ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели

5.11. Уровни безопасности

5.11.1 Общие положения

Концепция уровней безопасности была создана для того, чтобы привязать понятие безопасности к зонам, а не к отдельным устройствам или системам. Как правило, IACS состоит из устройств и систем, полученных от нескольких поставщиков, причем все эти устройства и системы функционируют совместно, обеспечивая целостные функции автоматического управления промышленным процессом. Аналогично тому, как функциональные возможности отдельных устройств влияют на возможности IACS, параметры безопасности отдельных устройств и реализуемых контрмер должны быть согласованы между собой для достижения требуемого уровня безопасности зоны. Уровни безопасности обеспечивают систему критериев для принятия решений о применении контрмер и устройств с различающимися параметрами собственной безопасности.

Уровни безопасности обеспечивают качественный подход к решению вопросов, относящихся к безопасности зоны. Установление уровня безопасности целесообразно применять для качественного сравнения уровней безопасности. По мере увеличения количества доступных данных и разработки математических моделей риска, угроз и инцидентов безопасности данная концепция будет сводиться к количественному методу выбора и верификации уровней безопасности (SL). Эта концепция будет применима как к организациям-потребителям, так и к поставщикам IACS и продуктов безопасности. Она будет использоваться при выборе устройств IACS и контрмер с целью их применения в отдельно взятой зоне, а также при определении и сравнении безопасности зон в организациях различных сегментов промышленности.

Каждой организации, применяющей метод SL, следует дать определение того, что отражает каждый уровень и как измерять SL зоны. Это определение или характеристику следует применять на систематической основе в масштабе всей организации. SL может применяться для определения стратегии полноценной многоуровневой эшелонированной защиты зоны, причем эта стратегия включает в себя технические контрмеры на основе аппаратных и программных средств, а также административные контрмеры.

SL соответствует требуемой эффективности контрмер и внутренне присущих свойств безопасности устройств и систем для зоны или тракта с учетом оценки риска для этой зоны или тракта. Метод SL позволяет категоризировать риск для зоны или тракта. Метод SL помогает также определять требуемую эффективность контрмер, применяемых для предотвращения несанкционированного электронного вмешательства, которое способно привести к утечке данных или воздействию на нормальное функционирование устройств и систем в пределах зоны или тракта. SL - это свойство скорее зоны и тракта, чем устройства, системы или любой ее части.

Рекомендован минимум из трех SL. Эти три уровня можно охарактеризовать качественно, как показано в таблице 8. Организации могут предпочесть расширить количество имеющиеся SL и определить дополнительные уровни для описания своих уникальных требований безопасности.

 

Таблица 8

 

Уровни безопасности (SL)

 

Уровень безопасности	Качественная характеристика
1	Низкий
2	Средний
3	Высокий

 

5.11.2 Типы уровней безопасности (SL)

5.11.2.1 Общие положения

Могут быть определены три типа SL:

a) SL (целевой) - целевой уровень безопасности зоны или тракта;

b) SL (достигнутый) - достигнутый уровень безопасности зоны или тракта;

c) SL (потенциальный) - потенциальный уровень безопасности контрмер, привязанных к зоне или тракту, или потенциальный уровень внутренне присущей безопасности устройств или систем внутри зоны или тракта.

5.11.2.2 SL (целевой) - целевой уровень безопасности

SL (целевой) следует назначать зоне. SL (целевой) может быть назначен и тракту. SL (целевой) зоны или тракта определяют в ходе оценки рисков. Не следует назначать SL (целевой) трактам, если параметры безопасности тракта учитываются в ходе оценки рисков зон, которые используют рассматриваемый тракт. Оценка риска зоны или тракта должна по возможности учитывать вероятность нарушения безопасности и ее проявление

Оценка рисков может быть качественной, полуколичественной или количественной. SL (целевой) определяет необходимую эффективность контрмер, устройств и систем, которые должны быть задействованы для предотвращения нарушения безопасности зоны или тракта.

Контрмеры могут быть:

a) техническими (межсетевые экраны, антивирусное программное обеспечение и т.д.);

b) административными (политика и регламенты);

c) физическими (запертые двери и т.д.).

На определение SL (целевой) зоны и тракта влияют следующие факторы:

d) сетевая архитектура с определенными границами зон и трактами;

e) SL (целевой) зон, с которыми будет взаимодействовать рассматриваемая зона;

f) SL (целевой) тракта (если этот уровень назначен), используемого зоной для коммуникации;

g) физический доступ к устройствам и системам в пределах зоны.

