ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

6.6 SR 2.4 - Мобильный код

 

6.6.1 Требование

Система управления должна обеспечивать возможность выдвижения ограничений на обращения с использованием технологий мобильного кода исходя из риска нанесения ущерба системе управления, и эти ограничения включают в себя:

a) запрещение выполнения мобильного кода;

b) запрос соответствующей аутентификации и авторизации для источника кода;

c) ограничение передачи мобильного кода к системе управления и от нее; и

d) отслеживание использования мобильного кода.

6.6.2 Целесообразность и дополнительная методологическая основа

Технологии на основе мобильных кодов включают в себя, но не ограничиваются этим, Java, JavaScript, ActiveX, формат переносимых документов (PDF), Postscript видеофрагменты Shockwave, Flash-анимации и VBScript. Ограничения на обращения относятся как к выбору и использованию мобильного кода, инсталлируемого на серверах, так и к выбору и использованию мобильного кода, загружаемого и выполняемого на отдельных рабочих станциях. Регламенты управления по возможности должны запрещать разработку, принятие или внесение недопустимого мобильного кода в пределах системы управления. Например, могут быть запрещены передачи мобильных кодов непосредственно к системе управления, но разрешены в контролируемой смежной среде, обслуживаемой персоналом IACS.

6.6.3 Расширения требований

6.6.3.1 SR 2.4 RE 1 - Проверка целостности мобильного кода

Система управления должна обеспечивать возможность верификации целостности мобильного кода до разрешения выполнения кода.

6.6.3.2 Пусто

6.6.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 2.4 - Мобильный код:

- SL-C (UC, система управления) 1: SR 2.4;

- SL-C (UC, система управления) 2: SR 2.4;

- SL-C (UC, система управления) 3: SR 2.4 (1);

- SL-C (UC, система управления) 4: SR 2.4 (1).