ГОСТ Р МЭК 62443-3-3—2016
5.9.2 Целесообразность и дополнительная методологическая основа
Аутентификация пользователей по имени пользователя и секретному паролю — весьма распро
страненный механизм. Многие атаки на такие механизмы нацелены на разгадывание пароля (напри
мер. атаки перебором по словарю или целенаправленная социальная инженерия) или взлом крипто
графической защиты отображения хранимого пароля (например, посредством радужных таблиц или
грубого подбора хеш-коллизии).
Увеличение размера набора действительных паролей за счет увеличения количества допустимых
символов затрудняет такие атаки, но лишь в том случае, если увеличенный размер набора действи
тельно используется (обычно пользователи не склонны включать в состав пароля специальные сим
волы. поскольку они сложны для восприятия и труднее запоминаются). Ограничение срока действия
пароля сужает окно возможности для злоумышленника в плане выявления секрета, лежащего в основе
отдельно взятого пароля. Для того чтобы пользователи не могли обойти эту директиву, сменив однажды
свой пароль на новый и затем сразу же заменив его прежним, обычно, помимо всего прочего, устанав
ливается минимальный срок действия пароля. Уведомление о необходимости смены пароля до исте
чения срока его действия позволяет пользователю сменить пароль в удобное время с учетом рабочей
обстановки.
Эта защита может быть дополнительно усилена посредством ограничения повторного исполь
зования паролей (запрещения малых наборов чередующихся паролей), что дополнительно снижает
практическую пользу однократно взломанного пароля. Многофакторная аутентификация позволяет до
биться дополнительной защиты, выходящей за рамки механизмов на основе паролей (см. 5.3, SR 1.1 —
Идентификация и аутентификация пользователей — физических лиц, и 5.4. SR 1.2 — Идентификация и
аутентификация программных процессов и устройств).
5.9.3 Расширения требований
5.9.3.1 SR 1.7 RE1 — Ограничения на генерацию паролей и сроки их действия для пользовате
лей — физических лиц
Система управления должна обеспечивать возможность предотвращения повторного использо
вания пароля учетной записью любого отдельно взятого пользователя — физического лица для кон
фигурируемого числа генераций. Кроме того, система управления должна обеспечивать возможность
установления ограничений минимального и максимального сроков действия паролей для пользовате
лей — физических лиц.
Эти возможности должны согласовываться с общепринятыми практиками индустрии безопасно
сти.
П р и м е ч а н и е — В соответствии с общепринятой практикой система управления обеспечивает возмож
ность напоминания пользователю о смене пароля через конфигурируемый период времени до истечения срока его
действия.
5.9.3.2 SR 1.7 RE2 — Ограничения сроков действия паролей для всех пользователей
Система управления должна обеспечивать возможность установления ограничений минимально
го и максимального сроков действия паролей для всех пользователей.
5.9.4 Уровни безопасности
Далее приведены требования для уровней SL. относящихся к SR 1.7 — Надежность аутентифи
кации по паролю:
- SL-C (IAC. система управления) 1: SR 1.7;
- SL-C (IAC, система управления) 2: SR 1.7;
- SL-C (IAC, система управления) 3: SR 1.7 (1);
- SL-C (IAC, система управления) 4: SR 1.7 (1) (2).
5.10 SR 1.8 — Сертификаты инфраструктуры открытых ключей (PKI)
5.10.1 Требование
Там. где применяется PKI. система управления должна обеспечивать возможность задействовать
PKI в соответствии с общепринятыми передовыми практиками или получения сертификатов открытых
ключей от существующей PKI.
5.10.2 Целесообразность и дополнительная методологическая основа
Регистрация для получения сертификата открытого ключа должна включать в себя авторизацию
диспетчера или ответственного должностного лица и осуществляться посредством надежной техноло
гии. в рамках которой верифицируется идентичностьдержателя сертификата и обеспечивается выдача
16