БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

7.3 Политика безопасности промышленной системы управления - организация и управление

Процедуры и методы управления, необходимые для эксплуатации и аудита политики безопасности.

7.3.1 Ответственность за разработку, реализацию, соблюдение, проверку и изменение политики безопасности ICS несет администрация ICS.

Это обосновано тем, что изменения в угрозах, уровнях угроз, конфигурации, технологии и т.д. являются неизбежными и требуют переоценки и совершенствования политики ICS.

Правила реализации политики приведены в 7.3.1.1 - 7.3.1.7.

7.3.1.1 Оперативная ответственность за соблюдение политики безопасности ICS должна быть возложена на менеджера по безопасности, который должен быть оперативно независим от ICS и эксплуатации завода.

Примечание 1 - Разделение ответственности за реализацию усиления безопасности и поддержание политики безопасности иногда рекомендуется регуляторами. Это снижает риски безопасности.

Примечание 2 - В крупных организациях менеджер по безопасности может быть независимым, для этого он освобождается от ответственности и обязанностей по оперативному управлению или администрированию системы. В небольших организациях может оказаться, что отдельные сотрудники будут совмещать эти должности.

 

7.3.1.2 Управление администрированием сетевого оборудования, его реализация и протоколирование должны осуществляться безопасным образом.

Примечание 1 - Конфигурирование сетевого оборудования и изменения в конфигурации весьма желательны с точки зрения безопасности. Необходимо использовать действенные механизмы управления доступом.

Примечание 2 - Во избежание атак, нацеленных на настройки сети, администрация должна использовать каналы связи и привилегии доступа, которые отделены от производственного трафика и привилегий. Допускается использование отдельной безопасной сети управления.

Примечание 3 - Администрирование безопасности и сетевого оборудования должно быть выполнимо даже в случае атаки или при реагировании на атаку. Должны иметься также каналы для передачи производственного трафика.

 

7.3.1.3 Политика безопасности ICS должна документироваться, должны обновляться изменения и исключения, поддерживаться доступность и доведены до соответствующего персонала.

7.3.1.4 Все применяемые в организации политики должны быть доступны администрации ICS, в том числе и политика безопасности ICS, и должны регулярно выполняться обновления политик, обеспечивающие их эффективное применение за ограниченное время.

7.3.1.5 Для неукоснительного соблюдения положений политики ICS и ее изменений должны регулярно проводиться ознакомительные тренинги.

7.3.1.6 Управление должно включать документирование исключений с указанием конкретной причины, связанной с бизнесом, а также документирование времени установления исключения, его продолжительности и срока окончания.

7.3.1.7 Должны проводиться проверки политики как периодические, так и после инцидентов.

7.3.2 Управление рисками угроз

Проблемы безопасности в значительной степени обусловлены неопределенностью, связанной с технологическим прогрессом и непредсказуемостью человека, в результате чего существует постоянно меняющийся риск для имущественных объектов. Имущественные объекты владельца или оператора в целом остаются примерно постоянными. Это делает среду угрозы основным фактором.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что в настоящем стандарте не рассматривается метод TRA. Поэтому владелец/оператор должен самостоятельно разработать метод оценки рисков, используя другие ресурсы (кроме настоящего стандарта).

Правила реализации политики приведены в 7.3.2.1 - 7.3.2.4.

7.3.2.1 Критичные компоненты оборудования, операционные системы, приложения и службы, используемые для эксплуатации, управления и обеспечения работоспособности системы автоматизации, должны быть оценены с точки зрения функциональной доступности, целостности системы и конфиденциальности данных.

7.3.2.2 Среда угрозы должна непрерывно контролироваться и оцениваться.

7.3.2.3 Периодически или после наступления событий безопасности должна проверяться и корректироваться мощность мер безопасности, принимаемых против угроз, таким образом, чтобы она всегда находилась на должном уровне.

Примечание 1 - Методы криптографии должны периодически корректироваться в целях соответствия развитию технологий.

Примечание 2 - Изменения, например в правилах SGW и ECG, учитывающие виды и уровни угроз, должны приводить к изменению конфигураций, технологий, добавлению дополнительных мер и оборудования и т.д.

 

7.3.2.4 Критичное оборудование должно быть закреплено за техником и администратором и контролироваться оборудованием мониторинга.

7.3.3 Политика эксплуатационной безопасности ICS и ее изменения должны быть скоординированы с политикой безопасности ICS.

Это обосновано тем, что эксплуатационная безопасность и безопасность (подразумевающая обеспечение конфиденциальности) тесно связаны друг с другом.

Правила реализации политики приведены в 7.3.3.1 - 7.3.3.4.

