ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели

5.8. Политики безопасности

5.8.1 Общие положения

Политики безопасности дают возможность организации придерживаться последовательной программы по обеспечению допустимого уровня безопасности. Политики безопасности определяют в организации на различных уровнях, при этом они могут принимать самую разную форму, начиная от политики управления или администрирования, устанавливаемых на уровне предприятия, заканчивая политикой эксплуатации, определяющей подробные данные управления безопасностью. Политики безопасности, относящиеся к особому уровню - это документы организации, относительно которых можно определять соответствие установленным требованиям в рамках аудитов безопасности.

Политики безопасности - это правила, которые определяют или регулируют способ защиты организацией уязвимых и особо важных системных ресурсов. Политики безопасности однозначно формулируют, что обязательно для исполнения. Поскольку политики безопасности обязательны для соблюдения и однозначны, они допускают их использование для аудитов. Политики безопасности организации учитывают также нормативно-правовые и контрактные обязательства, относительно которых осуществляется проверка фактической деятельности организации в рамках аудитов.

Дополняют политики безопасности регламенты. Регламенты безопасности определяют детальную последовательность действий, необходимых для осуществления той или иной меры безопасности. По уровню применения регламенты используют для решения конкретной проблемы. Регламенты могут относиться к конкретной технологии. Политики безопасности ссылаются на регламенты и уполномочивает их применение.

Противоположностью политикам безопасности и регламентам являются директивы. Директивы не обязательны для выполнения. Они предназначены для описания способа выполнения чего-либо, что желательно, но не обязательно. Поскольку директивы не обязательны для выполнения и могут быть неоднозначны, практические действия не могут подвергаться аудитам с опорой на директивы. Директивы иногда разрабатывает группа специалистов, которая неправомочна требовать их выполнения. Директивы не содержат описания практических действий, которые подлежат обязательному выполнению.

Политики и регламенты безопасности в основном различны для разных частей организации, поэтому важно их правильное координирование. В частности, политику безопасности систем промышленной автоматики и контроля следует координировать с аналогичной политикой безопасности информационной техники общего назначения. Программа безопасности будет реализована успешнее, если в команде установлены хорошие деловые взаимоотношения, и правильно скоординированные методики действий могут им поспособствовать.

Некоторое единообразие структуры для разных политик безопасности и регламентов повышает согласованность между универсальными наборами политик безопасности и регламентов. Каждый документ, описывающий политику или регламент, содержит краткую, но точную формулировку своего назначения. Документ содержит также формулировку границ применимости документа. Кроме того, он содержит описание рисков, которые предполагается снизить, и ключевых принципов, на которых строится документ.

Разным этапам жизненного цикла системы соответствуют разные профили проблем безопасности. Политики и регламенты безопасности могут затрагивать лишь конкретные этапы жизненного цикла. В некоторых политике и регламенте может быть указано, что они относятся только к определенным этапам жизненного цикла. В наборе политик и регламентов безопасности все вопросы безопасности, относящиеся к разным этапам жизненного цикла, рассматриваются в соответствующих пунктах.

Политики и регламенты безопасности содержат инструкции относительно того, каким образом организация должна определять степень соответствия политики нормативам и как обновлять их. При проведении или оценке аудитов организации часто обнаруживают, что политика требует пересмотра. Аудиты могут выявить неясности в политике и регламенте в целом или в их частях, ведущие к неоднозначной трактовке требуемой операции или результата. Аудиты могут выявить проблемы, которые следует учесть при разработке политики и регламента. Аудиты могут выявить и требования, которые следует пересмотреть и скорректировать или даже исключить в случае необходимости.

Политики и регламенты безопасности должны по возможности учитывать непредвиденные обстоятельства, которые делают невозможным их применение. Политика должна по возможности устанавливать порядок документирования и утверждения исключений к политике и регламентам. Если утвержденные исключения документировать, это обеспечит более совершенную безопасность, чем если оставлять в политике и регламентах неточности и неясности.

Кроме того, организации должны обеспечивать четкость понимания того, что в политике является требованием, а что - пожеланием. Такая четкость обеспечивается использованием глаголов вроде "должен", "следует", "может" и "является". Эти слова могут быть уточнены во вступительных разделах текста политики. "Должен" используется в контексте требований; "следует" используется в контексте рекомендаций. "Может" используется в контексте пожелания, которое является необязательным. Может быть целесообразно предусмотреть варианты изложения требования. Фразы типа "там, где возможно" или "при необходимости" вносят неясность, если только при этом не описано, как отличить контекст возможности от контекста необходимости.