Вычисление целевого уровня безопасности в пределах зоны следует основывать на уровнях безопасности и их влиянии на общую безопасность.

5.11.2.3 SL (достигнутый) - достигнутый уровень безопасности

SL (достигнутый) зоны или тракта зависит от внутренне присущих свойств безопасности устройств и систем внутри зоны или тракта и/или свойств контрмер, которые задействованы для предотвращения нарушения безопасности зоны или тракта. SL (достигнутый) является функцией от времени и снижается с течением времени из-за снижения эффективности контрмер, новых уязвимостей, эволюционировавших угроз или скорректированных методов атак, уязвимостей в уровнях безопасности и внутренне присущих свойств безопасности устройств и систем до их проверки, замены или модернизации.

Задача - обеспечить, что в тот или иной момент времени SL (достигнутый) зоны или тракта был больше или равен SL (целевой) этой зоны или тракта.

5.11.2.4 SL (потенциальный) - потенциальный уровень безопасности контрмер, устройств или систем

SL (потенциальный) определен для контрмер и внутренне присущих свойств безопасности устройств и систем внутри зоны или тракта, вносящих вклад в безопасность зоны или тракта, что является степенью эффективности контрмеры, устройства или системы в отношении свойства безопасности, которое они затрагивают.

Ниже приведены примеры свойств безопасности, которые могут затрагиваться контрмерой, устройством или системой:

a) подтверждение аутентичности равноуровневого субъекта;

b) сохранение аутентичности и целостности сообщений;

c) сохранение конфиденциальности сообщений/информации/коммуникации;

d) обеспечение отслеживаемости (защиты от непризнания участия);

e) обеспечение выполнения политики управления доступом;

f) предотвращение атак типа "отказ в обслуживании";

g) обеспечение доверительности платформ;

h) выявление взломов;

i) отслеживание статуса безопасности.

SL (потенциальный) контрмеры, устройства или системы внутри зоны или тракта вносит вклад в SL (достигнутый) с учетом соответствующих свойств безопасности, которые затрагиваются контрмерами, устройствами или системами для этой зоны или тракта.

5.11.3 Факторы, влияющие на SL (достигнутый) зоны или тракта

5.11.3.1 Общие положения

Существует ряд факторов, влияющих на SL (достигнутый) зоны или тракта. SL (достигнутый) зоны или тракта может быть выражен в виде функции этих факторов:

SL (достигнутый) = f (x1, ... , xn, t),

где: факторы xi (1 <= i <= n) включают в себя, но не ограничиваются этим:

x1 - SL (потенциальный) контрмер, привязанных к зоне или тракту, и внутренне присущие свойства безопасности устройств и систем в пределах зоны или тракта;

x2 - SL (достигнутый) зон, с которыми предстоит установить коммуникации;

x3 - тип трактов и свойства безопасности, относящиеся к трактам, которые служат для коммуникации с другими зонами (относится только к зонам);

x4 - эффективность контрмер;

x5 - периодичность аудитов, и тестирования контрмер и внутренне присущих свойств безопасности устройств и систем в пределах зоны или тракта;

x6 - познания злоумышленников и ресурсы, доступные для злоумышленников;

x7 - снижение эффективности контрмер и внутренне присущих свойств устройств и систем;

x8 - выявление несанкционированных проникновений;

t - время.

Данные факторы подробнее описаны в нижеследующих подпунктах.

5.11.3.2 SL (потенциальный) контрмер и внутренне присущих свойств

Соответствующие свойства безопасности, затрагиваемые контрмерами, устройствами и системами в пределах зоны или тракта, и их эффективность, вносят вклад в SL (достигнутый) зоны или тракта.

Контрмеры способны затрагивать несколько свойств безопасности, но если ни одно из них не относится к безопасности зоны или тракта, то такие контрмеры не вносят вклада в SL (достигнутый) этой зоны или тракта. Аналогичным образом, если внутренне присущие свойства безопасности устройств и систем в пределах зоны или тракта не имеют отношения к безопасности этой зоны или тракта, то эти свойства не вносят вклада в SL (достигнутый) этой зоны или тракта.

5.11.3.3 SL (достигнутый) зон, с которыми предстоит установить коммуникацию

Безопасность зоны или тракта не может рассматриваться изолированно. На нее влияет SL (достигнутый) зон, с которыми они осуществляют коммуникацию.

Рассмотрим, например, SIS на химическом заводе, которая осуществляет коммуникацию с DCS через последовательный канал. Если предположить, что DCS и SIS находятся в двух разных зонах, то на SL (достигнутый) зоны SIS будет влиять SL (достигнутый) зоны DCS.

