ГОСТ Р МЭК 62443-2-1—2015
Описание:
Сегментация сети является ключевой контрмерой, предназначенной для разделения устройств на
зоны безопасности, в которых для достижения требуемого уровня безопасности реализуются опреде
ленные практики обеспечения безопасности. Зона может представлять из себя изолированный незави
симый сегмент сети или сегмент сети, отделенный от сети организации при помощи барьерного устрой
ства. IACS должны разрабатываться таким образом, который бы позволял фильтровать/предотвращать
попадание несущественных пакетов данных в устройства IACS.
Для сетей TCP/IP наиболее распространенными барьерными устройствами являются брандмау
эры. маршрутизаторы и коммутаторы 3 уровня. Для сетей, не относящихся к типу TCP/IP. барьерными
устройствами могут быть отдельные шлюзы или встроенные в сеть интерфейсные модули устройства
IACS.
Обоснование:
Важнейшим условием обеспечения безопасности является применение контрмер, соизмеримых
с уровнем риска. Несмотря на то, что сетевая сегментация представляет собой важную контрмеру для
обеспечения безопасности, применяемую в сочетании с другими способами защиты для снижения ри
ска, который может быть связан с IACS. может и не потребоваться, чтобы риски в отношении безопас
ности были небольшими.
Требования.
Таблица 10 — Сегментация сети: требования
О писание работ
Требование
4.3.3.4.1 Разработка архитектуры
сегментации сети
Для устройств IACS должна быть разработана стратегия применения кон
трмер. с использованием зон безопасности, с учетом уровня рисков для
IACS
4.3.3.4.2 Применение изоляции
или сегментации для IACS с высо
ким уровнем риска
IACS, подверженные высокому уровню риска, должны быть изолированы
или иметь всоставе барьерное устройство, отделяющее их от прочих зон с
отличными уровнями безопасности или рисков
4.3.3.4.3Блокировка несуществен
ных передач данных при помощи
барьерных устройств
Барьерные устройства блокируют все несущественные передачи инфор
мации внутри и снаружи зоны безопасности, в которой находится важней
шее оборудование управления
4.3.3.5 Элемент «Контроль доступа — Администрирование доступа»
Цель:
Гарантировать на постоянной основе, что только установленные субъекты имеют учетные записи,
гарантирующие допуск, и что такие учетные записи предусматривают соответствующие привилегии до
ступа.
Описание:
Контроль доступа — это способ контроля того, кто и какие субъекты могут получать доступ к объ
ектам и системам, а также какие виды доступа разрешаются. Контроль доступа характеризуется тремя
ключевыми аспектами: администрирование учетных записей, аутентификация и авторизация. Сочета
ние всех трех аспектов позволяет разработать надежную стратегию контроля доступа.
Администрирование учетных записей — это способ, связанный с предоставлением и отменой
полномочий по доступу, а также обслуживанием разрешений и привилегий, предоставленных таким
учетным записям для доступа к конкретным ресурсам и функциям на физических объектах, в сетях или
системах. Учетные записи должны зависеть от функции или роли1’ и могут определяться для отдель ных
лиц. групп лиц. действующих в качестве команды, или для устройств, выполняющих какую-либо
функцию.
Обоснование:
Неверное использование данных и систем может привести к серьезным последствиям, включая
нанесение вреда человеческой жизни, окружающей среде, финансовым потерям и ущербу для корпо
ративной репутации. Такие риски возрастают, когда сотрудники, подрядчики или временный персонал
получает нецелесообразный доступ к данным и системам.
11Термин «ролевая модель управления доступом» см. МЭК 62443-1-1 (подпункт 3.2.92).
19