ГОСТ Р МЭК 62443-3-3—2016
ствующим высокой работоспособности и доступности ресурсов, при болев низких SL IAC — 1 или 2. в зависимости от
компенсационных контрмер. Для системы управления с SL. соответствующим очень высокой работоспособно сти
и доступности, вероятность блокировки или утраты управления из-за мер безопасности возрастает, а не на оборот.
Таким образом, высокие SL не всегда «лучше», даже если расходы не являются существенным фактором.
4.4 Минимальная привилегия
Должна быть предусмотрена возможность укрепления концепции минимальной привилегии, с
ранжированием полномочий и гибкостью соотнесения этих полномочий с ролями, достаточной для ее
поддержания.
5 FR 1 — Управление идентификацией и аутентификацией
5.1 Назначение и описания SL-C(IAC)
Идентифицировать и аутентифицировать всех пользователей (людей, программные процессы и
устройства) перед предоставлением им доступа к системе управления:
- SL1— идентифицировать и аутентифицировать всех пользователей (людей, программные про
цессы и устройства) посредством механизмов, которые препятствуют осуществлению случайного или
непредумышленного доступа неаутеитифицированными субъектами;
- SL 2 — идентифицировать и аутентифицировать всех пользователей (людей, программные про
цессы и устройства) посредством механизмов, которые препятствуют осуществлению умышленного
неаутентифицированногодоступа субъектами с использованием простых средств, при незначительных
ресурсах, посредственных навыках и низкой мотивации.
- SL 3 — идентифицировать и аутентифицировать всех пользователей (людей, программные про
цессы и устройства) посредством механизмов, которые препятствуют осуществлению умышленного
неаутентифицированного доступа субъектами с использованием изощренных средств, при умеренных
ресурсах, наличии специальных познаний в IACS и умеренной мотивации;
- SL4 — идентифицировать и аутентифицировать всех пользователей (людей, программные про
цессы и устройства) посредством механизмов, которые препятствуют осуществлению умышленного
неаутентифицированного доступа субъектами с использованием изощренных средств, при обширных
ресурсах, наличии специальных познаний в IACS и высокой мотивации.
5.2 Целесообразность
Собственники имущественных объектов должны будут разрабатывать перечень всех пользо
вателей (людей, программных процессов и устройств) и определять для каждого компонента систем
управления требуемый уровень защиты посредством IAC. Функция IAC — защита системы управле
ния посредством верификации идентичности любого пользователя, запрашивающего доступ к системе
управления до инициации коммуникации. Рекомендации и директивы должны по возможности затра
гивать механизмы, которые будут функционировать в смешанных режимах. Например, одни компонен ты
системы управления требуют усиленного IAC. например усиленных механизмов аутентификации, а
другие — нет.
5.3 SR 1.1 — Идентификация и аутентификация пользователя — физического лица
5.3.1 Требование
Система управления должна обеспечивать возможность идентификации и аутентификации всех
пользователей — физических лиц. Эта возможность должна навязывать такую идентификацию и ау
тентификацию на всех интерфейсах, которые обеспечивают доступ людей-пользователой к системе
управления, с поддержанием ранжирования обязанностей и минимальной привилегии в соответствии с
применимыми политиками и регламентами безопасности.
5.3.2 Целесообразность и дополнительная методологическая основа
Все пользователи — физические лица должны проходить идентификацию и аутентификацию для
осуществления любого доступа к системе управления. Аутентификация идентичности этих пользова
телей должна по возможности осуществляться посредством таких методов, как пароли, токены, био
метрические признаки, или, в случав многофакторной аутентификации, той или иной их комбинации.
10