обслужива
ния объектов, которые содержатся в тракте.
6.5.6.3 Перечень объектов
Как и в случае с зоной, необходим точный список коммуникационных объектов.
6.5.6.4 Требования к доступу и меры управления доступом
Понятие тракта подразумевает, что доступ к нему ограничен в пользу некоторой совокупности
всех возможных субъектов, наделенных правом доступа. Политика безопасности тракта должна про
писывать условия доступа к тракту, при которых он служит своим бизнес-целям, и способ регулиро
вания этого доступа.
6.5.6.5 Оценка угроз и уязвимостей
Для отдельно взятого тракта существуют угрозы и соответствующие им уязвимости. Организа
циям следует выявлять и оценивать эти угрозы и уязвимости, чтобы определять вероятность прово
цирования ими ситуации, когда объекты внутри тракта больше не служат своим бизнес-целям. Про
цесс документирования угроз и уязвимостей выполняется в ходе оценки угроз и уязвимостей, которая
является частью политики безопасности тракта.
Существует множество возможных контрмер для уменьшения риска того, что определенная уг
роза воспользуется конкретной уязвимостью внутри тракта. Политика безопасности должна по воз
можности прописывать, какие виды контрмер применимы в рамках оптимального соотношения затрат
и риска.
6.5.6.6 Авторизованная технология
Системы промышленной автоматики и контроля эволюционируют в соответствии с меняющими
ся бизнес-требованиями, поэтому необходимо контролировать технологию реализации изменений
системы.
Л
юбая технология, используемая в таких системах, влечет за собой серию уязвимостей и
соответствующие им риски. В целях минимизации рисков для отдельно взятого тракта политика безо
пасности тракта должна предусматривать действующий список технологий, приемлемых в тракте.
6.5.67 Порядок управления изменениями
Необходима формализованная и четкая методика, которая обеспечивает точность политики от
дельно взятого тракта и порядок внесения изменений в эту политику. Формализованная методика га
рантирует. что изменения и дополнения тракта не отразятся отрицательно на целях безопасности.
Кроме того, необходима методика приспособления к меняющимся угрозам и целям безопасности.
Угрозы и уязвимости, а также связанные с ними риски, со временем меняются.
6.5.6.8 Присоединенные зоны
Тракт может быть описан и относительно зон. с которыми он соединен.
6.6Взаимосвязи моделей
Модели, описанные на разделе 6. связаны между собой, а также с политиками безопасности,
регламентами и директивами, составляющими программу безопасности. Взаимосвязи моделей пока
заны на рисунке 23.
68