ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления

8.6 Управление внешним доступом

Вся связь между ICN, сетями и устройствами, внешними по отношению к ICN, считается ненадежной, кроме безопасной, такой как связь во внешней сети EN организации. Общедоступная EN имеет гораздо большее число более разнообразных и менее надежных пользователей, чем сеть ICN.

8.6.1 Внешние соединения должны быть разрешены и реализованы, только если они необходимы для эксплуатации, управления и поддержания работоспособности ICS.

Это обосновано тем, что намеренный или случайный импорт в систему файлов с вредоносным программным обеспечением является существенной угрозой.

Правила реализации политики приведены в 8.6.1.1 - 8.6.1.7.

8.6.1.1 Должны быть установлены и соблюдаться процедуры защиты от импорта несанкционированных или зараженных файлов из ненадежных источников, таких как сети и портативные носители для хранения данных.

Примечание - Соответствующие директивы политики безопасности могут быть усилены техническими средствами.

 

8.6.1.2 Администрация ICS должна полностью контролировать все данные, импортированные в ICN, а также время их поступления.

8.6.1.3 Портативные устройства, пронесенные на завод, например портативные компьютеры, носители данных, должны считаться внешними устройствами.

8.6.1.4 Для критичных файлов, например исполняемых, импортированных физически или электронно, администрация ICS должна установить и соблюдать процедуры верификации, подтверждающие следующее: эти файлы являются именно теми файлами, которые требуются, они пригодны для использования, не содержат вредоносного кода, не были подделаны при передаче, были импортированы по требуемому назначению.

Примечание 1 - Физический импорт означает импорт портативных носителей хранения данных и других портативных электронных устройств.

Примечание 2 - Правила физического импорта должны быть увязаны с процедурами усиления защиты в части ограничения возможных назначений физического импорта, например интерфейсов и портов доступа.

 

8.6.1.5 Для обновлений и операций обслуживания, выполняемых техническими специалистами изготовителя, должны быть утверждены процедуры установления временных или специально выделенных для этой цели соединений.

8.6.1.6 Для непрерывных онлайн-сессий должны часто меняться ключи, например при каждой новой регистрации.

Примечание - Требования к безопасности должны учитывать сбои канала связи.

 

8.6.1.7 Должен осуществляться мониторинг несанкционированного доступа ко всем средствам связи, предназначенным как для внутризаводской связи, так и для связи с объектами, находящимися за пределами завода.

Примечание - Должен осуществляться мониторинг возможных средств связи, в том числе телефонных сетей общего пользования POTS, средств радиосвязи, сотовой связи, беспроводного доступа и т.д.

 

8.6.2 Соединения с внешними сетями связи должны быть защищены ECG в соответствии с требованиями защиты.

Это обосновано тем, что вся связь между хостами, устройствами ICS и внешними сетями или устройствами должна быть защищена от угроз, исходящих от внешних сетей организации, и виртуально неограниченных угроз, исходящих от общедоступных внешних сетей.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что в политике управления доступом должен быть запрещен массовый/полный доступ через ECG, например вещание, монтирование файлов и т.д.

Правила реализации политики приведены в 8.6.2.1 и 8.6.2.2.

8.6.2.1 Соответствующие механизмы должны использоваться только для того, например, чтобы гарантировать целостность источника, целостность данных и, если требуется, конфиденциальность.

Примечание - Собственные механизмы безопасности могут при работе через ECG функционировать неправильно, при этом может потребоваться специальная обработка.

 

8.6.2.2 Если для адекватной защиты, в том числе аутентификации, требуются прокси-серверы, они должны быть реализованы.

Это предотвращает угрозы, исходящие от EN, например прямое наблюдение ICN, трафика и характеристик протоколов хостов ICN. Кроме того, можно экранировать входящий и исходящий контент на уровне приложений.

8.6.3 Должны управляться и протоколироваться доступ к внешним пользователям и устройствам и доступ от них.

Это обосновано тем, что это требование обеспечивает надежную связь по линиям удаленного доступа, отражение атак инсайдеров, использующих удаленного клиента, и позволяет отслеживать очевидные атаки и вторжения.

