ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

8.5 Управление сегментом

Структурирование ICS на отдельные логические или физические сегменты, защищенные SGW и/или PAG, эффективно уменьшает поверхность атаки за счет добавления еще одного параметра к параметрам присвоенной привилегии.

Примечание 1 - Различные логические сегменты могут пересекаться, например, магистралью (на том же уровне или в иерархической структуре).

Примечание 2 - О пересечениях между ICN и любой EN см. раздел 8.6.

 

8.5.1 Для защищенных границ логических и физических сегментов должны быть реализованы ворота PAG и шлюзы SGW с соответствующими правилами управления доступом, требованиями к защите и топологии.

Это обосновано тем, что обычно более экономично защищать оборудование, HMI и кабели, сгруппировав их, например, по отдельным зонам, комнатам, шкафам или арматурам и определив единственную точку входа, а не множество отдельных точек доступа.

Правила реализации политики приведены в 8.5.1.1 - 8.5.1.4

8.5.1.1 Каждый сегмент должен быть защищен SGW в единственной точке входа/выхода в общую магистраль или в подчиненный сегмент.

Примечание - Функция SGW и любые связанные с ним вспомогательные функции должны быть реализованы на выделенных хостах или приборах.

 

8.5.1.2 Шлюзы SGW должны разрешать связь со своей защищенной зоной только для станций из надежных зон или надежных устройств магистрали.

Примечание - Вся связь, не являющаяся необходимой, должна быть заблокирована, например связь, не являющаяся необходимой для бизнеса, либо связь, за которую явно никто не несет ответственности.

 

8.5.1.3 Управление доступом через шлюз SGW к сегменту может дополнительно контролироваться криптозащищенными протоколами или PAG.

Примечание - Оборудование (основное и вспомогательное), функции, служебные обязанности должны быть сгруппированы электрически, логически и физически в соответствии с функционалом и требованиями защиты.

 

8.5.1.4 Каждый шлюз SGW должен протоколировать соответствующие действия безопасности, например попытку доступа к защищаемому им сегменту.

8.5.2 Должен осуществляться постоянный мониторинг логической и/или физической активности внутри сегментов для обнаружения или пресечения неправильных или сомнительных действий (например, вторжения), создания соответствующих протоколов и выдачи сигналов тревоги.

Это обосновано тем, что ворота PAG и шлюзы SGW являются единственными точками потенциально возможного вторжения через границу сегмента, поэтому они предпочтительны для индикации несанкционированной деятельности. Это управление границей должно дополняться внутренними мерами, такими как система обнаружения вторжений IDS, в частности, при угрозе атак инсайдеров.

Правила реализации политики приведены в 8.5.2.1 - 8.5.2.4.

8.5.2.1 Должна быть реализована система IDS для обнаружения успешных вторжений и несанкционированных действий инсайдеров.

Примечание 1 - Датчик IDS должен быть неадресуемым, он должен только прослушиваться, для исключения вероятности атаки на него.

Примечание 2 - Системы IDS на базе хоста, IDS на базе сети и средств проверки целостности файловой системы должны иметь возможность дополнять друг друга.

Примечание 3 - Система обнаружения вторжений должна подразумевать подачу сигнала тревоги пользователями на хост.

 

8.5.2.2 Индикаторы, например, системы управления, HMI и/или подсистемы управления сигналами тревоги должны оповещать операторов о проблемах с изменениями потока данных, обусловленных реагированием на обнаруженную атаку.

8.5.2.3 Меры по уклонению от атак, например провокации, приманки, обеспечивают дополнительные возможности обнаружения после вторжения.

8.5.2.4 Персонал мониторинга и поддержки должен своевременно уведомляться о любых изменениях правил, которые могут привести к срабатыванию триггера, включающего подачу сигнала тревоги SGW.

8.5.3 Должно осуществляться надежное администрирование ворот PAG и шлюзов SGW.

Это обосновано тем, что шлюзы SGW должны надежно администрироваться, чтобы гарантировать, что сами правила доступа и строгость их соблюдения соответствуют развивающимся угрозам.

Правила реализации политики приведены в 8.5.3.1 - 8.5.3.3.

8.5.3.1 Управление должно распространяться на хосты, комнаты с сетевым оборудованием, шкафы, корпуса, кабельное хозяйство.

8.5.3.2 Необходимо уделять особое внимание трафику управления безопасностью.

Примечание - Каналы связи, используемые для управления безопасностью, должны быть отделены от каналов передачи производственного трафика.

 

8.5.3.3 Особое внимание должно быть уделено защите трафика управления безопасностью, поступающего из внешних сетей и уходящего во внешние сети, например внешнего поставщика услуг безопасности или удаленных сегментов.