ГОСТ Р МЭК 62443-3-3—2016
ными субъектами данных, относящихся к системам управления, то можно спровоцировать нештатное
поведение легитимной системы управления.
Все субъекты должны быть идентифицированы и аутентифицированы при получении любого до
ступа к системе управления. Аутентификация идентичности таких субъектов должна по возможности
осуществляться с использованием таких методов, как пароли, токены или местонахождение (физиче
ское или логическое). Это требование должно быть по возможности применимо и к локальному, и к
удаленному доступу к системе управления. Однако в некоторых сценариях, когда одиночные субъекты
используются в подключении к различным конечным системам (например, к удаленной поддержке по
ставщиков). может быть технически невозможно присвоить одному субъекту более одной персоналии. В
этих случаях должны применяться компенсационные контрмеры.
Механизмы идентификации и аутентификации всех субъектов необходимы для обеспечения за
щиты от атак, таких как «человек посередине» или спуфинг сообщений. В некоторых случаях эти меха
низмы могут затрагивать более одного программного процесса, функционирующего на одном и том же
физическом сервере, причем каждый процесс имеет свою собственную идентичность. В других случаях
идентичность может быть привязана к физическому устройству, например когда все процессы функци
онируют на некотором конкретном PLC.
Следует уделять особое внимание идентификации и аутентификации портативных и подвижных
устройств. Устройства этого типа являют собой известный способ внесения нежелательного сетевого
трафика, вредоносного программного обеспечения и/или раскрытия информации, относящейся к си
стемам управления, включая изолированные в обычных случаях сети.
Там. где субъекты действуют как единая группа, идентификация и аутентификация могут быть на
основе ролей, групп или субъектов, при этом жизненно важно, чтобы требования идентификации или
аутентификации не ограничивали локальные действия в чрезвычайных ситуациях, а также жизненно
важные функции систем управления (см. раздел 4 для получения более полных сведений). Например, в
рамках общих схем защиты и управления устройства из некой группы совместно исполняют функции
защиты и осуществляют коммуникацию многоадресными сообщениями между устройствами в составе
группы. В этих случаях обычно используется групповая аутентификация на основе разделенных учет
ных записей или разделенных симметричных ключей.
Для того чтобы поддерживать политики управления идентификацией и аутентификацией, как
определено в соответствии с МЭК 62443-2-1. система управления в качестве первого этапа верифици
рует идентичность всех субъектов. На втором этапе с субъектом ассоциируются полномочия, вменен
ные идентифицированному субъекту (см. 6.3, SR 2.1 — Обязательная авторизация).
5.4.3 Расширения требований
5.4.3.1 SR 1.2 RE1 — Уникальная идентификация и аутентификация
Система управления должна обеспечивать возможность уникальной идентификации и аутенти
фикации всех программных процессов и устройств.
5.4.3.2 Пусто
5.4.4 Уровни безопасности
Далео приведены требования для уровней SL. относящихся к SR 1.2 — Идентификация и аутен
тификация программных процессов и устройств:
- SL-C (IAC, система управления) 1: не определены;
- SL-C (IAC, система управления) 2: SR 1.2;
- SL-C (IAC. система управления) 3: SR 1.2 (1);
- SL-C (IAC. система управления) 4: SR 1.2 (1).
5.5 SR 1.3 — Управление учетными записями
5.5.1 Требование
Система управления должна обеспечивать возможность управления всеми учетными записями
авторизованных пользователей, включая добавление, активацию, изменение, деактивацию и удаление
учетных записей.
5.5.2 Целесообразность и дополнительная методологическая основа
Управление учетными записями может включать в себя группировку учетных записей (например,
индивидуальную, на основе ролей, устройств и в привязке к системам управления), учреждение ус
ловий для членства в группах и присвоение соответствующих авторизаций. В определенных случаях,
когда индивидуальные учетные записи применительно к IACS определены как ненужные в аспекте ана-
12