Правила реализации политики приведены в 8.6.3.1 и 8.6.3.2.

8.6.3.1 Когда сессии удаленного доступа не требуются, в соответствующие этому периоды времени связь с внешними пользователями и устройствами должна быть неработоспособна.

Примечание - Представляется более надежным электрическое отсоединение пользователей и устройств, чем логическое блокирование учетных записей пользователей удаленного доступа на ESG или прокси-сервере.

 

8.6.3.2 Для критичных видов связи протоколирование действий внешнего доступа должно позволять воспроизвести сессию повторно во всех подробностях.

8.6.4 Должны осуществляться управление безопасностью удаленных клиентов, их сертификация и авторизация.

Это обосновано тем, что для установления и поддержания доверия удаленные клиенты требуют соответствующих технических механизмов и настроек, на них распространяется политика безопасности ICS.

Примечание - Сюда входят удаленные: центр управления, клиент, хосты, рабочие станции, устройства.

 

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что если управление осуществляется другой организацией (не ICS), то эта организация может иметь отличающиеся IT-политики безопасности. В этом случае должны быть заключены подробные контрактные соглашения между организацией ICS и организацией удаленного клиента.

Правила реализации политики приведены в 8.6.4.1 - 8.6.4.3.

8.6.4.1 Политика ICS должна применяться к удаленному клиенту в полном объеме. Должны быть соблюдены периоды времени использования и соединения с ICN.

8.6.4.2 Закрепленные службы и порты должны быть сконфигурированы заранее, например использование идентификации вызывающего абонента или обратный набор фиксированного номера в телефонных сетях. Безопасные каналы также должны быть сконфигурированы заранее.

8.6.4.3 Администрация ICS должна периодически проводить аудит соответствия работы удаленного клиента политике безопасности ICS или контрактным соглашениям.

8.6.5 Шлюзы SGW должны осуществлять мониторинг правил доступа к связи и контролировать их соблюдение.

Это обосновано тем, что для гарантии того, что персонал ICS осведомлен о всех входящих сессиях удаленного доступа и может контролировать время сессий удаленного доступа, должны использоваться технические средства.

Правила реализации политики приведены в 8.6.5.1 - 8.6.5.3.

8.6.5.1 Должен осуществляться централизованный мониторинг шлюзов SGW.

8.6.5.2 Должно быть определено реагирование на нарушения управления доступом. Это реагирование должно быть задокументировано и выполняться немедленно после нарушения, в соответствии с планом действий в непредвиденных обстоятельствах.

8.6.5.3 Должно быть определено реагирование на проблемы с доступностью. Это реагирование должно быть документировано и выполняться немедленно, в соответствии с планом действий в непредвиденных обстоятельствах.

См. об отчетах о событиях информационной безопасности и ее слабостях в ИСО/МЭК 27002.

8.6.6 Риски доступности критичных внешних каналов связи могут быть уменьшены.

Это обосновано тем, что доступность может быть важным аспектом при эксплуатации и поддержании работоспособности ICS.

В данной политике предусмотрены предварительные условия и ограничения, заключающиеся в том, что сбой канала связи во время атаки отказа в обслуживании невозможно предотвратить, так как механизмы безопасности, применимые к хостам ICN и/или коммуникационным устройствам, не влияют на доступность внешней связи.

Доступность любого индивидуального канала связи внешней сети не управляется администрацией ICS и поэтому не может быть гарантирована с какой-либо разумной степенью достоверности.

Правила реализации политики приведены в 8.6.6.1 и 8.6.6.2.

8.6.6.1 Скорость передачи в заданной полосе частот при связи должна быть выбрана с учетом важности для эксплуатации и поддержания работоспособности.

Примечание - Доступная полоса частот может быть выделена нескольким пользователям, с ограничениями по скорости и с установкой приоритетов.

 

8.6.6.2 Для повышения доступности должны использоваться методы резервирования и разветвления.

Примечание 1 - Методы разветвления включают в себя использование отдельных поставщиков услуг, дополнение общедоступных сетей телефонными сетями общего пользования или беспроводными сетями.

Примечание 2 - Разветвление или простое резервирование повышают уязвимость к атакам (см. 8.1.1.1).