ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

5.5 Типовые эталонные конфигурации

5.5.1 Промышленная система управления (ICS)

ICS обычно состоит из электронного оборудования, то есть хостов и устройств, и может включать в себя сети, подсети и соединения "один к одному", как показано на рисунке 4. Как правило, система включает в себя ICN и соединенные с ней оборудование и подсети, а во многих случаях - еще и внешние хосты и устройства внешних сетей, подключенные к данной сети через средства сетевого взаимодействия.

 

 

Рисунок 4 - Промышленная система управления (ICS)

 

В современной ICS, как правило, используются внешние коммуникации, чтобы получать доступ к внешним ресурсам и быть доступной для них, как показано на рисунке 4.

Внутренние устройства и операторы ICS могут нуждаться в доступе к внешним ресурсам, например для обновлений или управляющей информации.

Внешние операторы и устройства ICS могут получать доступ к ICN, например, в целях диагностики, обслуживания, разработки и/или управления.

Примечание - Внутриобъектовое подключение внешнего оборудования, привнесенного на производственный объект обслуживающим персоналом, причислено к внешним коммуникациям.

 

Внешние коммуникации могут служить для соединения ICN с системами, хостами и устройствами, такими как:

- внешний(е) центр(ы) безопасности;

- внешняя(ие) система(ы) поддержки изготовления и управления;

- обособленное(ые) стационарное(ые) устройство(а);

- интерактивный(е) пульт(ы)/хост(ы) интерактивного удаленного доступа;

- пульт(ы)/центр(ы) удаленного доступа;

- портативная(ые) рабочая(ие) станция(и) инженера;

- портативный(е) носитель(и) информации.

5.5.2 Промышленная сеть управления (ICN)

ICN может быть образована путем интегрирования устройств со значительным разнообразием, включая:

- хосты, прокси-серверы, шлюзы, концентраторы, маршрутизаторы;

- периферийное IT-оборудование;

- технологическое контрольно-измерительное оборудование, исполнительные механизмы, преобразователи и т.д.

Хосты ICN могут функционировать как серверы приложений, серверы управления и другие специальные HMI.

ICN соединена непосредственно или опосредованно с выделенными сетями, то есть автоматизированными ячейками и/или сетями периферийных устройств.

Многие из этих хостов и устройств, за исключением простого оборудования, соединены между собой через сетевую аппаратуру и кабели, образуя ICN. ICN может включать в себя выделенные сети, соединенные с ней непосредственно или опосредованно, в частности автоматизированные ячейки и/или сети периферийных устройств.

Частью парка оборудования являются также устройства, которые содержат ресурсы обработки и хранения данных. Указанные устройства являются лишь временной частью парка. Особое внимание следует уделять устройствам, вносимым и уносимым с производственного объекта, таким как портативные компьютеры или портативные накопители.

5.5.3 Универсальный хост (GPH) промышленной системы управления

Настоящий стандарт применяют к хостам, которые могут быть аналогичны GPH ICS. Конфигурация GPH, представленная на рисунке 5, иллюстрирует его ключевые компоненты:

- центральный процессор с его неотъемлемыми компонентами, такими как накопитель большой емкости и интерфейсы;

- пульт оператора с устройствами ввода и отображения данных;

- интерфейс/накопитель для считывания информации с внешних носителей данных, таких как USB-накопители и гибкие магнитные диски;

- интерфейс и кабели связи с устройством управления/периферийным устройством;

- интерфейс связи с ICN.

GPH может представлять собой также простую ICS, не содержащую ICN. Такая система может быть впоследствии соединена:

- с внешней общедоступной сетью, такой как Интернет;

- с внешней организационной сетью.

Эталонная конфигурация GPH, приведенная на рисунке 5, даст представление:

- о простейшей ICS без ICN;

- об отдельных хостах в составе ICS как обособленных элементах;

- о любом программируемом/программном устройстве как компоненте ICS в целом;

- об интерфейсе и кабелях связи с внешней сетью, такой как Интернет или корпоративная сеть.

На рисунке 5, а также на других рисунках отмечено присутствие людей. Люди - это часть практически любой системы, даже если они осуществляют только удаленное обслуживание или управляющие воздействия, и именно люди являются основной причиной и инициаторами угроз.

 

 

Примечание 1 - Могут использоваться и беспроводные соединения, например, взамен кабелей связи с сетью или устройствами.

Примечание 2 - Конфигурация хоста, приведенная на рисунке, является лишь наглядным примером и не предназначена для задания какой-либо топологии сети.

 

Рисунок 5 - Эталонная конфигурация GPH - GPH ICS с внешними

устройствами