ГОСТ Р МЭК 62443-2-1—2015
провести повторную аутентификацию не может быть адекватной мерой. Каждая организация должна организовать
аутентификацию дистанционных пользователей таким образом, который подходит под ее обстоятельства и уро
вень допустимости риска.
Для дистанционных пользователей требуемый уровень аутентификации должен быть пропорционален рис
ку, угрожающему системе, вотношении которой осуществляется полыгха доступа. Простая аутентификация может
применяться, если система не контролирует операции с высоким риском HSE. Для систем, в которых реализуются
риски HSE, больше соответствует строгая аутентификация.
Примеры простой аутентификации:
- модемное соединение напрямую с устройствами промышленного контроля или сетями, в которых исполь
зуются простая аутентификация с помощью идентификаторов пользователей и пароля:
- подсоединение устройств промышленного контроля или сетей через корпоративную сеть LAN или WAN, в
которых используются простая аутентификация с помощью идентификаторов пользователей и пароля;
- использование системы аутентификации Microsoft Windows® с помощью идентификаторов пользователей
и пароля на уровне приложений в устройствах промышленного контроля.
Примеры строгой аутентификации:
- использование двухфакторной аутентификации с помощью физического токена или смарт-карты, для ко
торой требуется и наличие физического устройства и знание уникальной информации (например, персональный
идентификационный номер. PIN-код), которой владеет пользователь:
Примечание — Уровень безопасности повышается благодаря защищенному вводу PIN-кода. например,
когда PIN-код вводится с использованием надежного считывателя кодов, препятствующего работе клавиатурного
перехватчика;
- аутентификация с использованием смарт-карт или биометрических данных:
- аутентификация пользователей в зависимости от их местоположения:
- модемное соединение с устройствами промышленного контроля или сетями, в которых используется по
сылка обратного вызова на заранее определенный телефонный номер:
- соединение устройств промышленного контроля или сетей ккорпоративной сети LAN или WAN и использо
вание смарт-карт или биометрической аутентификации;
- подключение домашних компьютеров к устройствам промышленного контроля или сетям с использовани
ем VPN-соединения и двухфакторной аутентификации с помощью токена и PIN-кода.
А.3.3.6.5.4 Аутентификация для связи между задачами
Как правило, межзадачные соединения не контролируются напрямую, как например, интерактивные сессии
с пользователями. Аутентификация межзадачных соединений в основном будет использоваться во время пуска
промышленной операции и затем через регулярные промежутки времени. В системах должно быть реализовано
определенное техническое решение для аутентификации каждого устройства или сети.
Примечание — В IEC/TR 62443-3-1 [6] приведено пояснение этих идругих технологий. В немописывают
ся преимущества и недостатки, а также применимость к среде IACS.
А.3.3.6.6 Вспомогательные практические методы
А.3.3.6.6.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) установление стратегии или подхода, которые определяют метод используемой аутентификации.
Метод гложет варьироваться в зависимости от рисков, последствий, связанных с бизнес-процессом и чув
ствительностью данных,
b
) освоение различных стратегий для подключения пользователей, находящихся в различных географиче
ских местоположениях (включая дистанционные обьекты). или для устройств с особыми требованиями безопас
ности. Для установления общего уровня безопасности пользователя учитываются характеристики физической бе
зопасности. взаимодействующие с характеристиками информационной безопасности;
c) аутентификация всех пользователей до предоставления права пользования определенным приложением.
Это требование может быть отменено, если имеются компенсирующие средства физического контроля;
d) требование ручного ввода пользовательского идентификатора и пароля в качестве минимального уровня
электронной аутентификации;
e) аутентификация межзадачного соединения через известный MAC и/или IP-адрес, специальный электрон
ный ключ, имя устройства и т. п.
А.3.3.6.6.2 Дополнительные практические методы
Дополнительным практическим методом является авторизация пользователей внутри закрытого объекта,
при которой используются защитные блокировки или устройства считывания идентификационных карт, для досту
па к системам с более высоким уровнем риска по сравнению с рисками для дистанционного пользователя.
А.3.3.6.7 Использованные ресурсы
Данный элемент частично основан на материалах [6]. (23).
А.3.3.7 Элемент «Контроль доступа: авторизация»
Дополнительная информация по элементу «Контроль доступа» приведена в А.3.3.5.1.
81