ГОСТ Р МЭК 62443-3-3—2016
6.5 SR 2.3 — Контроль использования портативных и подвижных устройств
6.5.1 Требование
Система управления должна обеспечивать возможность автоматического выдвижения конфигу
рируемых ограничений на обращения, включающих в себя:
a) запрет на использование портативных и мобильных устройств;
b
) требование авторизации, обусловленной контекстом: и
c) ограничение на передачу кодов и данных от/на портативные и мобильные устройства.
6.5.2 Целесообразность и дополнительная методологическая основа
Портативные и мобильные устройства могут вносить нежелательный сетевой трафик, вредонос
ное программное обеспечение и/или провоцировать раскрытие информации, поэтому следует пред
усмотреть специальный контроль, связанный с их применением в типичной среде систем управления.
Политики и регламенты безопасности могут не допускать те или иные функции или операции, выпол
няемые посредством портативных и/или подвижных устройств. В МЭК 62443-2-1 приведена методоло
гическая основа на предмет того, когда и где следует допускать обращения с участием портативных и
подвижных устройств.
Защита информации, базирующейся на портативных и мобильных устройствах (например, при
менение криптографических механизмов защиты конфиденциальности и целостности информации в
момент ее хранения и передачи за пределами контролируемых участков) освещена в других фрагмен
тах (см. раздел 8, FR 4 — Конфиденциальность данных).
6.5.3 Расширения требований
6.5.3.1 SR 2.3 RE 1 — Ужесточение статуса безопасности портативных и подвижных устройств
Система управления должна обеспечивать возможность проверки того, что портативные или мо
бильные устройства, пытающиеся соединиться с зоной, соответствуют требованиям безопасности этой
зоны.
6.5.3.2 Пусто
6.5.4 Уровни безопасности
Далее приведены требования для уровней SL, относящихся к SR 2.3 — Контроль использования
портативных и мобильных устройств;
- SL-C (UC. система управления) 1: SR 2.3;
- SL-C (UC. система управления) 2: SR 2.3;
- SL-C (UC. система управления) 3: SR 2.3 (1);
- SL-C (UC, система управления) 4; SR 2.3 (1).
6.6 SR 2.4 — Мобильный код
6.6.1 Требование
Система управления должна обеспечивать возможность выдвижения ограничений на обращения
с использованием технологий мобильного кода исходя из риска нанесения ущерба системе управле
ния, и эти ограничения включают в себя:
a) запрещение выполнения мобильного кода;
b
) запрос соответствующей аутентификации и авторизации для источника кода:
c) ограничение передачи мобильного кода к системе управления и от нее; и
d) отслеживание использования мобильного кода.
6.6.2 Целесообразность и дополнительная методологическая основа
Технологии на основе мобильных кодов включают в себя, но не ограничиваются этим. Java,
JavaScript, ActiveX, формат переносимых документов (PDF). Postscript видеофрагменты Shockwave.
Flash-анимации и VBScript. Ограничения на обращения относятся как к выбору и использованию мо
бильного кода, инсталлируемого на серверах, так и к выбору и использованию мобильного кода, за
гружаемого и выполняемого на отдельных рабочих станциях. Регламенты управления по возможности
должны запрещать разработку, принятие или внесение недопустимого мобильного кода в пределах си
стемы управления. Например, могут быть запрещены передачи мобильных кодов непосредственно к си
стеме управления, но разрешены в контролируемой смежной среде, обслуживаемой персоналом IACS.
6.6.3 Расширения требований
6.6.3.1 SR 2.4 RE 1 — Проверка целостности мобильного кода
Система управления должна обеспечивать возможность верификации целостности мобильного
кода до разрешения выполнения кода.
23