ГОСТ Р 56498—2015
П р и м е ч а н и е 3 — Система обнаружения вторжений должна подразумевать подачу сигнала тревоги по
льзователями на хост.
8.5.2.2 Индикаторы, например, системы управления. HMI и/или подсистемы управления сигнала
ми тревогидолжны оповещать операторов о проблемахс изменениями потока данных, обусловленных
реагированием на обнаруженную атаку.
8.5.2.3 Меры по уклонению от атак, например, провокации, приманки, обеспечивают дополни
тельные возможности обнаружения после вторжения.
8.5.2.4 Персонал мониторинга и поддержки должен своевременно уведомляться о любых изме
нениях правил, которые могут привести к срабатыванию триггера, включающего подачусигнала трево ги
SGW.
8.5.3 Должно осуществляться надежное администрирование ворот PAG и шлюзов SGW.
Это обосновано тем. что шлюзы SGW должны надежно администрироваться, чтобы гарантиро
вать. что сами правила доступа и строгость их соблюдения соответствуют развивающимся угрозам.
Правила реализации политики приведены в 8.5.3.1—8.5.3.3.
8.5.3.1 Управление должно распространяться на хосты, комнаты с сетевым оборудованием, шка
фы. корпуса, кабельное хозяйство.
8.5.3.2 Необходимо уделять особое внимание трафику управления безопасностью.
П р и м е ч а н и е — Каналы связи, используемые для управления безопасностью, должны быть отделены
от каналов передачи производственного трафика.
8.5.3.3 Особое внимание должно быть уделено защите трафика управления безопасностью,
поступающего из внешних сетей и уходящего во внешние сети, например, внешнего поставщика услуг
безопасности или удаленных сегментов.
8.6 Управление внешним доступом
Вся связь между ICN. сетями и устройствами, внешними по отношению к ICN. считается ненадеж
ной. кроме безопасной, такой, как связь во внешней сети EN организации. Общедоступная EN имеет
гораздо большее число более разнообразных и менее надежных пользователей, чем сеть ICN.
8.6.1 Внешние соединения должны быть разрешены и реализованы, только если они необходи
мы для эксплуатации, управления и поддержания работоспособности ICS.
Это обосновано тем. что намеренный или случайный импорт в систему файлов с вредоносным
программным обеспечением является существенной угрозой.
Правила реализации политики приведены в 8.6.1.1—8.6.1.7.
8.6.1.1 Должны быть установлены и соблюдаться процедуры защиты от импорта несанкциониро
ванных или зараженных файлов из ненадежных источников, таких как сети и портативные носители
для хранения данных.
П р и м е ч а н и е — Соответствующиедирективы политики безопасности могут быть усилены техническими
средствами.
8.6.1.2 Администрация ICS должна полностью контролировать все данные, импортированные в
ICN. а также время их поступления.
8.6.1.3 Портативные устройства, пронесенные на завод, например, портативные компьютеры,
носители данных, должны считаться внешними устройствами.
8.6.1.4 Для критичных файлов, например, исполняемых, импортированных физически или элек
тронно. администрация ICS должна установить и соблюдать процедуры верификации, подтверждаю
щие следующее: эти файлы являются именно теми файлами, которые требуются, они пригодны для
использования, не содержат вредоносного кода, не были подделаны при передаче, были импортиро
ваны по требуемому назначению.
П р и м е ч а н и е 1 — Физический импорт означает импорт портативных носителей хранения данных идру
гих портативных электронных устройств.
П р и м е ч а н и е 2 — Правила физического импорта должны быть увязаны с процедурами усиления защи
ты в части ограничения возможных назначений физического импорта, например интерфейсов и портов доступа
8.6.1.5 Для обновлений и операций обслуживания, выполняемых техническими специалистами
изготовителя, должны быть утверждены процедуры установления временных или специально выде
ленных для этой цели соединений.
8.6.1.6 Для непрерывных онлайн-сессий должны часто меняться ключи, например, при каждой
новой регистрации.
П р и м е ч а н и е — Требования к безопасности должны учитывать сбои канала связи.
36