ГОСТ Р МЭК 62443-3-3—2016
8 определениях SL. может раскрывать практические обоснования того, чем одна система безопаснее другой, без
необходимости соотнесения всего с последствиями для HSE.
А.3.2 Определения уровней
А.3.2.1 Обзор
Стандарты серии МЭК 62443 определяют уровни SL с точки зрения пяти различных уровней (0. 1. 2. 3 и 4)
по степени возрастания безопасности. Актуальная модель для определения SL соотносится с угрозой, которая
непрерывно усложняется, и незначительно разнится в зависимости от типа SL. к которому она привязана. При
менительно к SL-С это означает, что собственник обьекта или системный интегратор способны сконфигурировать
конкретный компонент или систему для отражения непрерывно усложняющейся угрозы. Применительно к SL-T
это означает, что собственник обьекта или системный интегратор определили посредством анализа рисков, что
должны защищать данную конкретную зону, систему или компонент от угрозы этого уровня. Применительно к SL-
A это означает, что собственник объекта, системный интегратор, поставщик продуктов и/или любое их
обьединение сконфигурировали зону, систему или компонент для их соответствия конкретным требованиям
безопасности, опре деленным для этого SL.
В формулировках для кажщого SL используются такие термины, как «случайный», «непредумышленный»,
«простой», «изощренный» и «обширный». Эти формулировки умышленно абстрактны, чтобы одни и те же базовые
формулировки можно было использовать для всех документов серии МЭК 62443. Каждый отдельный документ
серии будет определять требования для уровней SL. которые соотносятся с его конкретными назначениями.
Хотя требования для каждого SL будут различны на протяжении всей серии МЭК 62443. необходимо иметь
общее представление о том. от чего по возможности должен защищать каждый SL. Следующие фрагменты предо
ставят некоторую методологическую основу к разграничению уровней SL.
А.3.2.2 SL 0: Не требуется специальных требований или защиты безопасности
SL 0 имеет несколько значений, зависящих от ситуации, в которой он применяется. В рамках определения
SL-С он будет означать, что компонент или система не могут удовлетворять некоторым из требований SL 1 для
данного конкретного FR. С наибольшей вероятностью это будет относиться к компонентам или системам,
являю щимся частью обширной зоны, в которой другие компоненты или системы будут обеспечивать
компенсационные контрмеры. При определении SL-Т для отдельно взятой зоны он означает, что собственник
объектов определил следующее: результаты анализа рисков показывают, что для данного конкретного FR к
данному компоненту или системе необходимы специальные требования уровня меньшего, чем полный SL 1. Это
будет скорее относиться к отдельным компонентам внутри системы или зоны, никак не влияющим на конкретные
FR. При определении SL-A он будет означать, что отдельно взятая зона не может удовлетворять некоторым
требованиям SL 1 для данного конкретного FR.
А.3.2.3 SL 1: Защита от случайного или непредумышленного нарушения безопасности
Случайные или непредумышленные нарушения безопасности обычно происходят вследствие нестрогой ре
ализации политик безопасности. Эти нарушения могут быть спровоцированы хорошо осведомленными сотрудни
ками с вероятностью, сопоставимой с вероятностью угроз от аутсайдеров. Многие из этих нарушений относятся к
программе безопасности и смогут быть улажены посредством ужесточения политик и регламентов.
В соответствии с рисунком А.1 простым примером будет оператор, способный изменить уставку на инженер
ной станции в зоне BPCS до значения, не соответствующего условиям, которые определены инженерным персона
лом. Система не установила должных ограничений на аутентификацию и контроль использования, чтобы
оператор не смог внести изменения. Также в соответствии с рисунком А.1. другим примером будет пароль,
высылаемый открытым текстом по тракту между зоной BPCS и зоной DMZ. что позволяет сетевому инженеру
видеть пароль в процессе устранения неполадок в системе. Система не установила должной
конфиденциальности данных для защиты пароля. В соответствии с рисунком А.2 третьим примером будет
инженер, который собирается получить доступ к PLC в Промышленной сети #1. но в результате получает доступ
к PLC в Промышленной сети #2. Система не установила должного ограничения потока данных, что
предотвратило бы получение инженером доступа к оши бочной системе.
А.3.2.4 SL 2: Защита от умышленного нарушения безопасности с использованием простых средств при не
значительных ресурсах, посредственных навыках и низкой мотивации
Простыв средства не требуют обширных познаний со стороны злоумышленника. От злоумышленника не тре
буется досконального знания безопасности, домена или отдельно взятой системы, на которую совершается атака.
Эти векторы атаки хорошо известны, и автоматизированные инструменты могут оказать помощь злоумышленнику.
Эти инструменты рассчитаны, среди прочего, для атаки на широкий спектр систем и не ориентированы на одну
конкретную систему, поэтому от злоумышленника не требуется значительного уровня мотивации или подручных
ресурсов.
В соответствии с рисунком А.1 примером будет вирус, который инфицирует рабочую станцию техобслужива
ния в DMZ производственного обьекта, откуда распространяется на рабочую станцию инженера BPCS, поскольку
обе они используют одинаковую универсальную операционную систему. В соответствии с рисунком А.2 другим
примером будет злоумышленник, нарушающий безопасность веб-сервера в корпоративной сети посредством экс
плойта, загруженного из Интернета, в случае общеизвестной уязвимости в универсальной операционной системе
веб-сервера. Злоумышленник использует веб-сервер в качестве отправной точки атаки на другие системы корпо
ративной сети, а также промышленной сети. Также в соответствии с рисункомА.2 третьим примером будет опера-
52