ГОСТ Р МЭК 62443-3-3—2016
5.15 SR 1.13 — Доступ через недоверенныо сети
5.15.1 Требование
Система управления должна обеспечивать возможность отслеживания и контроля всех способов
получения доступа к системе управления чероз недоверенные сети.
5.15.2 Целесообразность и дополнительная методологическая основа
Примеры получения доступа к системе управления через недоверенные сети обычно включают в
себя методы получения удаленного доступа (такие, как вызов по номеру, получение широкополосного
доступа и беспроводного доступа), а таюко установление соединений из корпоративной сети (не
от носящейся к системам управления) организации. Система управления должна по возможности
ограни чивать доступ, устанавливаемый через коммутируемые соединения (например, ограничивать
доступ исходя из вида источника запроса), а также предотвращать установление неавториэованных
соедине ний или разрыв авторизованных соединений (например, посредством технологии виртуальных
частных сетей). Получение доступа через недоверенные сети к географически удаленным участкам
с компо нентами систем управления (например, к центрам управления и промежуточным станциям)
должно по возможности быть санкционировано только тогда, когда этот доступ необходим и
аутентифицирован. Политики и регламенты безопасности могут требовать многофакторную
аутентификацию для предо ставления удаленного доступа пользователям к системо управления.
5.15.3 Расширения требований
5.15.3.1 SR 1.13 RE1 — Принятие явного запроса на доступ
Система управлениядолжна обеспечивать возможность отклонения запросов надоступ через не
доверенные сети, если только это не допустимо в рамках установленной роли.
5.15.3.2 Пусто
5.15.4 Уровни безопасности
Далее приведены требования для уровней SL. относящихся к SR 1.13 — Доступ через недоверен
ные сети:
- SL-C (IAC, система управления) 1: SR 1.13:
- SL-C (IAC, система управления) 2: SR 1.13 (1);
- SL-C (IAC, система управления) 3: SR 1.13 (1);
- SL-C (IAC, система управления) 4: SR 1.13 (1).
6 FR 2 — Контроль использования
6.1 Назначение и описания SL-C(UC)
Контролировать соблюдение привилегий, закрепленных за аутентифицированным пользовате
лем (физическим лицом, программным процессом или устройством), на выполнение запрашиваемого
действия применительно к IACS и отслеживать использование этих привилегий.
- SL1 — ограничивать использование IACS в соответствии с установленными привилегиями для
предотвращения случайного или непредумышленного злоупотребления;
- SL 2 — ограничивать использование IACS в соответствии с установленными привилегиями для
предотвращения обходных действий субъектов с использованием простых средств при незначитель
ных ресурсах, посредственных навыках и низкой мотивации;
- SL 3 — ограничивать использование IACS в соответствии с установленными привилегиями для
предотвращения обходных действий субъектов с использованием изощренных средств при умеренных
ресурсах, наличии специальных познаний в IACS и умеренной мотивации;
- SL 4 — ограничивать использование IACS в соответствии с установленными привилегиями для
предотвращения обходных действий субъектов с использованием изощренных средств при обширных
ресурсах, наличии специальных познаний в IACS и высокой мотивации.
6.2 Целесообразность
Как только пользователь идентифицирован и аутентифицирован, система управления должна
разграничить допустимые действия по авторизованному использованию системы управления. Соб
ственники имущественных объектов и системные интеграторы должны будут установить для каждого
пользователя (физического лица, программного процесса или устройства), группы, роли и т. д. (см. 5.6,
SR 1.4 — Управление идентификаторами) привилегии, определяющие авторизованное использование
IACS. Цель контроля использования — предотвращение неавторизованных действий с ресурсами си-
20