ГОСТ Р МЭК 62443-2-1—2015
на стадии администрирования. Это происходит в несколько шагов: выявление ресурсов, необходимых для выпол
нения служебных функций работника, независимое утверждение доверенным лицом и настройка,’конфигурация
компьютерной учетной записи, которая автоматически предоставляет ресурсы при необходимости.
Помимо задачи создания учетных записей и присваивания ролей пользователям на уровне операционной
системы, многие производственные приложения требуют присвоения дополнительных ролей. Системные адми
нистраторы в системе промышленной автоматики и контроля должны иметь достаточную степень квалификации и
надежности для выполнения функций по администрированию учетных записей в работающих приложениях по
управлению оборудованием. Процесс управления изменениями для внесения изменений вучетные записи должен
четко определять временные ограничения, которыедолжны выполняться всвязи с рисками безопасности во время
определенных последовательностей операций управления.
А.3.3.5.3 Аспекты администрирования учетных записей
А.3.3.5.3.1 Общие положения
При разработке программы администрирования учетных записей необходимо включить внее все рассматри
ваемые системы, не ограничиваясь исключительно традиционным оборудованием компьютерного зала.
А.3.3.5.3.2 Правила управления доступом пользователя ксистемам, данным и конкретным функциям
Каждая организация должна установить правила управления доступом пользователя к системам, данным и
функциям. Эти правила должны быть основаны на риске для системы и ценности информации. Правила должны
быть распространены среди персонала.
А.3.3.5.3.3 Стандартный процесс администрирования
Для создания учетных записей необходимо следовать стандартному административному процессу. Нес
мотря на то, что для одной организации может быть более экономически целесообразно предусмотреть функцию
администрирования учетных записей для всех компьютерных систем в компании, в IACS и IT-системах заадмини
стративный контроль создания учетных записей и процесса их ведения может отвечать другой персонал. Это за
частую связано с различным набором рисков, связанных с этими системами. Утверждение учетных записей также
может потребовать утверждения контролером, ознакомленным с задачами и работой IACS.
А.3.3.5.3.4 Ролевые учетные записи
Для создания таких учетных записей необходимо следовать стандартному административному процессу.
Учетные записи являются ролевыми и предоставляют пользователю привилегии и доступ кресурсам, которые не
обходимы для выполнения конкретной служебной функции.
А.3.3.5.3.5 Минимальные привилегии
Пользователямдолжны быть предоставлены минимальные привилегии и разрешения, необходимые для вы
полнения их задач. Доступ должен предоставляться, исходя из необходимости выполнения конкретной служебной
функции. Ролевые привилегии должны учитывать особые требования к установке ПО. конфигурирующим серви
сам. потребности в обмене файлами и необходимость в удаленном доступе.
А.3.3.5.3.6 Разделение обязанностей
Процесс администрирования учетных записей включает принципы разделения обязанностей, при этом ут
верждение и осуществление конфигурирования учетной записи проводится разными лицами. Этот принцип обе
спечивает дополнительный уровень защиты, чтобы один работник не мог создать угрозу для системы.
А.3.3.5.3.7 Определение отдельных пользователей
Должна существовать возможность идентификации каждого пользователя по отдельным учетным записям,
если только такие учетные записи не связаны с рисками по охране труда, технике безопасности и охране окру
жающей среды. В таких случаях необходимо применять другие средства контроля физической безопасности для
ограничения доступа. Доступ необходимо контролировать с помощью аутентификации (т. е. ID пользователя и
пароля, личных идентификационных номеров (PIN) или символов). Такие персональные данные не должны предо
ставляться кому-либо, за исключением определенных особых ситуаций. Исключением является пульт управления,
на котором операторы функционируют в качестве единой рабочей команды. В этой ситуации каждый в команде
может использовать одни и те же регистрационные данные. (Дополнительно эта тема рассматривается вА.З.З.6.).
На случай, если работник забыл пароль, должна существовать альтернативная процедура идентификации.
А.3.3.5.3.8 Авторизация
Доступ должен предоставляться с разрешения соответствующего менеджера (из ответственной компании
или партнерской организации). Одобрение проводится контролерами, ознакомленными с производственными’экс-
плуатационными задачами, и обучением, которое работник прошел для выполнения этой роли.
А.3.3.5.3.9 Ненужные учетные записи
Учетные записи являются средством контроля доступа к системе, поэтому необходимо осуществлять де
активацию. приостановление или удаление учетных записей и аннулирование разрешений на доступ, когда не
обходимость втаких записях отпадает (например, при смене должности, увольнении и т.д.). Эти действия должны
предприниматься соответствующим менеджером после того, как пропадает необходимость в учетной записи.
А.3.3.5.3.10 Разрешение на просмотр учетных записей
Необходимость доступа к критически важным системам должна напрямую подтверждаться на регулярной
основе. Созданные учетные записи должны периодически просматриваться, чтобы удостовериться, что они все
еще используются, роль и требования к доступу являются верными, а пользователь авторизован и имеет мини
мальные требуемые разрешения. Неактивные или ненужные учетные записи должны удаляться. Если учетная
76