ГОСТ Р МЭК 62443-2-1—2015
ческое блокирование учетных записей из-за неверной регистрации или периодов неактивности повы
шает уровень строгости аутентификации, но при этом в среде IACS учитывается с большой степенью
осторожности, т. к. неудачная попытка аутентификации действительного пользователя может привести к
последствиям для HSE. если пользователь не сможет выполнять задачи в критической ситуации. В
среде IACS делается большой упор на сочетание мер физической аутентификации и электронной
аутентификации.
Требования:
Таблица 12 — Контроль доступа — Аутентификация: требования
Описание работ
Требование
4.3.3.6.1 Разработка стратегии ау
тентификации
Компании должны разработать стратегии или подход к аутентификации,
позволяющий определять метод(ы) аутентификации для их последующего
применения
4.3.3.6.2 Выполнение аутентифи
кации всех пользователей до ис
пользования системы
Все пользователи должны проходить аутентификацию перед использова
нием запрашиваемого приложения, кроме случаев, когда предусмотрены
компенсирующие комбинации технологий контроля входа и администра
тивных практик
4.3.3.6.3 Составление требований
к способам строгой аутентифика
ции для системного администри
рования и конфигурирования при
ложений
Практики строгой аутентификации (например, с требованием ввести на
дежный пароль) должны применяться ко всем учетным записям для си
стемных администраторов и для конфигурации приложений
4.3.3.6.4 Регистрация и проверка
всех попыток доступа к важней
шим системам
В журналах регистрации должна вестись запись всех попыток доступа к
важнейшим системам, такие журналы должны проверяться на предмет
удачных и неудачных попыток доступа
4.3.3.6.5 Выполнение аутентифи
кации всех удаленных пользова
телей на соответствующем уровне
Организация может реализовывать схему аутентификации с соответству
ющим уровнем строгости для точного определения дистанционного инте
рактивного пользователя
4.3.3.6.6 Разработка политики уда
ленного входа в систему и соеди
нений
Организация должна разработать политику, регулирующую дистанцион
ный вход в систему одним пользователем и/или через дистанционное со
единение (например, межзадачные соединения) с системами управления, в
которой бы определялись соответствующие отклики системы на неудач
ные попытки входа и истечение периодов неактивности
4.3.3.6.7 Блокировка учетной за
писи доступа после неудачных по
пыток удаленного входа
После определенного числа неудачных попыток входа дистанционным
пользователем система должна деактивировать учетную запись на опре
деленный срок
4.3.3.6.8 Требование повторной
аутентификации по истечении
периода неактивности удаленной
системы
По истечении определенного срока неактивности дистанционный пользо
ватель должен пройти повторную аутентификацию до получения повтор
ногодоступа к системе
4.3.3.6.9 Применение аутентифи
кации для межзадачных соедине
ний
Всистемах должны реализовываться соответствующие схемы аутентифи
кации для межзадачных соединений междуприложениями и устройствами
4.3.3.7 Элемент «Контроль доступа — Авторизация»
Цель:
Предоставить привилегии доступа к ресурсам после успешной аутентификации пользователя и
идентификации его связанной учетной записи доступа. Предоставленные привилегии определяются
конфигурацией учетной записи, заданной на этапе администрирования в бизнес-процессе.
Описание:
Контроль доступа — это способ контроля позволяющий определять, кто и какие субъекты могут
получать доступ к объектам и системам, а также какие виды доступа разрешаются. Контроль доступа
характеризуется тремя ключевыми аспектами: администрирование учетных записей, аутентификация
21