ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели
6.5. Зональная и трактовая модель
6.5.1 Общие положения
Зональная и трактовая модель разрабатывается на основе базовой архитектуры. Такая модель служит для описания логических групп объектов в пределах предприятия или его подпространства. Объекты группируются в субъекты (например, относящиеся к бизнесу, техническим средствам, производственным объектам или IACS), которые затем могут быть проанализированы на предмет соответствия политике безопасности, а следовательно и ее требованиям. Модель позволяет оценивать общие угрозы, уязвимости и соответствующие контрмеры, необходимые для достижения уровня безопасности (целевого уровня безопасности), достаточного для защиты сгруппированных объектов. Группируя объекты таким образом, можно определить политику безопасности для всех объектов, входящих в состав зоны. Результаты таких исследований могут быть затем использованы для определения защиты, необходимой с учетом процессов, происходящих в зоне.
Примечание - Термин "зона", употребляемый в настоящем стандарте в явной форме, следует всегда относить к зоне безопасности.
6.5.2 Определение зон безопасности
Зоны - один из наиболее важных инструментов, определяющих успех программы безопасности, и правильное определение зон - это наиболее важный аспект процесса построения такой программы. При определении зон организациям следует использовать как базовую архитектуру, так и объектную модель, чтобы получаемые в итоге зоны безопасности и уровни безопасности соответствовали целям безопасности, установленным в политике безопасности систем промышленной автоматики и контроля.
Если в одном и том же устройстве осуществляются процессы разного уровня, то организация может либо увязать физическое устройство с более жесткими требованиями безопасности, либо создать отдельную зону с отдельной политикой безопасности, которая представляет собой смешанную политику для двух зон. Типичный пример относится к серверам-архиваторам. В целях эффективности такой сервер должен иметь доступ к критическим устройствам управления, которые являются источником получаемых данных. Однако по мере производственной необходимости может требоваться представление этих данных диспетчерам и персоналу по оптимизации производственного процесса, поэтому необходим более свободный доступ к устройству по сравнению с доступом, который предусматривают типичные требования к безопасности систем управления.
Если в одном и том же физическом устройстве функционирует несколько прикладных систем, задействующих процессы разного уровня, то может быть создана и граница логической зоны. Доступ к конкретной системе ограничен в пользу лиц, имеющих привилегии для системы этого уровня. Примером является машина, обеспечивающая функционирование как OPC-сервера, так и OPC-инструментов анализа, выполняемого клиентами. Доступ к OPC-серверу ограничен в пользу лиц, имеющих привилегии более высокого уровня, в то время как доступ к динамическим таблицам с использованием клиентского OPC-подключения возможен для всех сотрудников.
6.5.3 Идентификация зон
Зоны могут быть совокупностью независимых имущественных объектов, совокупностью подзон или совокупностью как независимых объектов, так и объектов, сгруппированных в свою очередь в подзоны, содержащиеся в главной зоне. Для зон характерно наследование свойств, т.е. дочерняя зона (или подзона) должна соответствовать всем требованиям, предъявляемым к родительской зоне. На рисунке 17 показана упрощенная зональная модель для нескольких заводов. В данном случае корпоративная зона - это родительская зона, а каждый завод представляет собой дочернюю зону или подзону, которая вмещает собственную подзону управления.
Примечание - Можно достичь значительного преимущества, если совместить зоны безопасности с физическими участками или зонами на производственном объекте, например, совместить центр управления с зоной управления безопасностью.
Рисунок 17 - Пример мультизаводских зон
Единая архитектура предприятия может быть подразделена на отдельные зоны, как показано на рисунке 18. В такой модели политика зон будет независимой и каждой зоне может соответствовать совершенно разная политика безопасности.
Рисунок 18 - Пример отдельных зон
Аналогичные модели могут быть построены для приложений SCADA, как показано на рисунках 19 и 20.
