ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

8.4 Управление физическим доступом

Управление физическим доступом гарантирует только санкционированный физический доступ к ресурсам ICS на площадке в соответствии с присвоенными привилегиями, в том числе санкционированный доступ к оборудованию и инструментам, носителям или к информации в целом.

8.4.1 Хосты, устройства, носители должны быть защищены от несанкционированного доступа, перемещения, разрушения и воровства. Защита должна удовлетворять соответствующим требованиям.

Это обосновано тем, что в дополнение к логической защите ICS должна обеспечивать физическую защиту путем механической блокировки, размещения хостов, устройств и носителей в запертых на замок шкафах для исключения их воровства, порчи, перемещения и несанкционированного доступа к ним.

Примечание - Оборудование, надежное в физическом смысле, включает в себя:

- комнаты, шкафы, кожухи коммутаторов, SGW, корпуса для персональных компьютеров (ПК);

- мобильное оборудование и носители, например ПК, портативные компьютеры;

- USB-порты, приводы дискет;

- автономные промышленные устройства управления;

- кабели.

 

8.4.2 Должно осуществляться управление особенностями (устанавливающими подлинность), адресами, ключами, соответствующими сертификатами пользователей и устройств, а также правами и привилегиями.

Это обосновано тем, что для безопасности ICS важно обеспечить закрепление за пользователем привилегий доступа к оборудованию эксплуатации и поддержания работоспособности ICS.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что менеджментом по персоналу должны контролироваться надежность и платежеспособность подчиненного ему персонала.

Правила реализации политики приведены в 8.4.2.1.

8.4.2.1 Привилегии доступа должны быть ассоциированы с доступом через ворота (на вход и выход) сегмента и, при необходимости, с другими сегментами.

8.4.3 Должны осуществляться мониторинг и протоколирование физического доступа в аппаратные комнаты, к шкафам и корпусам, также должны подаваться соответствующие сигналы тревоги.

Это обосновано тем, что верификация подлинности пользователей, допущенных в закрытые физические сегменты, будет снижать возможности несанкционированного доступа и отказа от содеянного. Протоколы связывают пользователя (или по крайней мере пользователя, который работал с механизмом управления доступом) с временем и обеспечивают установление авторства и ответственности.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что телевизионный мониторинг может быть запрещен соглашениями между работодателем и сотрудниками либо местным законодательством.

Правила реализации политики приведены в 8.4.3.1 - 8.4.3.4.

8.4.3.1 В критичных воротах физического доступа PAG и/или сегментах должен находиться персонал охраны или должен осуществляться их телевизионный мониторинг, позволяющий обнаруживать нарушения и нарушителей.

8.4.3.2 Частью эффективного управления физическим доступом должны быть ознакомительные занятия с персоналом, имеющим одинаковые должностные обязанности.

8.4.3.3 В критичных воротах физического доступа PAG и/или сегментах должен находиться персонал охраны или должен осуществляться их телевизионный мониторинг, обеспечивающий ознакомление.

8.4.3.4 Реагирование на нарушение физического доступа должно управляться и координироваться человеческими ресурсами.