ГОСТ Р МЭК 62443-2-1—2015
- системы управления отоплением, вентиляцией и кондиционированием воздуха:
- сетевые коммуникационные шлюзы (т. е. коммутаторы, концентраторы и маршрутизаторы);
- сетевые защитные устройства (т. е. брандмауэры и системы обнаружения вторжений).
Следует рассмотреть все сетевые устройства на основе центральных процессоров, которые имеют ре
шающее значение для поддержания производства. Целью этой стадии инвентаризации является обнаружение
устройств, которые уязвимы для сетевых атак, для их включения в детальную оценку рисков.
Примечание — На данной стадии не следует принимать решение о том. какие устройства должны быть
изолированы или отделены от локальной компьютерной сети. Лучше ошибиться, включив больше устройств, чем
меньше. После проведения оценки рисков и получения лучшего представления об общей уязвимости группа оцен ки
должна решить, необходимы ли на самом деле решения по смягчению рисков и гдедолжны быть расположены
различные устройства.
На рынке доступно несколько корпоративных инструментов инвентаризации, которые будут работать в сетях
для выявления и документирования всех аппаратных средств, систем и программного обеспечения (ПО), суще
ствующего всети. Применять этот тип приложения для идентификации IACS следует с осторожностью. Необходи
мо провести оценку того, как работают эти средства и какое влияние они могут оказать на подключенное оборудо
вание управления, прежде чем использовать любое из них.
Оценка инструментов может включать в себя тестирование в аналогичных, автономных, непроизводствен
ных условиях системы управления для обеспечения того, что инструмент не окажет негативное влияние на работу
системы управления и не нарушит производство. Несмотря на то. что непроизводственные устройства могут не
оказывать никакого влияния на производственные системы, они могут отправлять информацию, которая гложет
вызывать (и в прошлом вызывала) сбои или неисправность систем управления. Воздействие может быть связано
с характером информации и/или трафиком и нагрузкой на систему. Несмотря на то. что это влияние может быть
приемлемым в информационных системах, оно неприемлемо в IACS.
А.2.3.3.8.4 Разработка простых сетевых схем
Простая сетевая схема позволяет группировать различные системы и устройства промышленной автомати
зации и управления и объединять их видентифицируемую логическую систему управления. Она должна включать в
себя устройства, определенные в таблице сбора логических данных IACS, о чем говорилось вА.2.3.3.8.2. Схема
должна отражать базовую архитектуру логической сети, например, способы сетевого взаимодействия, в сочетании с
некоторыми физическими базовыми элементами сетевой архитектуры, например, расположение устройств.
Перед тем, как определить приоритеты IACS и выполнить детальный анализ рисков, важно обеспечить, что
бы у группы имелось четкое понимание сферы применения/границ системы, подвергаемой анализу. Сетевая схема
выполняет роль инструмента для визуализации сети и помогает при проведении анализа риска. Это гложет быть
очень простая блок-схема, на которой показаны устройства, системы и интерфейсные соединения, или более
детальная схема, как например, схема, представленная на рисунке А.5. Применяя любой такой подход, можно
добиться поставленных целей. Если определены зоны и каналы, они должны быть показаны на простой
сетевой схеме. (Более подробные пояснения по разработке зон и каналов представлены вА.З.З.4.).
47