Рисунок 19 - Пример зоны SCADA
Рисунок 20 - Пример независимых зон SCADA
6.5.4 Характеристики зон
6.5.4.1 Общие положения
Каждой зоне соответствует некий набор характеристик и требований безопасности, которые являются ее атрибутами:
a) политика безопасности;
b) перечень имущественных объектов;
c) требования к доступу и меры управления доступом;
d) угрозы и уязвимости;
e) последствия нарушения безопасности;
f) авторизованная технология;
g) порядок управления изменениями.
Указанные атрибуты описаны подробнее в 6.5.4.2 - 6.5.4.7.
6.5.4.2 Политика безопасности
К каждой зоне прикреплен контрольный документ, в котором описаны общие цели безопасности и способ обеспечения целевого уровня безопасности. Контрольный документ включает в себя:
a) границы зоны;
b) уровень безопасности зоны;
c) организационную структуру и обязанности по обеспечению выполнения политики безопасности;
d) риски, относящиеся к зоне;
e) стратегию безопасности, направленную на достижение необходимых целей;
f) меры безопасности, подлежащие исполнению;
g) виды деятельности, разрешенной в пределах зоны;
h) виды доступа к зоне, получаемого посредством коммуникации;
i) документацию, раскрывающую атрибуты зоны.
Перечисленная выше информация документируется и объединяется в политику безопасности зоны, используемую в качестве руководства и критериев оценки для конструирования и обслуживания объектов, которые содержатся в зоне.
6.5.4.3 Перечень имущественных объектов
Для поддержания безопасности в пределах зоны организация должна вести список всех ее имущественных объектов (физических и логических). Такой список служит для оценки риска и уязвимостей, а также определения и контроля соблюдения соответствующих мер безопасности, необходимых для достижения целей политики безопасности. Точность инвентарной ведомости - это ключевой фактор в достижении целей безопасности, обозначенных в политике безопасности. Список следует дорабатывать при изменениях имущественных объектов внутри зоны или изменениях электронных связей между ними, а также в случае включения в состав зоны новых объектов, чтобы достигались цели безопасности.
Физические объекты и компоненты - это физические устройства, находящиеся внутри зоны. Некоторые примеры таких устройств приведены ниже:
a) компьютерное аппаратное обеспечение (например, рабочие станции, серверы, инструменты, элементы управления, источники электропитания, дисковые накопители или резервные архиваторы на магнитной ленте);
b) сетевое оборудование (например, маршрутизаторы, коммутаторы, концентраторы, межсетевые экраны или механические кабели);
c) коммуникационные звенья (например, шины, линии, модемы и другие сетевые интерфейсы, антенны);
d) оборудование для аутентификации и авторизации доступа (например, контроллеры доменов, RADIUS-серверы, считыватели и сканеры);
e) аппаратное обеспечение опытных систем;
f) аппаратное обеспечение моделирующих и обучающих систем;
g) аппаратное обеспечение внешних систем;
h) запасы запчастей;
i) устройства контроля и управления (например, датчики, переключатели и контроллеры);
j) справочная информация и руководства.
Логические объекты включают в себя любое программное обеспечение и данные, используемые в зоне. Вот некоторые примеры:
k) программное обеспечение компьютерных систем (например, программные приложения, операционные системы, коммуникационные интерфейсы, таблицы конфигураций, инструменты для разработки и анализа, и утилиты);
l) патчи и обновления для операционных систем и прикладных инструментариев;
m) базы данных;
n) архивы данных;
o) файлы конфигураций оборудования;
p) копии программного обеспечения и данных, предназначенные для целей резервирования и восстановления;
q) документация по обоснованию проекта (например, функциональные требования к информации, объектам и др., классификация безопасности и уровни защиты, физический и программный проект, оценка уязвимостей, периметр безопасности, документацию по оценочным испытаниям, сборке и монтажу);
r) дополнительно поставляемые ресурсы (например, обновления продуктов, патчи, пакеты обновления, утилиты и результаты проверочных испытаний).
