ГОСТ Р 56498—2015
7.3.2.2 Среда угрозы должна непрерывно контролироваться и оцениваться.
7.3.2.3 Периодически или после наступления событий безопасности должна проверяться и кор
ректироваться мощность мер безопасности, принимаемых против угроз, таким образом, чтобы она
всегда находилась на должном уровне.
1— Методы криптографии должны периодически корректироваться в целях соответствия
П р и м е ч а н и е
развитию технологий.
П р и м е ч а н и е
2 — Изменения, например в правилах SGW и ECG. учитывающие виды и уровни угроз,
должны приводить к изменению конфигураций, технологий, добавлению дополнительных мер иоборудования и т.д.
7.3.2.4 Критичное оборудование должно быть закреплено за техником и администратором и кон
тролироваться оборудованием мониторинга.
7.3.3Политика эксплуатационной безопасности ICS и ее изменения должны быть скоординиро
ваны с политикой безопасности ICS.
Это обосновано тем. что эксплуатационная безопасность и безопасность {подразумевающая
обеспечение конфиденциальности), тесно связаны друг с другом.
Правила реализации политики приведены в 7.3.3.1—7.3.3.4.
7.3.3.1 Политика эксплуатационной безопасности ICS и ее обновления должны храниться в фай
ле. постоянно доступном администрации службы безопасности.
7.3.3.2
Л
юбые меры и методы, применяемые оператором в целях безопасности, влияющие на
эксплуатационную безопасность, должны быть утверждены как администрацией службы безопаснос
ти. так и администрацией, отвечающей за эксплуатационную безопасность.
П р и м е ч а н и е — Правило «двойной ответственности» гарантирует, что меры, которые могут привести к
катастрофическим последствиям, не будут инициированы единолично. Это предохраняет от намеренной или слу
чайной неправильной эксплуатации. Двойная ответственность является наиболее действенным средством борьбы с
атаками инсайдеров
7.3.3.3 Если предусмотрено использование оператором меры или способа, влияющих на безо
пасность функционирования, то требуется утверждение введения их в эксплуатацию и прекращения
применения.
7.3.3.4 Не должно быть исключений, которые удаляют исключения, утвержденные двумя ответ
ственными.
7.3.4 Политика безопасности ICS должна требовать протоколирования и мониторинга соответ
ствующих событий безопасности.
Это обосновано тем. что протоколы используются для установления событий, последователь
ностей и возложения ответственности за управление и аудит. В отношении несанкционированных
действий, например атаки, протоколы могут использоваться для формальных выводов. Возложение
ответственности особенно важно в случаях, когда критичные операции выполняются сторонней
компанией.
Правила реализации политики приведены в 7.3.4.1—7.3.4.8.
7.3.4.1 Все действия пользователя системы автоматизации, существенные для безопасности,
должны быть запротоколированы.
7.3.4.2 Всесобытия системы, существенныедля безопасности, должны бытьзапротоколированы.
7.3.4.3 Собранная информация должна включать в себя событие, срочность, службу связи, хост
источника, назначение, идентификатор пользователя, дату/время начала и окончания.
7.3.4.4 Все протоколы и информация аудита должны непрерывно контролироваться, периоди
чески проверяться, надежно храниться и архивироваться.
7.3.4.5 Протоколы должны храниться централизованно для их последующего объединения и
анализа. Должно быть исключено исчерпание ограниченного пространства памяти, используемого для
хранения протоколов. Также должно быть исключено изменение атакующим протоколов в результате
его несанкционированного доступа к оборудованию протоколирования.
7.3.4.6 Действия по управлению протоколами также должны протоколироваться. Только аудитор
службы безопасности должен иметь право удалять или изменять протоколы.
7.3.4.7 Протоколы и сообщения аварийной сигнализации должны непрерывно контролировать
ся. По результатам контроля должны составляться заключения и применяться необходимые меры.
Это обосновано тем, что протоколы событий безопасности необходимо непрерывно контролиро
вать для выявления вредоносных атак инсайдеров и сохранять их для последующего формального
анализа после того, как безопасность будет нарушена.
25