ГОСТ Р МЭК 62443-2-1—2015
с) Доступ к информации или системам через учетные записи на базе ролей
Учетные записи должны быть с ролевым доступом для управления доступом к соответствующей информа
ции или системам для роли такого пользователя. Последствия для системы безопасности являются важнейшим
компонентом определения ролей.
А.3.3.7.1.2 Авторизация локальных пользователей
Во многих технологических процессах контроль операций осуществляется из компьютерных залов, в ко
торых работает несколько операторов. Такие операторы выступают в качестве группы и выполняют операции на
многочисленных HMI-станциях в рамках своих обычных должностных функций. Авторизация для выполнения
определенных должностных функций обеспечивается приложением. Локальный пользователь получает доступ к
определенным устройствам илиоперационным панелям взависимости отучетной записи сролевымдоступом. Как
правило, для каждого лица используются единый идентификатор пользователя и пароль. Такой командный подход к
управлению компьютерным залом может конфликтовать со стандартной политикой и практикой 1Т-авториэации.
При разработке стратегии авторизации необходимо учитывать последствия, связанные с безопасностью.
Для промышленных операций, характеризующихся высоким уровнем уязвимости, привилегии авторизации долж
ны быть заданы на уровне устройства локального технологического управления. Для назначения привилегий не
должен требоваться доступ к устройствам на уровне LAN или WAN. Таким образом соблюдается базовый принцип
управления, позволяющий минимизировать потенциальные критические точки.
Конфигурация учетных записей доступа должна предусматривать предоставление минимальных привиле
гий, требуемых для роли. Должно быть организовано обучение для определения общих уровней квалификации
в отношении каждой должностной роли. Необходимо избегать индивидуализации отдельных учетных записей в
соответствии с уровнями квалификации сотрудников. Все пользователи, выполняющие одинаковую должностную
функцию, должны пользоваться учетными записями, сконфигурированными для одной роли.
А.3.3.7.1.3 Авторизация дистанционных пользователей
Процесс авторизации дистанционных пользователей предусматривает функцию авторизации на устройстве
конечного узла на уровне приложения. Вкритических средах управления на барьерном устройстве (файерволл или
маршрутизатор) должна быть реализована стратегия дополнительной авторизации адреса для сети IACS. Когда
пользователь авторизуется на барьерном устройстве, для него должны быть назначены права доступа на базе
ролей, чтобы пользователь мог лишь попытаться осуществить соединение с заранее назначенными устройствами в
сети IACS. Вход в систему на конечном узле должен обеспечивать привилегии пользователя для выполнения
функций на устройстве. Такой дополнительный уровень авторизации адреса должен предусматриваться для объ
ектов с высоким уровнем уязвимости.
Учетные записи на основе ролей должны учитывать геофафическое местоположение учетной записи. Лицо
может использовать одну учетную запись при работе на площадке и другую при подключении из дома, когда ло
кальному персоналу требуется его помощь. Такая практика должна быть четко определена в административных
процедурах. Соответствие административным процедурам должно быть основано на конфоле действий отдель
ных пользователей.
А.3.3.7.2 Вспомогательные практические методы
А.3.3.7.2.1 Основные практические методы
Косновным практическим методам относятся следующие действия:
a) разрешение доступа к устройствам IACS с логическими средствами контроля (правила, которые предо
ставляют или ограничивают доступ для известных пользователей в зависимости от их ролей) и/или физически ми
средствами контроля (замки, камеры и прочие средства контроля, ограничивающие доступ к активной панели
управления):
b
)регистрация и контроль всех попыток доступа к важнейшим компьютерным системам, в том числе успеш
ные и неудачные.
А.3.3.7.2.2 Дополнительные практические методы
Кдополнительным практическим методам относятся следующие действия:
a) защитасетевых соединений между организацией идругими организациями через управляемый файервол:
b
)использование прокси-сервера аутентификации для всего исходящего доступа к сети Интернет;
c) предоставление доступа для дистанционного пользователя через подключение модема на устройстве про
мышленного конфоля только в случае необходимости:
d) использование скрытого доступа при выполнении задач с высоким уровнем риска (например, промышлен
ные операции с последствиями для сферы HSE или несущие в себе критические бизнес-риски);
e) отделение данных с высоким уровнем чувствительности и/или бизнес-последствиями от прочей внутрен
ней информации таким образом, чтобы действующие средства контроля авторизации могли ограничивать доступ
к такой информации;
f) отделение бизнес-сети от сети IACS с устройством контролядоступа и ограничение пользовательскогодо
ступа к важнейшим объектам по обе стороны.
А.3.3.7.3 Использованные ресурсы
Данный элемент частично основан на материалах [6]. [23]. [27]. [30]. [43].
83