ГОСТ Р МЭК 62443-2-1—2015
РисунокА.12 — Контроль доступа: авторизация
Авторизация, третья составляющая контроля доступа, приведенная на рисунке А.12. представляет собой
автоматизированную процедуру, выполняемую компьютерной системой, для предоставления доступа к ресурсам
после успешной аутентификации пользователя и идентификации его связанной учетной записи доступа. Предо
ставленные права доступа определяются настройкой конфигурации учетной записи доступа на этапе администри
рования учетной записи.
Некоторые стандартные процедуры авторизации, использованные в общем рабочем ГГ-пространстве. мо
гут не подходить или не соответствовать IACS. Например, учетные записи доступа в стандартной IT-систвме. в
основном организуются на уровне пользователей с ограниченным набором назначенных ролей (т. е. стандартный
администратор пользователей или систем). Обычно для каждого пользователя назначается одна роль. Доступ к
учетным записям встандартной системе IACS будет ролевым с большей гранулярностью разрешений (т. е. опера
тор. инженер, специалист по приложениям, разработчик и системный администратор). Для пользователей могут
быть назначены множественные роли взависимости от определенной должностной функции, которую они должны
выполнять в определенное время. Возможно, пользователю потребуется войти в систему для работы с опреде
ленным устройством и отдельнодля работы с приложением, чтобы авторизоваться и получить право вносить из
менения в переменные управления системы промышленного контроля. Или же он должен будет выйти из системы
и повторно зайти для выполнения задач системного администрирования на том же устройстве.
В настоящем подпункте приводится анализсредств управления, предназначенных для защиты информации
и объектов от намеренного и неумышленного разрушения, изменения или раскрытия. Особое внимание уделяется
мерам, позволяющим гарантировать, что аутентифицированные агенты (т. е. персонал, приложения, сервисы и
устройства) имеют доступ к требуемым информационным обьектам.
Чувствительная к раскрытию информациядолжна быть защищена способом, позволяющим исохранить кон
курентное преимущество, и защитить конфиденциальную информацию о сотрудниках.
Регламент авторизации, требуемый организацией, будет определять способ назначения ролей для опреде
ленных пользователей или групп пользователей и конфигурации привилегий для таких учетных записей доступа.
Способность внедрения требуемой политики авторизации зависит от характеристик базовых систем, позволяющих
различать функции и данные, требуемые для различных должностных ролей.
Таким образом, определение политики авторизации является интерактивной процедурой, в ходе которой
организация определяет совершенную политику и затем принимает решение, насколько точно можно достигнуть
цели, используя возможности ее систем исети. При создании новой системы поддержка требуемой политики авто
ризации может быть элементом закупочной спецификации. При проектировании конфигурации новой сети можно
добавлять такие технологии, как брандмауэры для дистанционных пользователей, чтобы создавать дополнитель
ный уровень авторизации для важнейших устройств, описанный в А.3.3.7.1.
А.3.3.7.1 Аспекты авторизации
А.3.3.7.1.1 Общие положения
При разработке программы контроля доступа важно включать в сферу применения все системы, а не огра
ничиваться традиционными объектами компьютерного зала:
a) Политика авторизации
В политике авторизации необходимо установить правила, определяющие привилегии, разрешенные для
учетных записей сотрудников, выполняющих различные роли. Такая политика должна быть оформлена докумен
тально и должна применяться вотношении всего персонала после аутентификации;
b
) Методы логического и физического разрешения доступа к устройствам IACS
Разрешение на доступ кустройствам IACSдолжно быть логическим (правила, которые предоставляют и/или
ограничивают доступ для известных пользователей в зависимости от их ролей), физическим (замки, камеры и про
чив средства контроля, ограничивающие доступ к активной панели управления);
82