7.3.3.1 Политика эксплуатационной безопасности ICS и ее обновления должны храниться в файле, постоянно доступном администрации службы безопасности.

7.3.3.2 Любые меры и методы, применяемые оператором в целях безопасности, влияющие на эксплуатационную безопасность, должны быть утверждены как администрацией службы безопасности, так и администрацией, отвечающей за эксплуатационную безопасность.

Примечание - Правило "двойной ответственности" гарантирует, что меры, которые могут привести к катастрофическим последствиям, не будут инициированы единолично. Это предохраняет от намеренной или случайной неправильной эксплуатации. Двойная ответственность является наиболее действенным средством борьбы с атаками инсайдеров.

 

7.3.3.3 Если предусмотрено использование оператором меры или способа, влияющих на безопасность функционирования, то требуется утверждение введения их в эксплуатацию и прекращения применения.

7.3.3.4 Не должно быть исключений, которые удаляют исключения, утвержденные двумя ответственными.

7.3.4 Политика безопасности ICS должна требовать протоколирования и мониторинга соответствующих событий безопасности.

Это обосновано тем, что протоколы используются для установления событий, последовательностей и возложения ответственности за управление и аудит. В отношении несанкционированных действий, например атаки, протоколы могут использоваться для формальных выводов. Возложение ответственности особенно важно в случаях, когда критичные операции выполняются сторонней компанией.

Правила реализации политики приведены в 7.3.4.1 - 7.3.4.8.

7.3.4.1 Все действия пользователя системы автоматизации, существенные для безопасности, должны быть запротоколированы.

7.3.4.2 Все события системы, существенные для безопасности, должны быть запротоколированы.

7.3.4.3 Собранная информация должна включать в себя событие, срочность, службу связи, хост источника, назначение, идентификатор пользователя, дату/время начала и окончания.

7.3.4.4 Все протоколы и информация аудита должны непрерывно контролироваться, периодически проверяться, надежно храниться и архивироваться.

7.3.4.5 Протоколы должны храниться централизованно для их последующего объединения и анализа. Должно быть исключено исчерпание ограниченного пространства памяти, используемого для хранения протоколов. Также должно быть исключено изменение атакующим протоколов в результате его несанкционированного доступа к оборудованию протоколирования.

7.3.4.6 Действия по управлению протоколами также должны протоколироваться. Только аудитор службы безопасности должен иметь право удалять или изменять протоколы.

7.3.4.7 Протоколы и сообщения аварийной сигнализации должны непрерывно контролироваться. По результатам контроля должны составляться заключения и применяться необходимые меры.

Это обосновано тем, что протоколы событий безопасности необходимо непрерывно контролировать для выявления вредоносных атак инсайдеров и сохранять их для последующего формального анализа после того, как безопасность будет нарушена.

Примечание - Если безопасность нарушена, сетевое соединение между удаленным и локальным центром управления должно быть прервано до восстановления надежности соединения. Локальный центр управления должен осуществлять безопасную эксплуатацию ICS. Для подтверждения восстановления надежности соединения должен быть выполнен аудит безопасности.

 

7.3.4.8 Если протоколы предполагается использовать в качестве доказательств в суде, должны быть выполнены требования действующего местного законодательства.

Пример - Могут протоколироваться следующие данные:

- событие, например ошибка аутентификации, нарушение доступа;

- срочность, например авария, сигнал тревоги, предупреждение;

- используемая служба связи, например имя службы, номер порта, протокол;

- хост источника, например IP-адрес, имя хоста;

- назначение, например IP-адрес, имя хоста, URL;

- идентификатор пользователя;

- дата и время начала;

- дата и время окончания.

Примечание - Если эксплуатацию ICS осуществляет сторонняя компания, протокол является важным объективным доказательством для возложения ответственности после аварии.

 

7.3.5 Должен проводиться аудит соответствия политики безопасности ICS.

Это обосновано тем, что для контроля характеристик управления политикой ICS необходим аудит.

Правила реализации политики приведены в 7.3.5.1 - 7.3.5.5.

7.3.5.1 Аудит соответствия политики ICS должен выполняться периодически и, если необходимо, приводить к принятию обоснованных корректирующих мер.

7.3.5.2 Аудиты могут включать тестирование безопасности.

Примечание - Аудит ICS должен периодически проводиться для выявления неразрешенного и ненадежного оборудования связи, например использования POTS (телефонных сетей общего пользования) или беспроводной связи.

 

7.3.5.3 Ответственность за аудит безопасности предпочтительно возложить на квалифицированного менеджера по безопасности, не участвующего в эксплуатации, возможно, на стороннего специалиста.

