ГОСТ Р 56498—2015
8.6.1.7Должен осуществляться мониторинг несанкционированного доступа ко всем средствам
связи, предназначенным как для внутризаводской связи, так и для связи с объектами, находящимися
за пределами завода.
П р и м е ч а н и е — Должен осуществляться мониторинг возможных средств связи, в том числе телефон
ных сетей общего пользования POTS, средств радиосвязи, сотовой связи, беспроводного доступа и т. д.
8.6.2Соединения с внешними сетями связи должны быть защищены ECG в соответствии с тре
бованиями защиты.
Это обосновано тем. что вся связь между хостами, устройствами ICS и внешними сетями или
устройствамидолжна быть защищена от угроз, исходящих от внешних сетей организации и виртуально
неограниченных угроз, исходящих от общедоступных внешних сетей.
В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в
том. что в политике управлениядоступом должен быть запрещен массовый/полныйдоступ через ECG,
например, вещанио, монтирование файлов и т. д.
Правила реализации политики приведены в 8.6.2.1 и 8.6.2.2.
8.6.2.1 Соответствующие механизмы должны использоваться только для того, например, чтобы
гарантировать целостность источника, целостность данных и, если требуется, конфиденциальность.
П р и м е ч а н и е — Собственные механизмы безопасности могут при работе через ECG функционировать
неправильно, при этом может потребоваться специальная обработка.
8.6.2.2 Если для адекватной защиты, в том числе аутентификации, требуются прокси-серверы,
они должны быть реализованы.
Это предотвращает угрозы, исходящие от EN. например, прямое наблюдение ICN. трафика и
характеристик протоколов хостов ICN. Кроме того, можно экранировать входящий и исходящий контент
на уровне приложений.
8.6.3 Должен управляться и протоколироваться доступ к внешним пользователям и устройствам
и доступ от них.
Это обосновано тем. что это требование обеспечивает надежную связь по линиям удаленного
доступа, отражение атак инсайдеров, использующих удаленного клиента, и позволяет отслеживать
очевидные атаки и вторжения.
Правила реализации политики приведены в 8.6.3.1 и 8.6.3.2.
8.6.3.1 Когда сессии удаленного доступа не требуются, в соответствующие этому периоды вре
мени связь с внешними пользователями и устройствами должна быть неработоспособна.
П р и м е ч а н и е — Представляется более надежным электрическое отсоединение пользователей и
устройств, чем логическое блокирование учетных записей пользователей удаленного доступа на ESG или прокси-
сервере.
8.6.3.2 Для критичных видов связи протоколирование действий внешнего доступа должно позво
лять воспроизвести сессию повторно во всех подробностях.
8.6.4 Должно осуществляться управление безопасностью удаленных клиентов, их сертификация
и авторизация.
Это обосновано тем. что для установления и поддержания доверия удаленные клиенты требуют
соответствующих технических механизмов и настроек, на них распространяется политика безопаснос ти
ICS.
П р и м е ч а н и е — Сюда входят удаленные: центр управления, клиент, хосты, рабочие станции, устрой
ства.
В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в
том. что если управление осуществляется другой организацией (не ICS). то эта организация может
иметь отличающиеся IT-политики безопасности. В этом случае должны быть заключены подробные
контрактные соглашения между организацией ICS и организацией удаленного клиента.
Правила реализации политики приведены в 8.6.4.1—8.6.4.3.
8.6.4.1 Политика ICS должна применяться к удаленному клиенту в полном объеме. Должны быть
соблюдены периоды времени использования и соединения с ICN.
8.6.4.2 Закрепленные службы и порты должны быть сконфигурированы заранее, например,
использование идентификации вызывающего абонента или обратный набор фиксированного номера в
телефонных сетях. Безопасные каналы также должны быть сконфигурированы заранее.
8.6.4.3 Администрация ICS должна периодически проводить аудит соответствия работы удален
ного клиента политике безопасности ICS или контрактным соглашениям.
37