ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

8.3 Управление логическим доступом

Гарантируется только санкционированный логический доступ к ресурсам ICS в соответствии с присвоенными привилегиями.

8.3.1 Должны быть присвоены особенности, устанавливающие подлинность, адреса, ключи, соответствующие сертификаты пользователей и устройств, а также права/привилегии. Также должно осуществляться управление всем перечисленным.

Это обосновано тем, что проверка подлинности пользователей и устройств в точках окончания сессии связи сделает невозможным несанкционированный доступ и отказ от факта получения или отправления сообщения. Для безопасности ICS важно ограничить привилегии каждого пользователя до минимально необходимых для эксплуатации и поддержания работоспособности ICS.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что открытый логический доступ может быть необходим, например, для эксплуатации, выполняемой из контрольной комнаты, из которой осуществляется управление безопасностью функционирования. Это исключение должно контролироваться за счет физического ограничения доступа в контрольную комнату.

Правила реализации политики приведены в 8.3.1.1 - 8.3.1.9.

8.3.1.1 Должны быть удалены сертификаты, заданные по умолчанию на заводе-изготовителе.

8.3.1.2 Пользователям и устройствам должны быть присвоены минимально необходимые привилегии и только такие, которые требуются для эксплуатации в соответствии с их ролями при эксплуатации.

Примечание 1 - Учетные записи, назначенные по умолчанию, и устаревшие сертификаты исторически были одними из самых больших угроз безопасности. В настоящем стандарте принято предположение, что они были изменены при установке системы операцией контроля целостности системы, см. раздел 8.2.3.1.

Примечание 2 - Принцип наименьших привилегий - это принцип обеспечения безопасности, гарантирующий, что каждая система использует минимальные ресурсы и только те авторизации, которые требуются для ее работы.

Примечание 3 - Управление доступом на основе ролей - это хорошо отработанная схема управления и рационализации прав доступа для больших групп пользователей или устройств с изменяющимися требованиями доступа и может включать их присутствие на физической площадке в соответствующий период времени.

Примечание 4 - Разделение пользователей по различным, совместно управляемым ролям уменьшает вероятность атак инсайдеров.

 

8.3.1.3 Когда персонал оставляет свои роли или они меняются, должны обновляться учетные записи и привилегии управления доступом.

Примечание - Изменения должны вноситься быстро, сразу после того как произошли соответствующие события, то есть после прекращения обязанностей, изменений в закреплениях и настройках устройств.

 

8.3.1.4 Для аутентификации должны использоваться сложные сертификаты.

Примечание - Должны контролироваться длина и характеристики паролей, они должны быть достаточно сложными, чтобы предотвратить их обход, например, с помощью догадок и рассуждений или взлома. Если они признаны простыми, необходимо добавить дополнительные факторы, например использование аппаратных ключей, биометрии, ограничение физического доступа к пульту аутентификации.

 

8.3.1.5 Для файлов, приложений, инструментов O/S, служб, устройств и сегментов должны быть установлены привилегии наиболее подходящего уровня.

Примечание 1 - Некоторые утилиты O/S позволяют значительно изменить состояние, настройку хоста и всей системы автоматизации. Большинству пользователей системы ICS, например операторам, может не требоваться доступ ко всем этим утилитам (или к их части).

Примечание 2 - Большинство каналов связи, идущих снаружи в сегмент и из сегмента наружу, и каналов связи между сегментами должны быть ассоциированы с правами доступа пользователей и устройств к этим сегментам.

Примечание 3 - Привилегии установки исполняемых файлов, например приложений, должны строго контролироваться.

 

8.3.1.6 Привилегии связи должны устанавливаться отдельно для источника и назначения - по устройствам, хостам и носителям.

Примечание 1 - Особое внимание следует уделять присвоению IP-адресов и управлению ими, например трансляции адресов, зависимостям сегментов от масок подсетей, службе каталогов, размещению соответствующих серверов, службе доменных имен (DNS), предотвращению использования трансляции сетевых адресов (NAT), используемых ICN.

Примечание 2 - Не допускается открытое закрепление, например закрепление и монтирование дисков, либо вещание во внешние сети или из них.

 

8.3.1.7 Привилегии на изменение настроек конфигурации операционных систем и аппаратных средств должны строго контролироваться.