7.3.5.4 Если возможно, следует разделить должности аудитора и администратора, отвечающих за меры безопасности.

7.3.5.5 Особое внимание должно уделяться формальным исключениям из установленных мер. Для них должен проводиться специальный аудит.

7.3.6 Должно осуществляться управление исключениями и их документирование для обеспечения необходимой отчетности по сотрудникам и устройствам с использованием управления рисками ad hoc (для данной конкретной цели - лат.).

Это обосновано тем, что без управления формальными исключениями по типу ad hoc произойдет потеря координации управления исключениями, их длительностью и пределами, а также потеря отчетности и личной ответственности за любые негативные последствия.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что при совместной ответственности, возникшей, например, из-за использования пользователями общих учетных записей, источник конкретных действий в системе не может быть идентифицирован, при этом подозреваемый пользователь может правдоподобно отрицать свою причастность к действию.

Закрепление ответственности может противоречить местному трудовому законодательству, в связи с чем может потребоваться заключение объединенных соглашений с исполнительной администрацией более высокого уровня.

Правила реализации политики приведены в 7.3.6.1 - 7.3.6.3.

7.3.6.1 Должно осуществляться управление формальными исключениями из политики, включающее в себя обоснование их со стороны бизнеса, анализ рисков, возложение ответственности на определенное лицо.

7.3.6.2 Исключения из политики должны быть сведены к минимуму и действовать минимально необходимое время.

7.3.6.3 Не должно быть исключений, исключающих управление.

7.3.7 События и сообщения аварийной сигнализации должны своевременно актироваться в соответствии с планами действий в непредвиденных ситуациях, и должен выполняться их критический анализ.

Это обосновано тем, что при наступлении инцидента безопасности очень важно свести ущерб к минимуму и продолжать эксплуатацию ICS, как можно быстрее полностью восстановив надежную эксплуатацию с обычной производительностью.

Правила реализации политик приведены в 7.3.7.1 - 7.3.7.10.

7.3.7.1 Должны быть установлены планы действий в непредвиденных ситуациях. Они должны периодически обновляться.

7.3.7.2 Сообщения аварийной сигнализации, имеющие отношение к безопасности в критических условиях, и события производственного управления должны актироваться администрацией службы безопасности и, если возможно, совместно с администрацией, отвечающей за эксплуатационную безопасность.

7.3.7.3 Для инцидентов различного рода и критичности, связанных с безопасностью, должны быть установлены планы реагирования на инцидент, включающие продолжение эксплуатации завода и восстановление поврежденного оборудования.

7.3.7.4 Для быстрого и эффективного разрешения проблемы для критичного оборудования должно документироваться его закрепление за техником, пользователем, администратором и оборудованием мониторинга.

7.3.7.5 Критичный инцидент безопасности должен быть исследован быстро и сразу после его возникновения.

Примечание 1 - В некоторых старых приложениях для доступа к устройствам ICS или удаленным клиентам используется протокол с открытым текстом сертификата (например, Telnet, FTP). В этом случае доступ должен использовать надежный протокол туннелирования во избежание раскрытия сертификатов на любой части маршрута, раскрываемой общедоступными внешними сетями EN.

Примечание 2 - Должно осуществляться управление исключениями и их документирование.

Примечание 3 - Когда устройство безопасности выдает сообщение аварийной сигнализации, извещающее об инциденте безопасности, оно должно без задержки поступать на сервер управления безопасностью менеджеру по безопасности. Менеджер по безопасности должен задействовать план противодействия ущербу, то есть определить уровень поражения и очевидные меры безопасности, которые необходимо принять.

 

7.3.7.6 Планы должны быть опубликованы и доведены до сведения соответствующего персонала одновременно с распределением ответственности и связанных с нею имущественных объектов организации.

7.3.7.7 Должны проводиться ознакомительные занятия и технические тренинги, поддерживающие персонал в форме, необходимой для действий в непредвиденной ситуации.

7.3.7.8 Периодически и внезапно должны проводиться практические занятия по отработке действий при разнообразных сценариях атак, позволяющие оценить способность завода справляться с реальными атаками должным образом.

7.3.7.9 При обнаружении несанкционированного проникновения реагировать необходимо немедленно. Это предполагает существование адекватных и обновляемых планов для инцидентов безопасности, влияющих на функции и имущественные объекты, на которые распространяются эти политики.

7.3.7.10 Вызванные инцидентами безопасности катастрофы требуют планов восстановления после катастроф и аварий, а также соответствующей контактной информации и информации по восстановлению.

Примечание - Об использовании и мониторинге системы доступа см. ИСО/МЭК 27002.

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC