ГОСТ Р МЭК 62443-2-1—2015
запись не используется в течение продолжительного времени, необходимость в ней должна непосредственно под
тверждаться владельцем или заказчиком записи.
А.3.3.5.3.11 Учет записей
Одной из основных функций администрирования учетных записей является учет всех отдельных учетных за
писей. Учет ведется для всех учетных записей, включая информацию о работнике, предоставленных разрешениях и
ответственном менеджере.
А.3.3.5.3.12 Управление изменениями
Процесс управления изменениями для администрирования учетных записей должен четко определять лю
бые временные ограничения, которым необходимо следовать из-за рисков безопасности при внесении измене
ний во время определенных производственных последовательностей. Эти изменения имеют такое же значение,
как и изменения в технологическом процессе. ПО и оборудовании. Процесс администрирования учетных записей
должен быть объединен со стандартными процедурами управления безопасностью технологического
процесса и включать в себя действия по утверждению и документированию. Лица, утверждающие учетные
записи для вы полнения производственных/эксплуатационных функций, могут отличаться от лиц. утверждающих
пользователей IT-систем. Утверждение проводится контролерами, ознакомленными с задачами
производства’зксллуатации и кон кретным обучением, которое работник прошел для выполнения конкретной
функции.
А.3.3.5.3.13 Пароли по умолчанию
Многие системыуправления имеют пароли по умолчанию, которые используются при настройке и подготовке
системы к использованию. Эти пароли учетных записей часто широко известны или могут быть легко определены
из опубликованной литературы или других источников. Пароли по умолчанию необходимо заменить сразу после
настройки идо подключения к системе.
А.3.3.5.3.14 Аудит администрирования доступа
Необходимо проводить периодическую проверку соответствия информации об администрировании учетных
записей. Это обеспечивает выполнение владельцами документов или информации соответствующих политик,
стандартов или других требований, установленных организацией.
А.3.3.5.4 Вспомогательные практические методы
А.3.3.5.4.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) предоставление минимальных привилегий и разрешений пользователям, необходимых для выполнения
их задач. Доступ должен предоставляться, исходя из необходимости выполнения конкретной служебной функции;
b
)контроль идентификации и доступа для каждого пользователя с помощью подходящего способа аутенти
фикации (например. ID пользователя и пароля). Такие регистрационные данные (т. е. пароли. PIN и^или символы) не
сообщаются никому, за исключением конкретных особых ситуаций;
c) создание альтернативного процесса идентификации в случае, если работник потерял регистрационные
данные или забыл пароль;
d) предоставление, изменение или прекращение доступа с разрешения соответствующего менеджера (из
организации, организации-подрядчика или из сторонней организации). Должен вестись учет всех записей, включая
информацию о работнике, разрешениях и ответственном менеджере;
e) приостановление или удаление всех учетных записей и отмена разрешений, как только учетные записи
становятся ненужными (например, при смене должности);
f) регулярный просмотр всех созданных учетных записей, чтобы удостовериться, что они все еще использу
ются и требуют доступа к критически важным системам;
д) подтверждение необходимости вучетных записях соответствующим менеджером, если учетные записи не
используются в течение продолжительного времени;
h) незамедлительная смена паролей по умолчанию;
i) письменное согласие всего персонала (т. е. работников, совместных предприятий, сторонних подрядчиков
и временных работников) на выполнение политики безопасности, включая политики контроля доступа.
А.3.3.5.4.2 Дополнительные практические методы
Кдополнительным практически методам относятся следующие действия:
a) использование инструментов (т. е. инициализации и управления персональными данными) управления
процессом создания, приостановления и удаления учетных записей. Система инициализации также управляет до
кументооборотом при одобрении, с помощью которого владелец бизнеса одобряет доступ, включая регистрацию.
Это также позволяет автоматизировать процесс создания/приостановления учетных записей в целевых системах;
b
) увязка процесса администрирования учетных записей с кадровым процессом таким образом, чтобы ра
ботник мог изменить триггерные просмотры и обновление учетных записей;
c) определение и документирование ролей вприложениях/привилегий пользователей (т. е. служебных функ
ций, увязанных с ролями к приложениям и разрешениями на доступ для каждой роли) владельцем информации о
приложении или заместителем;
d) уделение особого внимания пользователям с привилегированнымдоступом (т. е. более частые просмотры
и проверка биографии);
е) предоставление пользователям разрешения на несколько учетных записей, исходя из их конкретной слу
жебной роли на конкретный момент времени. Работник будет использовать учетную запись системного админи-
77