ГОСТ Р 56498—2015
П р и м е ч а н и е — Наборы разрешенных средств связи могут зависеть от формального оперативного со
стояния завода или участка, например, «нормальная эксплуатация», объявленная «эксплуатация в аварийных
условиях», либо операции по вводу в эксплуатацию или выводу из эксплуатации.
8.2.2.2 Должны документироваться все параметры сетевых служб, требуемых на хостах, для
входящих и исходящих потоков данных при обмене ими с другими хостами и устройствами ICN.
8.2.2.3 Приложения, службы и утилиты О/S, не требуемые для эксплуатации ICS. должны быть
удалены из конфигураций и их резервных копий.
П р и м е ч а н и е 1— Службы приема непосредственного вещания должны быть удалены.
П р и м е ч а н и е 2 — Если службы и утилиты O/S. не требуемые дпя эксплуатации 1CS. не могут быть уда
лены. они должны быть выполнены постоянно недоступными любым пользователям.
П р и м е ч а н и е 3 — Шлюз SGW на базе хоста (также называемый персональный SGW)делает неработос
пособной или блокирует связь, предназначенную дпя некоторых служб, но не удаляет код.
8.2.2.4 Требуемые приложения, службы и утилиты ОС. службы безопасности должны быть на
поверхности с усиленной защитой от атак до того, как они будут подключены к ICN.
П р и м е ч а н и е — Имеются наилучшие практические способы усиления защиты для различных операци
онных систем (см. например, представленные в NIST. NSA, SANS. CISecunty).
8.2.3 Должна корректно поддерживаться уникальность иподлинность созданных конфигураций.
Это обосновано тем. что полностью идентичные конфигурации хостов будут увеличивать поверх
ность атаки и возможности раскрытия, например, при автоматизированных атаках, приводящих к рас
крытию всех идентичных систем.
В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в
том. что различие в конфигурациях усилит защиту за счет неизвестности. Это усиление может быть
достигнуто, например, за счет:
- дополнительных затрат, например, на администрирование и управление пакетами коррекции,
делающими оборудование различающимся;
- уменьшения потерь в безопасности, обусловленных ошибками операторов и администраторов
из-за сложности конфигурирования.
Может оказаться невозможным изменить настройки, введенные, например, изготовителями на
старом оборудовании.
Правила реализации политики приведены в 8.2.3.1—8.2.3.3.
8.2.3.1 Системы, сконфигурированные изготовителем, либо клонированные владельцем/опера-
тором или системным интегратором, должны быть изменены. При этом необходимо изменить настрой ки.
заданные по умолчанию или обычно используемые, и сделать их уникальными.
8.2.3.2 Изменение настроекдолжно быть документировано. Настройки должны быть прозрачны
для пользователя и защищены от изменения.
8.2.3.3 Уникальные настройки, созданные владельцем/оператором. могут быть восстановлены
после установки пакетов исправления.
П р и м е ч а н и е — Пакеты исправлений могут восстановить заданные до этого настройки, выбираемые по
умолчанию.
8.2.4Должно осуществляться управление установкой системы и устройств, например, установ
кой конфигураций, процессов запуска, поддержания работоспособности и оперативной целостности.
Это обосновано тем. что компоненты системы и их связи должны соответствовать желаемому
состоянию надежности. С этой целью настройки системы должны управляться и обновляться так час то.
насколько это необходимо с точки зрения безопасности.
В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в
том. что в целом, пакеты исправлений и обновления не должны устанавливаться сразу после их появ
ления. Однако, обновление или пакет исправлений безопасности может конфликтовать с функциона
лом системы управления, приводя в результате к ухудшению или недоступности функционала, либо
может ухудшиться режим работы по времени.
Может бытьверным и обратное — пакет исправления системы управления может конфликтовать
с мерами безопасности, что приводит к ухудшению или недоступности функционала безопасности.
Очевидно, что изготовитель системы автоматизации не способен протестировать обновление
или пакет исправлений на каждом возможном варианте системы, в частности, на конкретной реализа
ции ICS.
Правила реализации политики приведены в 8.2.4.1—8.2.4.6.
30