6.5.4.4 Требования к доступу и меры управления доступом
Понятие зоны по сути подразумевает, что доступ к ней ограничен в пользу незначительной совокупности всех возможных субъектов, которые наделены правом доступа. Политика безопасности зоны должна прописывать условия доступа к зоне, чтобы выполнялись ее бизнес-цели и способ регулирования этого доступа.
6.5.4.5 Оценка угроз и уязвимостей
В пределах заданной зоны существуют угрозы и соответствующие им уязвимости. Организации должны выявлять и оценивать эти угрозы и уязвимости, чтобы определять вероятность провоцирования ими ситуации, в которой объекты внутри зоны больше не служат своим бизнес-целям. Процесс документирования угроз и уязвимостей выполняется в ходе оценки угроз и уязвимостей, которая является частью политики безопасности зоны.
Существует множество возможных контрмер для уменьшения риска того, что определенная угроза воспользуется конкретной уязвимостью внутри зоны. Политика безопасности должна по возможности прописывать, какие виды контрмер применимы для достижения целевого уровня безопасности зоны в рамках оптимального соотношения издержек и риска.
6.5.4.6 Авторизованная технология
Системы промышленной автоматики и контроля эволюционируют в соответствии с меняющимися бизнес-требованиями, поэтому необходимо контролировать технологию реализации изменений системы. Любая технология, используемая в таких системах, влечет за собой серию уязвимостей и соответствующие им риски. В целях минимизации рисков для конкретной зоны политика безопасности этой зоны должна предусматривать действующий список технологий, приемлемых в зоне, а также неприемлемых в ней.
6.5.4.7 Порядок управления изменениями
Необходима формализованная и четкая методика, которая обеспечивает точность инвентарной ведомости отдельно взятой зоны и порядок внесения изменений в политику безопасности зоны. Формализованная методика гарантирует, что изменения и дополнения зоны не отразятся отрицательно на целях безопасности. Кроме того, необходима методика приспособления к меняющимся угрозам и целям безопасности. Угрозы и уязвимости, а также связанные с ними риски, со временем меняются.
6.5.5 Определение трактов
Тракты - это зоны безопасности, которые привязаны к конкретным коммуникационным процессам. Как и зоны безопасности, тракты представляют собой логическое объединение имущественных объектов (в данном случае - коммуникационных объектов). Тракт безопасности обеспечивает безопасность каналов, которые он содержит, точно так же, как физический тракт защищает кабели от механического повреждения. Тракты можно представить как трубы, соединяющие между собой зоны или используемые для коммуникации в пределах одной зоны. Внутренние (в пределах зоны) и внешние (за пределами зоны) тракты вмещают в себя или защищают коммуникационные каналы (по сути кабели), которые обеспечивают связи между объектами. Чаще всего, в контексте IACS, тракт - это то же самое, что сеть, т.е. тракт представляет собой проводку, маршрутизаторы, коммутаторы и устройства управления сетью, которые образуют рассматриваемые коммуникационные линии. Тракты могут представлять собой объединения разнотипных сетевых технологий, а также разнотипных коммуникационных каналов, которые могут присутствовать в одном компьютере. Тракты используются для анализа угроз коммуникации и ее уязвимостей, которые могут присутствовать в коммуникационных линиях внутри зон и между ними.
Тракты можно рассматривать как трубы, которые содержат данные и/или обеспечивают физические соединения, необходимые для коммуникации между зонами. Тракт может содержать подтракты, которые обеспечивают коммуникацию между зонами по типу "один-к-одному" или "один-ко-многим". Надежность коммуникации для тракта может достигаться за счет соблюдения политики безопасности соответствующих зон.
6.5.6 Характеристики трактов
6.5.6.1 Общие положения
В физическом смысле тракт может являться кабелем, который соединяет между собой зоны, обеспечивая коммуникацию между ними.