8.3.1.8 Для привилегий на изменение настроек конфигурации, влияющих на безопасность и существенно влияющих на правильность функционирования ICS - для коммутаторов, маршрутизаторов, систем обнаружения вторжений IDS, шлюзов SGW и т.д., должна быть применена сильная защита управления доступом.

8.3.1.9 Должны быть установлены конкретные процедуры проверки привилегий управления доступом, гарантирующие, что привилегии и уровни, присвоенные каждому пользователю или устройству, употребляются и используются по назначению, обоснованно и соответствуют текущим требованиям.

8.3.2 В случае слабости мер управления доступом должны быть реализованы дополнительные меры защиты конфиденциальности и/или повышены требования к конфиденциальности.

Это обосновано тем, что защита доступа к устройствам и носителям, содержащим конфиденциальные данные, может оказаться недостаточной из-за требований повышения конфиденциальности данных, например при наличии ненадежных кабелей или для сертификатов пользователей. В этом случае может потребоваться шифрование.

Правила реализации политики приведены в 8.3.2.1 и 8.3.2.2.

8.3.2.1 В автономных внешних устройствах SED чувствительные производственные данные должны быть защищены отдельно от данных программ.

8.3.2.2 Необходимо изменять методы шифрования и проверять их, чтобы гарантировать разумно достаточную сопротивляемость к прямым атакам в течение ожидаемых периодов времени.

Примечание 1 - Сложное шифрование подразумевает периодическую смену ключей, управление ключами, а также периодическое физическое уничтожение ключей, носителей и данных.

Примечание 2 - Время между этими событиями должно быть сбалансированным, требования безопасности должны быть выполнимыми при нарушениях канала связи между сторонами.

 

8.3.3 При повышении требований по невозможности отказа от авторства сообщения дополнительно должны быть реализованы меры, делающие отказ от авторства сообщения невозможным.

Это обосновано тем, что гарантирование ответственности путем невозможности отказа от авторства сообщения является одной из наиболее важных мер против атак инсайдеров.

Примечание - Могут оказаться пригодными меры криптографии.

 

8.3.4 На выделенном оборудовании, в соответствии с закрепленными привилегиями, должны быть установлены и инициализированы привилегии аутентификации, обмен ключами, механизмы управления доступом. Должно осуществляться управление привилегиями аутентификации, обменом ключами и механизмами управления доступом.

Это обосновано тем, что для управления доступом требуется аутентификация.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что при аварии должны быть предусмотрены возможности для принудительного обхода отказавшей аутентификации, например, из-за возможного технического отказа подсистемы управления аутентификацией и доступом или из-за отсутствия оператора.

Правила реализации политики приведены в 8.3.4.1 и 8.3.4.2.

8.3.4.1 Должно быть обеспечено эффективное администрирование привилегий с использованием инструментов и, по возможности, средств автоматизации, таких как серверы аутентификации и центры ключей.

Примечание - Серверы аутентификации и центры ключей содержат высокочувствительные данные и должны быть размещены внутри завода, контролируемого администрацией ICN. Они должны быть защищены логически и физически.

 

8.3.4.2 Должно быть определено действие системы при событии отказа аутентификации.

Примечание 1 - Могут быть заданы стандартные действия, например неограниченное число попыток, неограниченное число попыток с возрастающей задержкой, блокировка после заданного числа попыток, возможная генерация и эскалация сообщений аварийной сигнализации.

Примечание 2 - Может быть использована процедура передачи на хранение третьему лицу, гарантирующая невозможность ситуаций неконтролируемого пользовательского доступа или отказа от авторства.

 

8.3.5 Должны осуществляться мониторинг и протоколирование привилегий аутентификации, обмена ключами и механизмов управления доступом.

Это обосновано тем, что протоколы привязывают пользователей к устройствам и позволяют установить авторов произошедшего и их ответственность.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что некоторые законы, касающиеся конфиденциальности, могут потребовать уменьшения данных отчета или их анонимности.

Правила реализации политики приведены в 8.3.5.1.

8.3.5.1 Для пользователя (по крайней мере для пользователя, установившего сессию) должны быть запротоколированы время и все действия, касающиеся безопасности, которые были выполнены с данного пульта управления.

Примечание - Об использовании и мониторинге доступа в систему см. ИСО/МЭК 27002.