Политики и регламенты безопасности устанавливают, кто и за что отвечает: отвечает ли технологический персонал за управляющую сеть, отвечает ли он за DMZ, расположенную между управляющей сетью и корпоративной сетью. В случае, если отдел корпоративных информационных систем отвечает за условия, требующие от технологического персонала выполнения тех или иных действий, то эти действия должны быть по возможности прописаны.

Для организации, которая только начинает создавать свою программу безопасности, политики и регламенты - это хорошая отправная точка. Будучи составлены, они могут сначала охватывать набор норм безопасности, которые организация способна соблюсти в ближайшей перспективе благодаря наличию необходимого оборудования. Со временем они могут быть пересмотрены и ужесточены по мере роста возможностей организации. Они могут быть введены в действие без задержки на приобретение и установку систем и устройств.

5.8.2 Политика уровня предприятия

Политика уровня предприятия санкционирует программу безопасности и обозначает курс. Она устанавливает общие цели безопасности организации.

Формулировка основных положений политики, определяемая высшим руководством, должна быть достаточно продуманна и оставаться и адекватной и точной при изменениях в структуре организации, в системе и технологиях безопасности, а также изменений характера угроз безопасности. Будучи продуманной, политика может оставаться неизменной и будет нуждаться в переработке только в случае кардинального изменения позиции организации в отношении безопасности. Однако формулировка политики должна быть однозначной, четко устанавливать, что требуется.

Политика уровня предприятия определяет участки ответственности и устанавливает подотчетность для таких участков. Политика может определять взаимосвязи между работой IT-отдела и работой завода и устанавливать сферы их компетенций. Политика может дифференцировать цели безопасности системы управления от целей безопасности корпоративной сети. Например, важнейшим аспектом безопасности корпоративной сети может быть обеспечение конфиденциальности в ней, а важнейшим аспектом безопасности системы управления может быть обеспечение ее бесперебойной работы.

Кроме того, политика устанавливает конкретные стандарты и нормы, применимые для организации. Она может определять инструктаж как важную составляющую программы безопасности. Политика может также устанавливать санкции за ее нарушения.

Руководству следует доводить политику до сведения сотрудников всей организации так, чтобы все сотрудники понимали ее.

5.8.3 Операционные политики и регламенты

Операционные политики и регламенты безопасности разрабатывают на более низких уровнях организации и определяют способ реализации политики уровня предприятия в конкретной совокупности обстоятельств. Регламенты безопасности претворяют политику в действие. Регламенты устанавливают, что должна предпринять организация для достижения целей политики и выполнения ее требований. Регламенты определяют процессы, которые позволят устранить все проблемы, обозначенные политикой.

Регламенты отражают все обязательные составляющие программы безопасности, которые включают в себя:

a) конструирование системы;

b) материально-техническое обеспечение;

c) монтаж;

d) технологический процесс;

e) техническое обслуживание систем;

f) персонал;

g) аудит;

h) инструктаж.

Регламенты определяют конкретные действия, лиц, ответственных за их выполнение, и условия для их выполнения.

Письменные регламенты прописывают порядок их изменения в случае изменения ситуации. За каждой политикой или регламентом закреплено лицо, отвечающее за сроки внесения обновлений и обеспечение их внесения.

Политики и регламенты следует оценивать на предмет их эффективности, которая покажет, служат ли они своему предполагаемому назначению. Следует также измерять финансовые затраты для организации, чтобы она могла определять, согласуется ли итог снижения риска с финансовыми затратами на реализацию политики. Если итог неприемлем, то политику и регламенты может потребоваться скорректировать. Регламенты необходимо пересматривать, если произошли изменения в технологиях.

Регламенты могут использоваться аудитами. Аудит безопасности устанавливает соответствие выявленных действий организации письменным регламентам.

5.8.4 Задачи, решаемые с помощью политик и регламентов

5.8.4.1 Общие положения

Существует ряд задач, которые могут решать политики и регламенты безопасности. Каждая организация уникальна и должна по возможности устанавливать соответствующие политики и регламенты безопасности, которые применимы для ее систем промышленной автоматики и контроля. Такие задачи могут включать в себя:

- управление риском;

- управление доступом;

- доступность и планирование бесперебойности;

- физическую безопасность;

- архитектуру;

- портативные устройства;

- беспроводные устройства и датчики;

- удаленный доступ;

- персонал;

- политику субподряда;

- аудит;

- обновление политики безопасности.

5.8.4.2 Управление риском

Управление риском играет крайне важную роль при разработке экономичной программы безопасности, которая обеспечивает одинаковый уровень приемлемой безопасности, но не требует оборудования или регламентов, которые обходятся слишком дорого и находятся за рамками требуемой безопасности. Тем не менее, управление риском сложно и поэтому должно быть приспособлено к конкретной организации. Политика управления риском устанавливает, как определять приемлемый уровень риска и как управлять риском. Этот уровень варьируется в зависимости от целей и обстоятельств отдельно взятой организации. Процесс определения уровня риска следует периодически повторять для приведения его в соответствие с изменениями окружающей обстановки.

5.8.4.3 Управление доступом

Безопасность системы повышают путем ограничения доступа в пользу лишь тех пользователей, которые нуждаются в доступе и наделены правом на него. Политика управления доступом устанавливает различные функции пользователей и какой род доступа необходим для каждой функции применительно к каждому классу имущественных объектов (физических или логических). Такая политика прописывает обязанности наемных работников в деле защиты имущественных объектов и обязанности руководителей в деле обслуживания регламентов управления доступом. Санкционирование привилегий доступа должно быть по возможности одобрено руководством и убедительно отражено в документах, а также периодически пересматриваться. Управление доступом может быть так же важно и даже важнее для обеспечения целостности и доступности системы, чем необходимость сохранения конфиденциальности данных.

5.8.4.4 Доступность и планирование бесперебойности

Политика в этой области предусматривает необходимую концепцию и ожидаемые требования к резервированию и восстановлению, а также планированию ведения бизнеса и восстановления после чрезвычайных происшествий. Она определяет также параметры архивирования (например, как долго следует сохранять данные).

5.8.4.5 Физическая безопасность

Безопасность системы управления зависит от физической защищенности пространства, которое включает в себя систему управления. Для заводской территории может быть прописана политика безопасности еще до того, как политика безопасности будет прописана для системы управления. Однако политика физического доступа к определенным системам может отличаться от политики, относящейся к объектам из других систем. Например, весь персонал нефтеперерабатывающего завода может иметь общий доступ практически ко всем техническим средствам в пределах стен завода, однако доступ к помещениям IT-инфраструктуры может быть ограничен лишь в пользу персонала, имеющему отношение к информационной технике - хотя бы в целях предотвращения случайных повреждений. Политика безопасности системы управления должна по возможности включать в себя ссылку на политику физической безопасности и устанавливать ее зависимость. Политика безопасности системы управления должна по возможности содержать достаточно подробные данные о физической безопасности для того, чтобы можно было в каждом конкретном случае распространить политику безопасности заводского объекта на систему управления. Например, в такой политике может значиться: "такое-то оборудование должно находиться в закрытых кабинетах, а ключи к ним - храниться в месте ограниченного доступа".

5.8.4.6 Архитектура

Политика и регламенты описывают безопасные конфигурации систем управления, охватывая такие вопросы, как:

a) рекомендуемые компоновки сетей;

b) рекомендуемая конфигурация межсетевого экрана;

c) авторизация и аутентификация пользователей;

d) соединение между различными сетями управления процессами;

e) использование беспроводных коммуникаций;

f) домены и доверительные отношения;

g) управление патчами (включая аутентификацию);

h) управление антивирусами;

i) усиление защиты систем за счет закрытия программных портов, блокировки или отказа от неиспользуемых или опасных сервисов и отказа от использования съемных накопителей данных;

j) доступ к внешним сетям (т.е. к Интернету);

k) надлежащее использование электронной почты.

5.8.4.7 Портативные устройства

Портативным устройствам соответствуют все риски безопасности, которые соответствуют стационарному оборудованию, но из-за их мобильности менее вероятно, что на них удастся распространить обычные регламенты безопасности на протяжении всего периода от монтажа до аудита. Портативность таких устройств создает дополнительный риск для их повреждений, когда они находятся за пределами зон физической безопасности, или для перехвата информации в ходе их соединения с защищенными зонами. Таким образом, часто необходима специальная политика, которая распространяется на портативные устройства. Такая политика должна по возможности устанавливать требования к защите безопасности, которые аналогичны требованиям к тому или иному стационарному устройству, однако технические и административные механизмы, обеспечивающие эту защиту, могут отличаться.