5.11.3.4 Тип трактов и относящиеся к ним свойства безопасности

Тракт может представлять собой линию связи "точка - точка", LAN или WAN с внутренне присущими свойствами безопасности. Тракт может включать в себя контрмеры, которые улучшают свойства безопасности тракта. Свойства безопасности тракта, вносящие вклад в безопасность тракта, будут вносить вклад и в SL (достигнутый) тракта. Свойства безопасности тракта, используемого зоной для осуществления коммуникации с другими зонами, будут вносить вклад в SL (достигнутый) зоны.

5.11.3.5 Эффективность контрмер

Могут быть реализованы технические и административные контрмеры, которые позволяют достичь требуемого SL (целевой) зоны или тракта.

В контексте IACS доступны разнообразные технические контрмеры, затрагивающие различные свойства безопасности. Технические контрмеры должны по возможности затрагивать свойства безопасности, относящиеся к данной конкретной зоне, но если такие свойства безопасности неэффективны для этой зоны, то их вклад в SL (достигнутый) зоны будет крайне незначителен или вообще нулевым. Примеры технических контрмер включают в себя системы обнаружения несанкционированных проникновений (IDS), межсетевые экраны и антивирусное программное обеспечение.

Оценка эффективности технических контрмер должна по возможности учитывать следующее:

a) процесс разработки: доступность письменных регламентов, плана управления качеством и т.д. Это поможет сократить систематические ошибки, например, ошибки в программном обеспечении или утечки памяти, которые могут отражаться на безопасности;

b) тестирование: уровень тестирования каждого свойства безопасности, которое затрагивают контрмеры, устройство или система. Данные тестирований могут быть выведены и на основе оценок предшествующих систем;

c) сбор данных: количество случаев нарушения безопасности зоны или тракта из-за несовершенства аналогичной контрмеры, устройства или системы; степень и серьезность уязвимостей, выявленных для контрмеры, устройства или системы.

Если технические контрмеры неосуществимы или нецелесообразны, то следует применять административные контрмеры. Примером административной меры является ограничение физического доступа к компонентам IACS.

5.11.3.6 Периодичность аудитов и тестирований контрмер

Эффективность контрмер и внутренне присущих свойств безопасности устройств и систем должна по возможности подвергаться аудитам и/или оценкам с регулярной периодичностью и на базе регламентов, которые позволяют аудировать и/или тестировать по меньшей мере те свойства безопасности, которые относятся к зоне. В некоторых случаях поводом к аудиту или тестированию может послужить и обнаружение новых уязвимостей.

5.11.3.7 Познания злоумышленника и ресурсы, доступные злоумышленнику

На SL (достигнутый) зоны или тракта влияют познания злоумышленника и доступные ему ресурсы, в числе которых различные инструменты и время. Следует брать в расчет средства и инструменты злоумышленников, характерные для отрасли. Время, имеющееся в распоряжении злоумышленника для нарушения безопасности зоны, будет зависеть от конкретной задачи и контрмер, реализованных для данной зоны или тракта.

5.11.3.8 Снижение эффективности контрмер

Эффективность контрмер и внутренне присущих свойств устройств и систем будет существенно снижаться со временем, что приведет к снижению SL (достигнутый) зоны или тракта. Эффективность контрмер и внутренне присущих свойств устройств и систем снижается по следующим причинам:

a) обнаружение новых уязвимостей;

b) повышение мастерства злоумышленников;

c) повышение осведомленности злоумышленников о существующих контрмерах;

d) получение злоумышленниками доступа к более эффективным ресурсам.

5.11.3.9 Выявление несанкционированных проникновений

Контрмеры и внутренне присущие свойства безопасности устройств и систем могут включать в себя выявление несанкционированных проникновений. На SL (достигнутый) зоны и тракта влияет время, доступное для реагирования на выявленное несанкционированное проникновение.

5.11.4 Влияние контрмер и внутренне присущих свойств безопасности устройств и систем

Использование контрмер и внутренне присущих свойств безопасности устройств и систем для достижения SL (целевой) может приводить к снижению эффективности коммуникации. Необходимо оценивать снижение эффективности коммуникации из-за контрмер и внутренне присущих свойств безопасности устройств и систем, чтобы гарантировать выполнение минимальных функциональных требований, предъявляемых к зоне.

Например, важным требованием к IACS является быстрота отклика. Контрмеры могут привносить в коммуникацию задержки во времени, что при выполнении определенных задач может быть недопустимо.