Тракт - это разновидность зоны, которая не может иметь подзон, т.е. тракт не образован подтрактами. Тракты определяются совокупностью всех зон, которые совместно используют конкретные коммуникационные каналы. Оконечные точки тракта образованы как физическими устройствами, так и приложениями, которые используют каналы, содержащиеся в тракте. На рисунке 21 показан тракт масштаба предприятия.
Рисунок 21 - Корпоративный тракт
Как и в случае с зонами, аналогичное изображение может быть построено и применительно к прикладным системам SCADA. Пример проиллюстрирован на рисунке 22.
Рисунок 22 - Пример тракта SCADA
Как и в случае с зоной, любому тракту соответствует набор характеристик и требований безопасности, которые являются его атрибутами:
a) политика безопасности;
b) перечень объектов;
c) требования к доступу и меры управления доступом;
d) угрозы и уязвимости;
e) последствия нарушения безопасности
f) авторизованные технологии;
g) порядок управления изменениями;
h) зоны, связываемые между собой трактом.
6.5.6.2 Политика безопасности
За каждым трактом закреплен контрольный документ, в котором описаны общие цели безопасности и способ обеспечения целевого уровня безопасности. Контрольный документ содержит следующую информацию:
a) границы тракта;
b) уровень безопасности тракта;
c) организационную структуру и обязанности по соблюдению политики безопасности тракта;
d) риски, относящиеся к тракту;
e) стратегию безопасности, направленную на достижение необходимых целей;
f) меры безопасности, подлежащие соблюдению;
g) типы каналов, разрешенные в пределах тракта;
h) документацию, раскрывающую атрибуты тракта.
Перечисленная выше информация документируется и объединяется в политику безопасности тракта, используемую в качестве руководства и критериев оценки для конструирования и обслуживания объектов, которые содержатся в тракте.
6.5.6.3 Перечень объектов
Как и в случае с зоной, необходим точный список коммуникационных объектов.
6.5.6.4 Требования к доступу и меры управления доступом
Понятие тракта подразумевает, что доступ к нему ограничен в пользу некоторой совокупности всех возможных субъектов, наделенных правом доступа. Политика безопасности тракта должна прописывать условия доступа к тракту, при которых он служит своим бизнес-целям, и способ регулирования этого доступа.
6.5.6.5 Оценка угроз и уязвимостей
Для отдельно взятого тракта существуют угрозы и соответствующие им уязвимости. Организациям следует выявлять и оценивать эти угрозы и уязвимости, чтобы определять вероятность провоцирования ими ситуации, когда объекты внутри тракта больше не служат своим бизнес-целям. Процесс документирования угроз и уязвимостей выполняется в ходе оценки угроз и уязвимостей, которая является частью политики безопасности тракта.
Существует множество возможных контрмер для уменьшения риска того, что определенная угроза воспользуется конкретной уязвимостью внутри тракта. Политика безопасности должна по возможности прописывать, какие виды контрмер применимы в рамках оптимального соотношения затрат и риска.
6.5.6.6 Авторизованная технология
Системы промышленной автоматики и контроля эволюционируют в соответствии с меняющимися бизнес-требованиями, поэтому необходимо контролировать технологию реализации изменений системы. Любая технология, используемая в таких системах, влечет за собой серию уязвимостей и соответствующие им риски. В целях минимизации рисков для отдельно взятого тракта политика безопасности тракта должна предусматривать действующий список технологий, приемлемых в тракте.
6.5.6.7 Порядок управления изменениями
Необходима формализованная и четкая методика, которая обеспечивает точность политики отдельно взятого тракта и порядок внесения изменений в эту политику. Формализованная методика гарантирует, что изменения и дополнения тракта не отразятся отрицательно на целях безопасности. Кроме того, необходима методика приспособления к меняющимся угрозам и целям безопасности. Угрозы и уязвимости, а также связанные с ними риски, со временем меняются.
6.5.6.8 Присоединенные зоны
Тракт может быть описан и относительно зон, с которыми он соединен.
Подписаться на обновления