5.8.4.8 Беспроводные устройства и датчики

Уже много лет в некоторых сферах в качестве управляющих систем широко применяется управляющее оборудование, которое использует радиочастотную передачу сигнала взамен проводной. По мере снижения финансовых расходов и появления новых стандартов расширяется сфера применения систем промышленной автоматики и контроля, что отчасти обусловлено меньшими финансовыми расходами на монтаж. Ключевым отличием проводных устройств от беспроводных является то, что в случае последних сигналы не ограничены пределами области физической безопасности, а это увеличивает риск их перехвата и искажения. Таким образом, политика безопасности, относящаяся именно к беспроводным устройствам, подходит для организаций, которые в данный момент используют или могут использовать в будущем в своей работе беспроводные устройства или датчики. Такая политика может регламентировать, для каких задач могут использоваться беспроводные устройства, какие методы защиты и управления требуются и как взаимосвязаны проводные и беспроводные сети.

5.8.4.9 Удаленный доступ

Удаленный доступ позволяет обойти средства обеспечения локальной физической безопасности, установленные на границах системы. Он позволяет перенести доступ к доверенной зоне в совершенно другую географическую точку и предполагает, среди прочего, использование компьютера, который мог не быть подвергнут проверкам безопасности, проводимым для компьютеров, находящихся физически в пределах доверенной зоны. Необходимы другие механизмы, которые обеспечивают за пределами доверенной зоны уровень безопасности, аналогичный уровню безопасности доверенной зоны.

5.8.4.10 Персонал

Вопросы, относящиеся к персоналу, могут быть обозначены в политиках безопасности предприятия для персонала и информационной технологии. Политика безопасности системы управления охватывает специфические подробности, в то время как более общая политика не охватывает аспекты систем управления. Например, политика безопасности систем управления согласует роли доступа к системам управления с методиками отбора и контроля местонахождения персонала.

5.8.4.11 Политика субподряда

Вопросы безопасности затрагивают деятельность, которая может требовать привлечения субподрядчиков в лице поставщика, сборщика, поставщика услуг технического обслуживания, консультанта и др. Политика безопасности, предусматривающая субподряд, рассматривает взаимодействия с субподрядчиком, который может открывать уязвимости. Политика определяет обязанности различных сторон. Политика учитывает изменение обязанностей по мере перехода проектов из этапа в этап и по мере поставки материалов и систем. Политика может требовать прописания в контрактах с субподрядчиками определенных сроков.

Без надлежащей организации работ контрактных (сторонних) программистов целостность прикладных программ и процессов может быть поставлена под угрозу, а программный код потерять поддержку. Важно найти квалифицированных контрактных программистов, которые будут придерживаться организационных стандартов программирования и документирования и выполнять надлежащие тестирования, а также будут надежными и соблюдать сроки разработки.

5.8.4.12 Аудит

Безопасность системы регулярно подвергают аудиту для определения степени соответствия безопасности политике и нормам безопасности. Политика безопасности учитывает необходимость аудитов и устанавливает ответственность, периодичность и требования к корректирующим воздействиям. Всесторонняя процедура аудита может затрагивать аспекты, отличные от безопасности, например, эффективность и результативность процессов, а также их нормативно-правовое соответствие.

5.8.4.13 Обновление политики безопасности

Политику безопасности подвергают мониторингу для определения изменений, необходимых в политике как таковой. Мониторинг политики безопасности - это обязательный раздел каждого документа, содержащего политику и регламент. Политика безопасности предприятия устанавливает общий подход. В каждом документе, содержащем операционную политику и регламент, приведены инструкции на предмет того, когда и кем должна быть пересмотрена и обновлена политика или регламент как таковые.

Должны по возможности действовать программы инструктажа ввиду найма новых работников, новых операций эксплуатации и технического обслуживания, модернизаций и планирования преемственности. Программы инструктажа следует надлежащим образом документировать, структурировать и дорабатывать с регулярной периодичностью для учета изменений в операционной среде.